MAURICIO FULGINITI OLIVAES MUNHOZ

Tamanho: px
Começar a partir da página:

Download "MAURICIO FULGINITI OLIVAES MUNHOZ"

Transcrição

1 FUNDAÇÃO CENTRO DE ANÁLISE, PESQUISA E INOVAÇÃO TECNOLÓGICA FACULDADE FUCAPI (INSTITUTO DE ENSINO SUPERIOR FUCAPI) COORDENAÇÃO DE PÓS-GRADUAÇÃO, EXTENSÃO E IDIOMAS - CPEXI COORDENAÇÃO DE PÓS-GRADUAÇÃO MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO MAURICIO FULGINITI OLIVAES MUNHOZ A AVALIAÇÃO DE SEGURANÇA DA INFORMAÇÃO NA ADMINISTRAÇÃO PÚBLICA FEDERAL: com a utilização de listas de verificação padronizadas MANAUS 2014

2 MAURICIO FULGINITI OLIVAES MUNHOZ A AVALIAÇÃO DE SEGURANÇA DA INFORMAÇÃO NA ADMINISTRAÇÃO PÚBLICA FEDERAL: com a utilização de listas de verificação padronizadas Monografia apresentada ao curso de MBA em Gestão de Segurança da Informação da Coordenação de Pós- Graduação, Extensão e Idiomas da Faculdade Fucapi, como requisito parcial para obtenção do Título de Especialista em Gestão de Segurança da Informação. Orientador: Alex Lima Feleol, Esp. MANAUS 2014

3 MAURICIO FULGINITI OLIVAES MUNHOZ A AVALIAÇÃO DE SEGURANÇA DA INFORMAÇÃO NA ADMINISTRAÇÃO PÚBLICA FEDERAL: com a utilização de listas de verificação padronizadas Monografia apresentada ao curso de MBA em Gestão de Segurança da Informação da Coordenação de Pós-Graduação, Extensão e Idiomas da Faculdade Fucapi, como requisito parcial para obtenção do Título de Especialista em Gestão de Segurança da Informação. Aprovada em: 19/05/2014, por. Prof. Alex Lima Feleol, Esp. Faculdade Fucapi Orientador Prof.ª Ghislaine Raposo Bacelar, M.Sc. Faculdade Fucapi Examinadora Prof. Roberto Almeida Cruz Junior, M.Sc. Faculdade Fucapi Examinador MANAUS 2014

4 Dedico este trabalho a Deus e à família. DEDICATÓRIA

5 AGRADECIMENTOS Agradeço aos meus familiares, os quais suportam minha ausência há alguns anos; Ao orientador, sem o qual este trabalho não seria concretizado; Aos amigos de farda, com os quais sirvo atuando nas questões propostas no trabalho.

6 RESUMO O presente trabalho traz uma proposta de avaliação de segurança da informação, dentro da esfera do Poder Executivo Federal, na forma de uma metodologia para verificação do ambiente de Tecnologia da Informação (TI) dentro da própria organização, baseada em listas padronizadas. Seu desenvolvimento consubstancia-se em preencher uma lacuna no modo como as instituições públicas federais, com destaque ao âmbito do Ministério da Defesa, realizam a avaliação de segurança da informação em suas organizações. Tendo em vista que a Administração Pública Federal tem seu funcionamento essencialmente burocrático, apresenta-se uma maneira uniforme de proceder à avaliação da segurança da informação, com a vantagem da possibilidade de comparação dos resultados entre as diversas autarquias. Empregam-se metodologias de observação, consulta bibliográfica e análise de procedimentos e normas existentes no mercado de TI. São observadas características de auditoria, entretanto, não é exigido o mesmo rigor e formalidade. Após o seu emprego, obtém-se um relatório consolidado, e as discrepâncias encontradas são elucidadas, com a apresentação de sugestões de melhorias para o ambiente de TI. Palavras-chave: Avaliação de Segurança. Auditoria de TI. Segurança da Informação. Tecnologia da Informação.

7 ABSTRACT This paper presents a proposal for safety assessment information, within the scope of the Federal Executive Power, in the form of a methodology for checking the environment for Information Technology (IT) within the organization, based on standard lists. Its development is embodied in filling a gap in how federal public institutions, with emphasis in the sphere of Ministry of Defense, it performs the evaluation of information security in their organizations. Given that the Federal Public Administration has an essentially bureaucratic operation, it presents a uniform way to assess information security, with the advantage of comparability of results between the different institutions. It employees methodologies of observation and analysis of bibliographic existing procedures and standards in the IT. Audit procedures and its features are observed, however, does not require the same rigor and formality. After job finishes, it is gotten a consolidated report giving the discrepancies found and suggesting improvements to the IT environment. Keywords: Evaluation of Security. IT Audit. Information Security. Information Technology.

8 LISTA DE FIGURAS Figura 1: Os 4 domínios do CobIT Figura 2: Ciclo PDCA Figura 3: Processo de gestão de riscos de segurança da informação... 32

9 LISTA DE QUADROS Quadro 1: Comparativo entre os tipos de auditoria Quadro 2: Etapas da inspeção Quadro 3: Itens componentes da inspeção... 50

10 LISTA DE SIGLAS TI - Tecnologia da Informação IT - Information Technology TCU - Tribunal de Contas da União MD - Ministério da Defesa GSI/PR - Gabinete de Segurança Institucional da Presidência da República COBIT - Control Objectives for Information and related Technology APF - Administração Pública Federal ABNT - Associação Brasileira de Normas Técnicas FFAA - Forças Armadas ABNT - Associação Brasileira de Normas Técnicas NBR - Norma Brasileira CPD - Centro de Processamento de Dados SGSI - Sistema de Gestão de Segurança da Informação

11 SUMÁRIO 1 INTRODUÇÃO JUSTIFICATIVA OBJETIVOS METODOLOGIA ORGANIZAÇÃO REFERENCIAL TEÓRICO CONCEITOS Conceitos Sobre Segurança da Informação REQUISITOS DE SEGURANÇA DA INFORMAÇÃO Requisitos de Segurança da Informação O Requisito da Legalidade e os Aspectos Legais em Segurança da Informação CONCEITOS QUE ENVOLVEM A NATUREZA DA APF A Função Administrativa do Controle MANUAIS SOBRE AUDITORIA DE SISTEMAS DESENVOLVIDOS PELO TCU O Que Levou o TCU a Desenvolver Seus Próprios Manuais para Tratar de Segurança das Informações e Auditoria de Sistemas? O Aproveitamento dos Manuais do TCU para a Metodologia Proposta COBIT - A ABSORVIÇÃO DAS IDÉIAS DE GOVERNANÇA DE TI NA METODOLOGIA PROPOSTA O Que é o CobIT? A Influência do CobIT na Metodologia Proposta deste Trabalho ASPECTOS INCORPORADOS DA NBR ISO/IEC 17999: Considerações Iniciais sobre a Norma Os Controles que Serão Incorporados da NBR ISO/IEC 17999: ASPECTOS INCORPORADOS DA NBR ISO/IEC 27001: Considerações Iniciais sobre a Norma Os Pontos que Serão Trabalhados da NBR ISO/IEC 27001: ASPECTOS INCORPORADOS DA NBR ISO/IEC 27005: Considerações Iniciais Sobre a Norma Os Pontos Que Serão Recepcionados da NBR ISO/IEC 27005: APOIO EM ACÓRDÃOS, DECRETOS PRESIDÊNCIAIS E NAS INSTRUÇÕES NORMATIVAS DO GSI Decreto do Presidente da República nº 3.505, de 13 de Junho de Acórdão nº 1.603/2008 do TCU - Decisão em Plenário Instrução Normativa GSI/PR nº 1, de 13 de Junho de Norma Complementar nº11 à Instrução Normativa nº1 do GSI/PR Instrução Normativa GSI/PR nº 3, de 06 de Março de Instrução Normativa GSI/PR nº 4, de 12 de Novembro de INCORPORAÇÃO DOS CONCEITOS DE AUDITORIA Auditoria de Sistemas, Tecnologia e Segurança da Informação Tipos de Auditoria Por Que Realizar Auditoria no Ambiente de TI? Auditoria de Recursos Físicos, Lógicos e Humanos O Perfil do Inspetor... 44

12 Os Conceitos de Auditoria de Sistemas, Tecnologia e Segurança da Informação que Serão Adotados pela Metodologia Proposta Neste Trabalho TRABALHOS RELACIONADOS A DINÂMICA DE FUNCIONAMENTO DAS LISTAS DE VERIFICAÇÃO PADRONIZADAS CARACTERÍSTICAS GERAIS AS LISTAS DE VERIFICAÇÃO PADRONIZADAS PADRÕES EM SEGURANÇA DA INFORMAÇÃO CRONOLOGIA SUGERIDA PARA APLICAÇÃO DAS LISTAS QUAIS AS LISTAS EXISTENTES E COMO SÃO ESTRUTURADOS CADA ITEM VERIFICADO? MODELOS DAS LISTAS E DO RELATÓRIO FINAL RESULTADOS ESPERADOS REFERÊNCIAS APÊNDICE A - LISTA DE VERIFICAÇÃO PADRONIZADA - L1 - REDES DE TELECOMUNICAÇÕES E INFRAESTRUTURA APÊNDICE B - LISTA DE VERIFICAÇÃO PADRONIZADA - L2 - SEGURANÇA DA INFORMAÇÃO APÊNDICE C - LISTA DE VERIFICAÇÃO PADRONIZADA - L3 - MICROCOMPUTADORES (ESTAÇÕES DE TRABALHO) E EQUIPAMENTOS DE TI (PERIFÉRICOS) APÊNDICE D - LISTA DE VERIFICAÇÃO PADRONIZADA - L4 - SISTEMAS DIGITAIS APÊNDICE E - RELATÓRIO FINAL... 75

13 12 1 INTRODUÇÃO A presente monografia apresenta como tema a proposição de uma metodologia de avaliação de ambientes de Tecnologia da Informação (TI), utilizando listas de verificação padronizadas no âmbito do Poder Executivo Federal. Atualmente, observa-se um esforço do Governo Federal em normatizar a TI dentro da administração do Poder Executivo Federal, em especial, ao Ministério da Defesa (MD) e às Forças Armadas (FFAA). São normas que partem diretamente do Gabinete de Segurança Institucional da Presidência da República (GSI/PR), aliadas às diretrizes que cada Força aplica em seu ambiente de TI, de maneira eficiente, entretanto, não há um uníssono entre os referidos órgãos, o que contribui para que vulnerabilidades atinentes à segurança da informação surjam. Observa-se a falta de uma metodologia de avaliação da segurança da informação, que possa ser utilizada pela área de Defesa do País e, inclusive, pelas demais autarquias, de maneira padronizada e repetível, possibilitando seu acompanhamento. A proposição de uma metodologia para avaliação da segurança da informação vem de encontro a essa necessidade, tendo em vista que a Administração Pública Federal tem seu funcionamento essencialmente burocrático, é apresentada uma maneira uniforme de proceder à avaliação da segurança da informação. Por essa característica, podem ser conduzidos treinamentos simples sobre como a metodologia proposta deverá ser aplicada. Além disso, será possível comparar as respectivas avaliações de cada autarquia da APF, apresentando uma visão realista sobre segurança da informação naquele momento. Em sua essência, a metodologia proposta tem características de uma auditoria em TI. Ela verifica pontos de falha e sugere as correções necessárias em um relatório final. Entretanto, não é tratada sobre o rigor da coleta de evidências como em uma auditoria convencional, mas sim pela simplicidade de seu procedimento e a consequente agilidade que promove no processo de avaliação, considerando o uso de técnicas de observação e aplicação de questionários. Ao mesmo tempo, é indicado que o agente responsável por verificar cada lista não seja subordinado àquele órgão inspecionado, sendo recomendado que pertença a uma instância superior e tenha experiência na área de TI. Por tratar-se de uma medida relativamente simples, não implica em aumento significativo de custos operacionais ou de pessoal, necessitando apenas do treinamento dos agentes que empreenderão a metodologia, o que pode ser realizado dentro de uma reunião funcional da APF. O material empregado para as listas e a consolidação em um relatório final constitui-

14 13 se apenas de itens de expediente, tais como papel, canetas e tinta de impressora, sendo possível ainda que toda tratativa seja realizada em meio digital. Assim, com a implantação da metodologia proposta, espera-se obter um incremento na segurança da informação das organizações governamentais da APF, com uma ferramenta eficiente e eficaz para avaliação da segurança da informação, sem a pretensão de limitar ou esgotar demais tratativas necessárias. 1.1 JUSTIFICATIVA Este trabalho de conclusão de curso visa contribuir com a proposição de uma metodologia para avaliação de aspectos em segurança da informação na esfera da APF. Seu desenvolvimento consubstancia-se em preencher uma lacuna no modo como as instituições públicas federais, com destaque ao âmbito do MD, realizam a avaliação de segurança da informação em suas organizações. Ponto que, atualmente, ocorre de maneira que cada organização segue uma metodologia própria, tentando aproximar-se do que é praticado no mercado de TI. A metodologia proposta traz algo que pode funcionar igualmente para órgãos distintos da APF, trazendo a vantagem da uniformidade de procedimentos e da possibilidade de comparação dos resultados entre diferentes autarquias. Em experiencial pessoal, pôde-se averiguar a praticidade e a funcionalidade em avaliar a segurança da informação digital em-pregando-se listas de verificação padronizadas, fator motivador deste trabalho. 1.2 OBJETIVOS Objetivo geral Propor uma metodologia para análise de segurança da informação. Objetivos específicos: Analisar e selecionar os conceitos de auditoria de sistemas que podem ser empregados na metodologia; Elaborar modelos das listas de verificação de segurança da informação; e. Definir o modelo do relatório final.

15 METODOLOGIA A metodologia que será adotada para a realização deste trabalho de conclusão de curso serão as pesquisas bibliográfica e documental, fazendo-se uso de artigos científicos, de monografias, de livros voltados para o tema proposto, normas e decretos da APF e de trabalhos publicados na internet. A coleta de dados teve início com as Instruções Normativas do Gabinete de Segurança Institucional da Presidência da República (GSI) e os Decretos Presidenciais, referentes à segurança da Informação. Além de documentos da APF, foram pesquisadas as normas da Associação Brasileira de Normas Técnicas (ABNT), considerando os seguintes documentos: ABNT NBR ISO/IEC 17799:2005: Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação; ABNT NBR ISO/IEC 27001:2006: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Requisitos; e ABNT NBR ISO/IEC 27005:2008: Tecnologia da informação - Técnicas de segurança - Gestão de riscos em segurança da informação. Foram pesquisados livros nas áreas de TI, auditoria de TI e segurança da informação. Tais bibliografias servem de apoio e fundamentação teórica para a materialização da metodologia proposta: as listas de verificação padronizadas e o respectivo relatório final. A elaboração do referido material envolve o conhecimento de boas práticas em uso no mercado, o embasamento teórico, a adequação às normas e decretos - de maneira que possa ser uniforme e não venha a transgredir normativas internas de cada organização - e a viabilidade no âmbito do Poder Executivo Federal e suas possibilidades econômicas. Serão observados os procedimentos essenciais para condução de uma auditoria de tecnologia da informação. Esses passos, adotados em processos de auditoria da atualidade, aplicar-se-ão às listas. Podem ser destacados alguns pontos, os quais compõe o principal eixo da metodologia, como exemplo: A independência do responsável por aplicar a lista, em relação à execução diária da atividade avaliada; Aplicação de um questionário padronizado ao respondente (listas); O sigilo na captação dos subsídios; e A elaboração de um relatório final que indica as discrepâncias e as possibilidades de melhoria.

16 15 Chega-se, então, ao final do trabalho, momento em que foram dados os passos necessários, da pesquisa à elaboração dos modelos, formulando a metodologia proposta. Ao final de toda essa tratativa, busca-se comprovar a relevância do material apresentado, o qual possui fortes características de auditoria, para avaliação da segurança de órgãos da APF, especificamente em relação ao uso da TI. 1.4 ORGANIZAÇÃO O presente trabalho está organizado da seguinte forma: O Capítulo 1 traz a introdução, abordando o Trabalho em linhas gerais. Também são expostos a justificativa, os objetivos, a metodologia, a organização e a relação com os trabalhos anteriores. O Capítulo 2 traz o referencial teórico em que o trabalho se baseia. Seus itens estão organizados na seguinte estrutura: base teórica e conceitual na qual se apoia este Trabalho, os requisitos de segurança das informações digitais, os conceitos atrelados à APF, controles e mecanismos de auditoria de TI existentes nas Autarquias do Poder Executivo, etapas do CobIT que são materializadas na metodologia proposta, aspectos incorporados das NBR ISO/IEC 17999:2005, 27001:2006 e 27005:2008, apoio em Acórdãos, Decretos Presidenciais e nas Instruções Normativas do GSI, conceitos de auditoria em TI adotados, menção aos trabalhos relacionados a este.no Capítulo 3 é explanada a dinâmica de funcionamento das listas de verificação padronizadas, o levantamento das não conformidades, o tempo de duração esperado de cada etapa e o modo como devem ser aplicadas. O Capítulo 4 expõe os resultados esperados com a possível aplicação da metodologia proposta, analisando as possibilidades de utilização e o benefício que pode ser obtido. Apresenta um caráter conclusivo sobre o que se propõe com este Trabalho. No Capítulo 5 estão dispostas as referências bibliográficas, nas quais poderá ser encontrado todo o material bibliográfico utilizado para a realização deste Trabalho. Os Apêndices trazem modelos das listas de verificação padronizadas e também um modelo do relatório final.

17 16 2 REFERENCIAL TEÓRICO Será apresentado nesse Capítulo a base teórica e conceitual para o apoiar a metodologia proposta, abordando os conceitos de segurança das informações digitais, aspectos das normas utilizadas, itens de documentos legais, conceitos de auditoria em TI e trabalhos relacionados. 2.1 CONCEITOS Um dos principais pilares deste Trabalho é a segurança da informação digital, seus conceitos e sua abrangência em um ambiente de TI corporativo, com foco no que pode ser encontrado nas diversas autarquias de APF Conceitos Sobre Segurança da Informação Cada organização, considerando o tipo de negócio e porte, define uma estrutura adequada para proteger suas informações. Para tal, são definidas políticas, normas e regras de segurança da informação, com o objetivo de estruturar o uso dessas informações, possibilitando que o negócio não seja prejudicado pelo mau uso da informação. De maneira geral, a proteção da informação é de responsabilidade de cada pessoa na organização, independente de seu nível hierárquico. Dos membros da alta administração até os estagiários recém-contratados. Segundo Fontes (2006), segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e a sua missão seja alcançada. O mesmo autor traz ainda o seguinte entendimento sobre segurança da informação: [...] existe para minimizar os riscos do negócio em relação à dependência do uso dos recursos de informação para o funcionamento da organização. Sem a informação ou com uma incorreta, o negócio pode ter perdas que comprometam o seu funcionamento e o retorno do investimento dos acionistas. Sêmola (2003) define que o nível de segurança de uma empresa está diretamente associado à segurança oferecida pela porta mais fraca. A todo o momento, seus processos e ati-

18 17 vos físicos, tecnológicos e humanos são alvos de ameaças diversas, que buscam vulnerabilidades capazes de potencializar sua ação. Ele ainda traz outro entendimento: [...] podemos definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. Para a ABNT (2005), com a sua norma ISO/IEC 17799:2005, define-se segurança da informação como sendo a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos REQUISITOS DE SEGURANÇA DA INFORMAÇÃO O presente tópico explana os requisitos de segurança da informação, considerando a abordagem de diferentes autores e normas de referência sobre esse tema. Também são tratados, inicialmente, alguns aspectos legais sobre segurança da informação na APF Requisitos de Segurança da Informação A norma NBR ISO/IEC fala sobre os atributos básicos da informação, também chamado de requisitos de segurança da informação: - Confidencialidade: o acesso às informações deve ser feito somente pelas pessoas autorizadas. Caso haja o acesso a um sistema, como por exemplo, um e- mail, usando a senha de outra pessoa sem que o titular saiba, a confidencialidade deixa de existir; - Integridade: para garantir esse princípio, é necessário ter a segurança que a informação acessada é confiável, estando completa e sem alterações. A integridade é quebrada quando, por exemplo, um sofre alteração entre o remetente e o destinatário, mudando o conteúdo da informação original; e - Disponibilidade: a informação deve estar disponível (acessível) para as pessoas autorizadas sempre que necessário. Um sistema fora do ar é um exemplo de falta de disponibilidade, sendo um dos objetivos mais procurados pelos hackers.

19 18 Para Lyra (2008), existem mais alguns aspectos, requisitos de segurança da informação, que também devem ser levados em conta, além dos já referidos na norma NBR ISO/IEC 27002: - Autenticação: garantir que um usuário é de fato quem alega ser. Tal requisito pode ser obtido pela verificação de características únicas do usuário como senha, identificação biométrica e até mesmo a posse de determinados identificadores (crachás funcionais, tokens, entre outros); - Não repúdio: capacidade do sistema de provar que um usuário executou uma determinada ação. Esse princípio visa assegurar que as ações do usuário tenham efetividade no sistema e possam ser associadas ao autor da ação, por meio de logs e trilhas de auditoria; - Legalidade: garantir que o sistema esteja aderente à legislação pertinente. Uma quebra deste princípio poderia ser observada, por exemplo, no portal de licitações do Governo Federal - o ComprasNet - ao permitir que um fornecedor não qualificado possa vencer a licitação de algum item. Esse requisito será ampliado neste Trabalho no subitem O requisito da legalidade e os aspectos legais em segurança da informação; - Privacidade: capacidade de um sistema de manter anônimo um usuário impossibilitando o relacionamento entre o usuário e suas ações. Esse princípio pode ser observado mais claramente em sites de compras on-line, nos quais, para seus usuários, não é possível saber quem está comprando algum item naquele instante; e - Auditoria: o sistema deve poder auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque. Esse princípio traz a necessidade dos sistemas e seus respectivos bancos de dados possuírem logs das operações realizadas e trilhas de auditoria, as quais devem conter as ações executada por cada usuário no sistema O Requisito da Legalidade e os Aspectos Legais em Segurança da Informação A legislação brasileira vem tentando cobrir a maioria dos caos de crimes que utilizam o ambiente computacional, podendo ser tipificados na mesma legislação referente às atividades ilegais do mundo real.

20 19 Conforme recomenda Fontes (2006), deve-se viver no ambiente virtual a mesma responsabilidade com que se vive no mundo real, tendo em vista que as ações no mundo virtual podem ter repercussões penais severas. A Constituição Federal traz em sua redação dois sistemas de controle para a administração pública, quais sejam: o controle interno, realizado pelos próprios órgãos do governo, e o controle externo, quando o órgão controlador situa-se externamente ao órgão controlado, mais precisamente realizado pelo Poder Legislativo com o auxílio do Tribunal de Contas. Tais disposições estão apresentadas da seguinte forma na Carta Magna: Art. 70: A fiscalização contábil, financeira, orçamentária, operacional e patrimonial da União e das entidades da administração direta, indireta, quanto à legalidade, legitimidade, economicidade, aplicação de subvenções e renúncia de receitas, será exercida pelo Congresso Nacional, mediante controle externo, e pelo sistema de controle interno de cada poder. Art. 71: O controle externo, a cargo do Congresso Nacional, será exercido com o auxílio do Tribunal de Contas da União. Brasil (1988). Para o governo brasileiro, o entendimento legal sobre segurança da informação tem raízes no decreto No 3.505, de 13 de junho de 2000 no Art. 2º, parágrafo II que conceitua: Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças ao seu desenvolvimento. (BRASIL, 2000). Todos os órgãos e entidades da APF, direta ou indireta, são obrigados a seguir as Instruções Normativas e Normas Complementares do GSI/PR (tratadas no Capítulo 9), de forma a disciplinar a maneira como a segurança da informação e comunicações é tratada tanto pelo GSI, quanto pelas Instituições. Constitui-se como um dos principais pilares de apoio à metodologia proposta neste Trabalho, além da necessidade identificada no setor da APF por um procedimento ágil e eficaz para verificação de segurança da informação, a aderência da proposta ao preconizado pela legislação vigente e, principalmente, às orientações emanadas das Instruções Normativas.

21 CONCEITOS QUE ENVOLVEM A NATUREZA DA APF O presente item aborda os conceitos que envolvem a APF, os quais nortearam as características deste Trabalho. São explanados os pontos que a metodologia proposta deve ser alinhar para poder ser empregada na área governamental A Função Administrativa do Controle Dentro da esfera pública, o controle tem como principal função a busca de melhores resultados na APF. Nesse mesmo entendimento, Souza (2006) define: controle é a função administrativa que tem por finalidade observar se os fatos se passaram de acordo com o que a administração determinou. A Constituição Federal prevê que o controle administrativo corresponde ao poder de fiscalização e de revisão da atividade administrativa em qualquer das esferas de Poder (Executivo, Legislativo e Judiciário). Dessa forma, o controle da administração pública está baseado nas normas elaboradas pelos seus legisladores, estabelecendo como a administração será fiscalizada a bem dela própria. Conforme expõe Di Pietro (2005), o controle na administração pública é definido como o poder de fiscalização e correção que sobre ela exercem os órgãos dos três poderes, com a finalidade de garantir a conformidade de sua atuação com os princípios que lhes são impostos pela Constituição. Tais princípios estão previstos em seu artigo 37, a saber: legalidade, impessoalidade, moralidade, publicidade e eficiência. Um ponto importante sobre controle, que se constitui num dos pilares que a metodologia proposta no Trabalho se baseia, reside na seguinte abordagem: o controle administrativo pode ser exercido pelos próprios órgãos internos da APF, como por órgãos externos de maior precedência hierárquica, incumbidos do julgamento dos recursos (tribunais administrativos) ou das apurações de irregularidades funcionais (órgãos correcionais). Todos eles, entretanto, são meios de controle administrativo. (MEIRELLES, 2005). 2.4 MANUAIS SOBRE AUDITORIA DE SISTEMAS DESENVOLVIDOS PELO TCU Esse item traz alguns dos controles relativos à segurança das informações digitais e auditoria de TI, já existentes em algumas autarquias do Poder Executivo Federal. Como

22 21 exemplo, serão observados os controles propostos pelo TCU em seus manuais de auditoria de TI O Que Levou o TCU a Desenvolver Seus Próprios Manuais para Tratar de Segurança das Informações e Auditoria de Sistemas? De alguns anos para cá, as organizações da APF têm feito um uso cada vez mais intensivo da TI, como ferramenta de apoio as suas atividades meio e fim, como no caso dos serviços oferecidos ao cidadão por meio digital. O tratamento das informações, conhecido como TI, informática ou sistemas de informação, é parte indissociável de toda cadeia de processos dessas organizações, tendo se tornado componente crítico do planejamento, controle e execução das políticas públicas. Tendo em vista o contexto referenciado no parágrafo anterior, observou-se a necessidade de se realizar procedimentos de auditoria em ambientes de TI, para avaliar a eficácia dos controles aplicados sobre sistemas de informação. Os dados analisados pelo TCU em suas auditorias, e também naquelas que são realizadas por outros órgãos da APF se utilizando dos manuais do TCU, tratados como discrepâncias, consistem nos principais achados de auditoria e referem-se a aspectos negativos da administração na área de informática, como práticas antieconômicas, ineficácia, ineficiência, desperdícios, uso indevido de recursos, gastos inadequados, práticas que vão contra a segurança da informação digital, ações no revés das boas práticas de TI e descumprimento de leis e outras normas específicas. Dessa forma, os manuais que tratam de segurança das informações e auditoria de sistemas do TCU são fundamentais, pois sendo ele o órgão encarregado de realizar o Controle Externo da gestão dos recursos públicos, é indispensável se dispor de um guia para orientar essa atividade fiscalizadora. A essa auditoria operacional se ganha especial destaque, visto que um de seus objetivos é o aprimoramento da qualidade do serviço público O Aproveitamento dos Manuais do TCU para a Metodologia Proposta A tecnologia da informação é o coração da administração pública moderna, podendo fazê-la até parar. Assim, o TCU desenvolveu uma série de cartilhas, manuais e acórdãos para o controle externo da governança de tecnologia da informação na APF.

23 22 A área de abrangência desses manuais, no intuito de auxiliar na fiscalização operacional e/ou conformidade com as normas em vigor, compreende (TCU, 2007): - Governança de TI; - Programas e políticas públicas para TI; - Segurança da informação; - Sistemas digitais; - Dados; - Infraestrutura de TI; e - Contratações em TI. Pode ser observado que o conteúdo abordado pelo TCU, na forma de manuais, para as demais autarquias da APF, coincide com os temas das listas de verificação padronizadas, permitindo que itens componentes das listas venham a ser identificados a partir dos referidos manuais. Os modelos das listas apresentados neste Trabalho tiverem itens, em sua maioria, absorvidos de manuais do TCU. A maneira de realizar os levantamentos, apoiado em listas de verificação padronizadas, utilizando-se da mesma forma de proceder à verificação como nas auditorias, foi incorporado a este Trabalho tendo como base o descrito nos referidos manuais. Ao mesmo tempo, os itens abordados pelas listas não se limitam a verificações puramente tecnológicas, objetivando, também, apurar como a tecnologia é empregada pelo órgão inspecionado e se isso ocorre de forma econômica, eficiente, eficaz, evitando-se desperdício e, principalmente, se estão sendo utilizadas as boas práticas difundidas no mercado de TI. Conforme descrito no Manual de Boas Práticas em segurança da Informação (BRA- SIL,2012), alguns assuntos em TI devem ser amplamente examinados nas organizações: a) A existência de uma Política de Segurança da Informação, bem como sua difusão a todos os colaboradores; b) Deve ser elaborado um Plano de Continuidade do Negócio. Ele deverá ser testado e descrever procedimentos de contingência viáveis de serem implementados em situações adversas; c) A gestão dos ativos deve ter um controle permanente, realizando e atualizando os inventários em periodicidade adequada; d) O controle de acesso deve ser uma preocupação constante do gestor de TI, tendo em vista que tanto o acesso físico aos ativos de TI, quanto o acesso lógico aos sistemas da organização devem ser bastante controlados; e e) A aquisição, manutenção e desenvolvimento de sistemas de informação

24 23 devem ser realizados de maneira cautelosa. Além disso, o fato do material em referência ser publicado e amplamente utilizado por um órgão de controladoria do governo, traz um bom retorno as outras instituição que também os adotarem. O TCU (2000) aponta as seguintes necessidades para a implementação de seus manuais: a) Forte necessidade de melhoria da governança de TI na APF; b) Grande dependência da TI pela APF; c) Materialidade das despesas com TI; d) Critérios para gestão e fiscalização já bem estabelecidos (auditoria de TI); e) Método de fiscalização testado e aprovado pelo próprio governo; e f) Boa repercussão na APF e sociedade. Levando em consideração os princípios de eficiência e economicidade da APF, os manuais de auditoria interna e de TI do TCU encontram-se totalmente aderentes às práticas esperadas do Poder Público. Nesse mesmo contexto, preenche a necessidade de verificação dos ambientes de TI das diversas autarquias da APF. 2.5 COBIT - A ABSORVIÇÃO DAS IDÉIAS DE GOVERNANÇA DE TI NA METO- DOLOGIA PROPOSTA O item atual trata etapas do CobIT que são materializadas na metodologia proposta. Ele explana o modelo de governança de TI e seu aproveitamento no Trabalho O Que é o CobIT? Para iniciar a compreensão sobre CobiT e sua contribuição para a metodologia proposta neste Trabalho, conforme define Fagundes (2012), temos que: O CobiT é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, O CobiT inclui recursos tais como um sumário executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento. As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados. O CobiT independe das plataformas de TI adotadas nas empresas. O referido autor traz como entendimento para Governança de Tecnologia da Informação (IT governance), como sendo uma estrutura de relações e dos processos com a finalidade

25 24 de dirigir e de controlar uma organização e de adicionar valores a uma organização através do balanceamento do risco, que pode ocorrer juntamente com o retorno do investimento de TI. (FAGUNDES, 2012). Conforme pode ser observado na Figura 1, os domínios do CobIT, os quais são subdivididos em modelos de maturidade de governança e são usados para o controle dos processos de TI, fornecendo um método eficiente para classificar o nível que nível a organização se encontra. A governança de TI e seus processos com o objetivo de adicionar valor ao negócio através do balanceamento do risco e returno do investimento podem ser classificados da seguinte forma Fagundes (2012): - 0 inexistente; - 1 inicial ( Ad Hoc ); - 2 repetitivo, mas intuitivo; - 3 processos definidos; - 4 processos gerenciáveis e medidos; e - 5 processo otimizados. Figura 1 - Os 4 domínios do CobIT Fonte: Fagundes, A partir desses níveis, foi desenvolvido para cada um dos 34 processos do CobiT um roteiro que situa a organização e o caminho a ser percorrido: a) Onde a organização está hoje; b) O atual estágio de desenvolvimento da indústria ( best-in-class );

26 25 c) O atual estágio dos padrões internacionais; e d) Aonde a organização quer chegar; Segundo Fagundes (2012), diversas ações de gerenciamento devem ser adotadas para colocar sobre controle a gestão de TI. Tais ações são definidas as mais importantes do ponto de vista do que fazer a nível estratégico, técnico, organizacional e de processo. O mesmo autor traz o entendimento de que os indicadores de objetivos definem como serão mensurados os progressos das ações para atingir os objetivos da organização, usualmente expressos nos seguintes termos: a) Disponibilidade das informações necessárias para suportar as necessidades de negócios; b) Riscos de falta de integridade e confidencialidade das informações; c) Confirmação de confiabilidade, efetividade e conformidade das informações; e d) Eficiência nos custos dos processos e operações A Influência do CobIT na Metodologia Proposta deste Trabalho Tendo em vista a necessidade de aumentar e eficiência das autarquias da APF, é recomendado que os ambientes de TI dessas organizações adotem um modelo de governança de TI para aumentar sua eficiência e demonstrar que podem agregar valor ao negócio. O CobiT vem de encontro a essa necessidade, induzindo também à governança corporativa. É um modelo de gestão de TI reconhecido internacionalmente que define 34 processos de gestão que podem ser implantado utilizando práticas de processos de modelos de gestão específicos. É possível estabelecer-se um nível de maturidade desejado para a APF e, também, um nível mais específico para cada segmento de suas instituições. As Forças Armadas têm se mostrado aderente à governança de TI em seu mais alto nível, uma vez que precisa ter o controle de todo seu ambiente de TI e demonstrar sua relevância ao negócio, fator importante na conquista por recursos financeiros. Ao indicar a necessidade, por meio das listas padronizadas de verificação, da elaboração do Planejamento Estratégico de TI e considerando as boas práticas adotadas pelo mercado para o tratamento dos diversos itens das listas em referência, direciona-se esse planejamento com o alinhamento às estratégias de negócio da organização.

27 ASPECTOS INCORPORADOS DA NBR ISO/IEC 17999:2005 Esse item aborda os aspectos incorporados da NBR ISO/IEC 17999:2005, fazendo as considerações iniciais sobre a norma e, também, sobre os controles que ela traz e serão incorporados ao presente Trabalho Considerações Iniciais sobre a Norma A NBR ISO/IEC 17999:2005 tem sua origem na norma americana, de mesmo código, onde ISO significa International Standartization Organization. Trata-se de uma organização internacional formada por um conselho e comitês com membros oriundos da maioria dos países, com o objetivo de criar normas e padrões universalmente aceitos sobre como realizar as mais diversas atividades comerciais, industriais, científicas e tecnológicas. Já a nomenclatura IEC significa International Engineering Consortium. Corresponde a uma organização voltada para o aprimoramento da indústria da informação. Uma associação entre as duas instituições produz normas e padronizações internacionais. A ABNT fez a tradução literal da norma americana da ISO, recebendo a nomenclatura NBR (Norma Brasileira). As normas foram criadas e se adaptam bem a organizações comerciais, instituições de ensino e instituições públicas, de maneira que qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações. A norma em lide cobre os mais diversos tópicos da área de segurança da informação, possuindo um grande número de controles e requisitos que devem ser atendidos para garantir a segurança das informações de uma organização. Ela traz a opção de não se implementar todos os controles disponíveis, adaptando-se às necessidades da APF e suas instituições internas Os Controles que Serão Incorporados da NBR ISO/IEC 17999:2005 Como o próprio título da norma cita, ela trada de um código de prática para a gestão da segurança da informação. Os controles podem ser selecionados a partir dela própria ou de outro conjunto de controles ou novos controles podem ser desenvolvidos para atender às necessidades específicas, conforme apropriado. A ABNT (2005) traz o seguinte entendimento a esse respeito:

28 27 A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que também esteja sujeito a todas as legislações e regulamentações nacionais e internacionais, relevantes. Alguns dos controles nesta Norma podem ser considerados como princípios básicos para a gestão da segurança da informação e podem ser aplicados na maioria das organizações. Baseando-se no que a referida traz, os controles incorporados pela metodologia proposta são apresentados a seguir (ABNT, 2005): a) Política de segurança da informação: visa prover orientação e apoio à alta administração para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Ela deve estar definida de maneira clara e alinhada com os objetivos do negócio, por meio da publicação e manutenção de uma política de segurança da informação para toda a organização; b) Organização da segurança da informação: foca no gerenciamento da segurança da informação dentro da organização, estabelecendo seus atores e controles diários. Alguns subitens também são importantes: Atribuição de responsabilidades para a segurança da informação; e Identificando segurança da informação nos acordos com terceiros. c) Gestão de ativos: tem o objetivo de alcançar e manter a proteção adequada dos ativos da organização, de maneira que todos os ativos sejam inventariados e tenham um proprietário responsável; d) Segurança em recursos humanos: assegura que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mal uso de recursos; e) Segurança física e do ambiente: realiza medidas preventivas, a fim de que pessoas não autorizadas acessem ambientes controlados ou tenham conhecimento de informações reservadas da organização; f) Gerenciamento das operações e comunicações: efetua a proteção contra códigos maliciosos, gestão de mudanças do ambiente de TI, cópias de segurança (back-up), gestão da segurança da rede local, controle de mídias removíveis, monitoramento do uso de sistemas (logs e trilhas de auditoria); g) Controle de acessos: controle do acesso à informação, de maneira que o acesso à informação, recursos de processamento e processos de negócio sejam

29 28 controlados com base nos requisitos de negócio e segurança da informação. São observados também os seguintes subitens: Uso de senhas; Política de mesa limpa e tela limpa; Controle de acesso à rede; Controle de acesso à estação de trabalho e ao sistema operacional; e Isolamento de sistemas sensíveis. h) Aquisição, desenvolvimento e manutenção de sistemas de informação: trabalha os requisitos de segurança de sistemas de informação, tal como a criptografia e os recursos criptológicos autorizados a serem utilizados na organização; i) Gestão de incidentes de segurança da informação: efetuar o correto tratamento, em tempo hábil, dos incidentes de segurança da informação; e j) Gestão da continuidade do negócio: estabelecer documentos e procedimentos que visem à continuidade do negócio como, por exemplo, o Plano de Contingência. 2.7 ASPECTOS INCORPORADOS DA NBR ISO/IEC 27001:2006 A NBR ISO/IEC 27001:2006 traz pontos de interesse ao que a metodologia deste Trabalho propõe. Nesse item serão feitas as considerações iniciais sobre a norma e, também, sobre os controles que ela define e serão incorporados Considerações Iniciais Sobre a Norma A NBR ISO/IEC 27001:2006 tem como finalidade a especificação de requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). Os requisitos são genéricos de maneira a permitir que sejam aplicáveis a quaisquer organizações, independentemente do tipo, tamanho e natureza. A norma em lide sugere a adoção de uma abordagem de processo para um SGSI, ou seja, a organização deve identificar e gerenciar os processos envolvidos em um SGSI, bem como reconhecer suas interações.

30 29 Ao mesmo tempo, ela adota o ciclo denominado do Plan, Do, Check, Act - PDCA, conforme pode ser demonstrado na Figura 2, a fim de estruturar todos os processos envolvidos em um SGSI. O PDCA é uma ferramenta gerencial que trabalha a melhoria contínua de processos e a solução de problemas apresentados durante a execução do próprio processo. Figura 2 - Ciclo PDCA Fonte: ABNT, Conforme preconiza a ABNT (2006), temos a seguinte dinâmica de funcionamento da norma: a) Etapa Plan: são estabelecidos a política, os objetivos, os processos e os procedimentos de um SGSI; b) Etapa Do: a política, os controles, os processos e os procedimentos do sistema são implementados e entram em operação efetivamente; c) Etapa Check: o SGSI é monitorado e avaliado, seus resultados são apresentados para a alta administração para que sejam analisados de maneira crítica; e d) Etapa Act: as ações corretivas e preventivas identificadas em auditorias, em análise crítica da alta administração ou por qualquer outra forma pertinente, são implementadas. e) Os Pontos que Serão Trabalhados da NBR ISO/IEC 27001:2006 As características que a metodologia proposta incorpora da NBR ISO/IEC 27001:2006 correspondem à etapa Check do ciclo PDCA que a referida norma se baseia, contribuindo como um instrumento de monitoramento e analise crítica do SGSI que a organização imple-

31 30 mentou, mesmo que de maneira incipiente. As discrepâncias e sugestões de melhoria expostas no relatório final podem ser aproveitadas na etapa Act, implementando as medidas. Entretanto, os requisitos descritos na norma não podem ser preteridos ou deixados de lado, como expõe a própria ABNT (2006): Qualquer exclusão de controles considerada necessária para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles forem excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. Assim, considerando que a metodologia proposta com suas características de auditoria do ambiente de TI constitui apenas uma parte do SGSI, ela não exclui os requisitos da norma, mas favorece o atendimento do requisito de Auditoria Interna do SGSI, no qual as auditorias devem ser planejadas para determinar se objetivos de controle, os controles, os processos e procedimentos do SGSI atendem à norma, à legislação pertinente, aos requisitos de segurança da informação identificados, se são mantidos e implementados de modo eficaz e, sobretudo, se são executados conforme definidos. O requisito de Auditoria Interna do SGSI, apesar de ser atendido por uma instância superior à da organização inspecionada, dentro da esfera da APF, se relaciona com a metodologia proposta na definição dos critérios de auditoria, escopo, frequência e métodos a serem utilizados, bem como a seleção de auditores que assegurem objetividade e imparcialidade à auditoria. 2.8 ASPECTOS INCORPORADOS DA NBR ISO/IEC 27005:2008 O presente item aborda os aspectos incorporados da NBR ISO/IEC 27005:2008, fazendo as considerações iniciais sobre a norma e, também, sobre os controles que ela traz e serão incorporados à metodologia proposta Considerações Iniciais Sobre a Norma Em conformidade com o exposto pela ABNT (2008) na NBR ISO/IEC 27005:2008, ela versa sobre diretrizes para o processo de gestão de riscos de segurança da informação,

32 31 se utiliza de modelos, conceitos, processos e terminologias descritos na NBR ISO/IEC 27001, aplicando-se a todos os tipos de organizações que têm como uma de suas metas: gerir riscos em segurança da informação. Observando-se o conjunto de normas integrantes da família 27000, pode-se verificar que a NBR ISO/IEC 27005:2008 é o ponto de partida para a implementação de um SGSI na organização, momento em que um relatório de gestão de riscos é composto e analisado, permitindo que ações de mitigação dos riscos possam ter início. A norma em referência trata o processo de gestão de riscos em segurança da informação nas seguintes etapas: a) Definição de contexto; b) Análise e avaliação de riscos, efetivamente; c) Tratamentos de riscos; d) Aceitação dos riscos; e) Comunicação do risco; e f) Monitoramento e análise crítica dos riscos. A dinâmica das interações entre as etapas do retromencionado processo pode ser observada na Figura 3:

33 32 Figura 3 - Processo de gestão de riscos de segurança da informação Fonte: ABNT, Os Pontos Que Serão Recepcionados da NBR ISO/IEC 27005:2008 A metodologia exposta ao longo deste Trabalho é parte das medidas de análise, tratamento, comunicação e tratamento de riscos da norma em referência nesse Capítulo, uma vez que ela avalia vulnerabilidades e riscos comumente encontrados em instituições da APF, sugerindo correções necessárias e boas práticas de mercado para tratar as discrepâncias apresentadas no relatório final. Ela incorpora nas listas de verificação padronizadas muitos dos itens descritos no Anexo C (exemplos de ameaças comuns) e, também, do Anexo D (exemplos de vulnerabilidades comuns) da NBR ISO/IEC 27005:2008, tendo em vista que são de ocorrência comum no ambiente de TI de grande parte das organizações. Ao mesmo tempo, o Trabalho não propõe que a organização possa receber a certificação NBR ISO/IEC 27005:2008 com sua implementação, mas sim há o aproveitamento de boa

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com COBIT Um kit de ferramentas para a excelência na gestão de TI Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações A importância da Alta Administração na Segurança da Informação e Comunicações Agenda O Problema; Legislação; Quem somos; O que fazer. O problema A informação: é crucial para APF é acessada por pessoas

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Avaliação da Segurança da Informação no âmbito da APF

Avaliação da Segurança da Informação no âmbito da APF Avaliação da Segurança da Informação no âmbito da APF Pedro Coutinho Filho Sefti Brasília, 17 de maio de 2013 www.tcu.gov.br/fiscalizacaoti 2 da TI o Levantamento IGovTI o Objetivos Agenda o Principais

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

TRIBUNAL SUPERIOR DO TRABALHO PRESIDÊNCIA ATO Nº 345/SETIN.SEGP.GP, DE 16 DE JUNHO DE 2015

TRIBUNAL SUPERIOR DO TRABALHO PRESIDÊNCIA ATO Nº 345/SETIN.SEGP.GP, DE 16 DE JUNHO DE 2015 TRIBUNAL SUPERIOR DO TRABALHO PRESIDÊNCIA ATO Nº 345/SETIN.SEGP.GP, DE 16 DE JUNHO DE 2015 Reestrutura as unidades vinculadas à Secretaria de Tecnologia da Informação SETIN do Tribunal Superior do Trabalho.

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 229/2013 Aprova a Norma Complementar de Criação da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 05/IN01/DSIC/GSIPR 00 14/AGO/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações CRIAÇÃO DE EQUIPES DE TRATAMENTO E RESPOSTA A INCIDENTES

Leia mais

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL 15/IN01/DSIC/GSIPR 00 11/JUN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. Aprova a instituição e o funcionamento da equipe de tratamento e resposta a incidentes em redes computacionais do IPEA.

Leia mais

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 276:2011) - OTS NORMA Nº NIT-DICOR-011 APROVADA EM MAR/2013 Nº 01/46 SUMÁRIO

Leia mais

Auditoria Interna na Área de Tecnologia da Informação

Auditoria Interna na Área de Tecnologia da Informação Auditoria Interna na Área de Tecnologia da Informação André Luiz Furtado Pacheco, CISA 4º Workshop de Auditoria de TI da Caixa Brasília, agosto de 2011 Agenda Introdução Exemplos de Deliberações pelo TCU

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 Dispõe sobre a aprovação do Documento Acessório Diferenciado "Política de Gestão de

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Região. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO, no uso de suas atribuições legais, regimentais e regulamentares,

Região. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO, no uso de suas atribuições legais, regimentais e regulamentares, PODER JUDICIÁRIO JUSTIÇA DO TRABALHO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO PORTARIA TRT/GP/DGCA Nº 630/2011 Define a Política de Planejamento Estratégico de Tecnologia da Informação e Comunicações

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 13/IN01/DSIC/GSIPR 00 30/JAN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA GESTÃO DE MUDANÇAS NOS ASPECTOS RELATIVOS

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Publicada no DJE/STF, n. 127, p. 1-3 em 3/7/2013. RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Dispõe sobre a Governança Corporativa de Tecnologia da Informação no âmbito do Supremo Tribunal Federal e dá outras

Leia mais

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação TERMO DE REFERÊNCIA 1. Objeto 1.1. Contratação de empresa especializada em auditoria de tecnologia da informação e comunicações, com foco em segurança da informação na análise de quatro domínios: Processos

Leia mais

Unidade V GOVERNANÇA DE TI

Unidade V GOVERNANÇA DE TI GOVERNANÇA DE TI Unidade V CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 1 O CobiT é um guia para a gestão de TI recomendado pelo Information Systems Audit and Control Foundation (ISACF)

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

PARTE III Auditoria Conceitos Introdutórios

PARTE III Auditoria Conceitos Introdutórios FATERN Faculdade de Excelência Educacional do RN Coordenação Tecnológica de Redes e Sistemas Curso Superior de Tecnologia em Sistemas para Internet Auditoria em Sistemas de Informação Prof. Fabio Costa

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA ESTUDOCOMPARATIVO NBRISO13485:2004 RDC59:2000 PORTARIA686:1998 ITENSDEVERIFICAÇÃOPARAAUDITORIA 1. OBJETIVO 1.2. 1. Há algum requisito da Clausula 7 da NBR ISO 13485:2004 que foi excluída do escopo de aplicação

Leia mais

ANEXO I A Estratégia de TIC do Poder Judiciário

ANEXO I A Estratégia de TIC do Poder Judiciário RESOLUÇÃO Nº 99, DE 24 DE NOVEMBRO DE 2009 Dispõe sobre o Planejamento Estratégico de TIC no âmbito do Poder Judiciário e dá outras providências. ANEXO I A Estratégia de TIC do Poder Judiciário Planejamento

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

Superior Tribunal de Justiça

Superior Tribunal de Justiça Superior Tribunal de Justiça RESOLUÇÃO STJ/GP N. 11 DE 12 DE NOVEMBRO DE 2015. Institui a política de segurança da informação do Superior Tribunal de Justiça e dá outras providências. O PRESIDENTE DO SUPERIOR

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

ORIENTAÇÃO PARA A REALIZAÇÃO DE AUDITORIA INTERNA E ANÁLISE CRÍTICA EM LABORATÓRIOS DE CALIBRAÇÃO E DE ENSAIO. Documento de caráter orientativo

ORIENTAÇÃO PARA A REALIZAÇÃO DE AUDITORIA INTERNA E ANÁLISE CRÍTICA EM LABORATÓRIOS DE CALIBRAÇÃO E DE ENSAIO. Documento de caráter orientativo Coordenação Geral de Acreditação ORIENTAÇÃO PARA A REALIZAÇÃO DE AUDITORIA INTERNA E ANÁLISE CRÍTICA EM LABORATÓRIOS DE CALIBRAÇÃO E DE ENSAIO Documento de caráter orientativo DOQ-CGCRE-002 Revisão 03

Leia mais

RIO 2016 POLÍTICA DE COMPLIANCE

RIO 2016 POLÍTICA DE COMPLIANCE COMITÊ ORGANIZADOR DOS JOGOS OLÍMPICOS RIO 206 RIO 206 POLÍTICA DE 25/02/205 / 2 Sumário. OBJETIVO... 2 2. DEFINIÇÕES... 2 3. ATRIBUIÇÕES E RESPONSABILIDADES... 5 4. DIRETRIZES... 7 4. Programa Geral de...

Leia mais

Levantamento do Perfil de Governança e Gestão de Pessoas da Administração Pública Federal

Levantamento do Perfil de Governança e Gestão de Pessoas da Administração Pública Federal Fórum Gestão de Pessoas Levantamento do Perfil de Governança e Gestão de Pessoas da Administração Pública Federal Fabiano Nijelschi G. Fernandes Auditor Federal de Controle Externo Secretaria de Fiscalização

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSI/PR 01 15/FEV/13 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações ORIGEM Departamento de Segurança da Informação e Comunicações Número da Norma Complementar

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES V CONGRESSO BRASILEIRO DE METROLOGIA Metrologia para a competitividade em áreas estratégicas 9 a 13 de novembro de 2009. Salvador, Bahia Brasil. ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO

Leia mais

Política de Responsabilidade Socioambiental

Política de Responsabilidade Socioambiental Política de Responsabilidade Socioambiental SUMÁRIO 1 INTRODUÇÃO... 3 2 OBJETIVO... 3 3 DETALHAMENTO... 3 3.1 Definições... 3 3.2 Envolvimento de partes interessadas... 4 3.3 Conformidade com a Legislação

Leia mais

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 006/2014 EMENTA: Aprova Normas da Política de

Leia mais

Planejamento Estratégico de TIC. da Justiça Militar do Estado. do Rio Grande do Sul

Planejamento Estratégico de TIC. da Justiça Militar do Estado. do Rio Grande do Sul Planejamento Estratégico de TIC da Justiça Militar do Estado do Rio Grande do Sul MAPA ESTRATÉGICO DE TIC DA JUSTIÇA MILITAR DO ESTADO (RS) MISSÃO: Gerar, manter e atualizar soluções tecnológicas eficazes,

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit.

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 2 Regras e Instruções: Antes de começar a fazer a avaliação leia as instruções

Leia mais

CobiT 4.1 Plan and Organize Manage Projects PO10

CobiT 4.1 Plan and Organize Manage Projects PO10 CobiT 4.1 Plan and Organize Manage Projects PO10 Planejar e Organizar Gerenciar Projetos Pedro Rocha http://rochapedro.wordpress.com RESUMO Este documento trás a tradução do objetivo de controle PO10 (Gerenciamento

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação ORIGEM e Comunicações Departamento de Segurança da Informação e

Leia mais

CATÁLOGO DE SERVIÇOS DE CONSULTORIA DO SISP

CATÁLOGO DE SERVIÇOS DE CONSULTORIA DO SISP SERVIÇOS DE CONSULTORIA EIXO TEMÁCO: GOVERNANÇA DE Implantação de Metodologia de Elaborar e implantar uma metodologia de gerenciamento de projetos no órgão solicitante, com a finalidade de inserir as melhores

Leia mais

Engenharia de Software Qualidade de Software

Engenharia de Software Qualidade de Software Engenharia de Software Qualidade de Software O termo qualidade assumiu diferentes significados, em engenharia de software, tem o significado de está em conformidade com os requisitos explícitos e implícitos

Leia mais

Manual do Sistema de Gestão Ambiental - Instant Solutions. Manual do Sistema de Gestão Ambiental da empresa

Manual do Sistema de Gestão Ambiental - Instant Solutions. Manual do Sistema de Gestão Ambiental da empresa Manual do Sistema de Gestão Ambiental da empresa Data da Criação: 09/11/2012 Dara de revisão: 18/12/2012 1 - Sumário - 1. A Instant Solutions... 3 1.1. Perfil da empresa... 3 1.2. Responsabilidade ambiental...

Leia mais

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 O SECRETÁRIO DE TECNOLOGIA DA INFORMAÇÃO DO TRIBUNAL SUPERIOR DO TRABALHO, no

Leia mais

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento MBA em Sistemas de Informação CobiT Conteúdo 1. Sumário Executivo 2. Estrutura 3. Objetivos de Controle 4. Diretrizes de Gerenciamento 5. Modelo de Maturidade 6. Guia de Certificação de TI 7. Implementação

Leia mais

Conheça a NBR ISO/IEC 27002

Conheça a NBR ISO/IEC 27002 Conheça a NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar,

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Coordenadoria de Tecnologia da Informação. Plano de Continuidade de Negócios PCN

Coordenadoria de Tecnologia da Informação. Plano de Continuidade de Negócios PCN Coordenadoria de Tecnologia da Informação Plano de Continuidade de Negócios PCN Sumário 1. Introdução... 03 2. Políticas do Plano de Continuidade de Negócios... 04 3. Comitê de Plano de Continuidade de

Leia mais

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais, Dispõe sobre a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 11ª. Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais

Leia mais

Governança de TI e Auditoria Interna

Governança de TI e Auditoria Interna Governança de TI e Auditoria Interna Renato Braga, CISA, CIA, CGAP, CCI Diretor Secretaria de Fiscalização de Tecnologia da Informação Tribunal de Contas da União Florianópolis, 25 de abril de 2012 Agenda

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Documentos Normativos Básicos ISO 27001:2006

Leia mais