TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO

Tamanho: px
Começar a partir da página:

Download "TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO"

Transcrição

1 TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO BRASÍLIA DF 2013

2 2 KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para obtenção do título de tecnólogo no Curso de Tecnologia em Segurança da Informação. Orientador (a) Profa. Dra. Maria José de Oliveira BRASÍLIA DF 2013

3 3 KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO Trabalho de Conclusão de Curso apresentado às Faculdades Promove de Brasília, como requisito parcial para obtenção do título de tecnólogo no curso de Tecnologia em Segurança da Informação. Aprovado em: / / por: Maria José de Oliveira Orientadora: Profa. Dra. Maria José de Oliveira Dirceu Silva da Silva Junior Avaliador: Prof.Esp. Cid Bendahan Coelho Cintra Avaliador: Prof. Dr.

4 4 RESUMO O objetivo do trabalho é fazer uma proposta de Política de Segurança da Informação Física e Lógica para a empresa Avanti Turismo, mostrando os pontos de vulnerabilidades encontrados e levantados na análise de risco. Para elaboração do trabalho, foi realizado um levantamento de como a instituição se encontra em relação à segurança da informação, averiguando a situação dos ativos e levantando os pontos vulneráveis. Os pontos identificados de vulnerabilidades foram analisados do ponto de vista dos riscos que podem apresentar para a segurança da informação crítica da instituição. Com base nas análises realizadas, foi elabora esta proposta de política de segurança da informação com base na norma ABNT NBR ISO/IEC (2005), com o objetivo de assegurar ao ativo informação os parâmetros de segurança adequados. Palavras-chave: Política de Segurança da Informação, vulnerabilidades, riscos, Avanti Turismo, análise de risco, ABNT NBR ISO/IEC (2005).

5 5 ABSTRACT The objective is to make a proposal for the Physical and Logical Information Security Policy for the company Turismo Avanti, showing the points of vulnerabilities found and raised on risk analysis. To develop this work, a survey of how the institution is in relation to information security, assessing the situation of assets and raising the vulnerable points was performed. The points identified vulnerabilities have been analyzed from the point of view of the risks they may present to the security of critical information to the institution. Based on the performed analysis it elaborates this proposed information security policy based on the standard ISO / IEC (2005), with the aim of ensuring the active information appropriate security parameters. Keywords: Information Security Policy, vulnerabilities, risks, Avanti Destinations, risk analysis, ISO / IEC (2005).

6 6 LISTA DE FIGURAS Página Figura 1 Entrada do setor corporativo Figura 2 Saída do setor corporativo Figura 3 Documentos arquivados na copa Figura 4 Caixas contendo documentos importantes Figura 5 Multifuncional utilizada por todos no corporativo Figura 6 Servidor Figura 7 Computadores utilizados no setor Figura 8 Sala de Trabalho Figura 9 Local de vendas Figura 10 Estação de Trabalho Figura 11 Cofre da Gerência... 35

7 7 LISTA DE QUADROS Página Quadro 1 Níveis de Risco Quadro 2 Matriz de Risco... 37

8 8 SUMÁRIO Capítulo I INTRODUÇÃO Justificativa Objetivos Geral Específicos Procedimentos metodológicos Organização da monografia Capítulo II REFERENCIAL TEÓRICO Informação Ativo Caracteristicas da Informação Integridade Disponibilidade Confidencialidade Classificação da Informação Valor da Informação Gestão da Informação Segurança da Informação Risco Vulnerabilidade Ameaça Ataque Ferramentas de Segurança da Informação... 23

9 Política de Segurança da Informação Tipos de Política Controle de Acesso Físico Controle de Acesso Lógico Política de Redes Capítulo III ESTUDO DE CASO A Instituição Setor Corporativo Setor de Vendas Matriz de Risco Capítulo IV PROPOSTA DE POLÍTICA DE SEGURANÇA FÍSICA E LÓGICA PARA A EMPRESA AVANTI TURISMO Instituição Objetivo Abrangência da Política Definições Básicas Referências Diretrizes Instituição Servidor e Estações de Trabalho Sistema Rede Arquivos da Informações... 45

10 Responsabilidades Supervisores e Administradores Setor Corporativo (Funcionários e Servidores) Setor de Vendas Conformidade Penalidades Disposições Gerais Conclusão Referências... 49

11 11 CAPÍTULO I INTRODUÇÃO Nos tempos modernos a informação é considerada pelas empresas, corporações e organizações, um patrimônio de valor imprescindível para os negócios, tanto para tomadas de decisões quanto para o crescimento dos mesmos. Portanto, deve ser protegida e resguardada contra qualquer tipo de acesso não autorizado que possa vir a causar problemas para a organização. Atualmente, com o grande número de mecanismos de captação de informações via Internet, as empresas precisam estar atentas para qualquer vulnerabilidade em seus sistemas que possam causar algum dano. Assim sendo, do mesmo modo que uma empresa precisa oferecer qualidade nos serviços, precisa também se adequar às necessidades de segurança, para que, no futuro, não venha sofrer com os próprios erros, no caso, não defender tecnologicamente o seu patrimônio. A segurança da informação deve ser levada a sério, pois o valor de uma informação é muito grande, levando em conta seu grau de sigilo, pois, o vazamento de uma informação pode custar à sobrevivência da empresa no mercado. A norma ABNT NBR ISO/IEC 27002:2005 é a base legal para uma política de segurança da informação séria e confiável, por trazer todo um conjunto de regras e normas que deverão se seguidos e que darão subsídios para uma correta aplicação das diretrizes voltadas a segurança tanto nos aspectos físicos quanto nos aspectos lógicos da organização. A informação é muito importante para a Avanti Turismo¹, pois sua credibilidade depende de como ela manuseará e protegerá dados sigilosos de clientes e empresas parceiras. O principal objetivo do trabalho é propor uma política de segurança da informação para a Avanti Turismo, garantido assim o progresso da organização e o desenvolvimento da mesma para se adequar ao que é exigido nos dias de hoje. ¹ Avanti Turismo é um nome fictício e foi usado para resguardar a imagem da Empresa.

12 JUSTIFICATIVA Atualmente a Avanti Turismo não possui uma Política de Segurança da Informação. Existe entre os funcionários uma grande desinformação com relação aos ativos da empresa, sua segurança e importância, o que causa um grande risco de enfrentar problemas de vazamentos de dados sigilosos e de não saberem lidar com os problemas. Dessa forma, é necessário o desenvolvimento de uma política de segurança para a empresa que mantenha os dados de clientes e funcionários seguros. A empresa Avanti Turismo necessita de um melhor controle de acesso físico e lógico nos setores que envolvem os sistemas com as informações. Por meio deste trabalho será possível planejar e aplicar métodos que ajudem a melhorar o controle de acesso físico e lógico, aumentar a segurança e assegurar a confidencialidade, disponibilidade e integridade das informações importantes da empresa, dando mais credibilidade e mais agilidade nas tomadas de decisões e processos que envolvam incidentes com o ativo de informação na organização. 1.2 OBJETIVOS Geral Elaborar uma Política de Segurança da informação física e lógica baseada na norma ABNT NBR ISO/IEC 27002:2005 para a empresa Avanti Turismo, visando à proteção e prevenção de incidentes aos seus ativos de informação Específicos a) Identificar as vulnerabilidades que ameaçam os ativos de informação na empresa Avanti Turismo; b) Levantar os controles de segurança da informação existentes na empresa referentes à Segurança Física e Lógica dos ativos;

13 13 c) Propor uma conscientização dos funcionários com relação ao manuseio de informações dentro da empresa Avanti Turismo; d) Propor uma política de segurança física e lógica para a informação na Avanti Turismo. 1.3 PROCEDIMENTOS METODOLÓGICOS A metodologia empregada envolveu estudo de campo, onde foram identificados os ativos de informação e as vulnerabilidades no ambiente da organização. Após o levantamento dos dados, foi feita a análise de risco para analisar todas as vulnerabilidades na organização que podem comprometer a segurança dos ativos e a continuidade do negócio. Além disso, foram realizadas pesquisas bibliográficas, que permitem que se tome conhecimento de material relevante, servindo de base para o desenvolvimento do tema. Foi utilizada a Norma ABNT NBR ISO/IEC 27002:2005 como principal fonte para a elaboração da política visando padronização e garantia de eficácia na montagem de diretrizes e boas praticas de seguranças da informação. Livros, monografias, pesquisas e outras normas relacionadas à segurança da informação também foram utilizadas neste trabalho. O método de investigação científica utilizado foi o estudo de caso, levantando informações de como a Empresa Avanti Turismo realiza seus controles internos e externos da informação e o manuseio de documentos relevantes à Organização. 1.4 ORGANIZAÇÃO DA MONOGRAFIA Este trabalho está estruturado em quatro capítulos: O capítulo 1 apresenta a introdução do trabalho; O capítulo 2 consiste no capítulo de referencial teórico formado por conceitos e leitura técnica referente à segurança da informação;

14 14 O capítulo 3 consiste no estudo de caso, formado pelas avaliações e análises realizadas na organização. O capítulo 4 propõe uma Política de Segurança da Informação para AVANTI TURISMO. O trabalho é finalizado com a conclusão, onde são apresentadas as considerações finais sobre o tema desenvolvido.

15 15 2. REFERÊNCIAL TEÓRICO 2.1 Informação CAPÍTULO II A informação é um ativo digital valioso para qualquer organização, independentemente de atividade. Tudo gira em torno do quão valioso é a informação, de quanto ela é sensível e o quanto ela representa para o negócio. (MOREIRA, 2001, p. 8). O proprietário das informações é o responsável pela autorização do acesso às informações, considerando as políticas vigentes dentro da organização O usuário das informações é qualquer individuo com acesso às informações da organização, seja um funcionário ou um contratado, com atividades internas ou em seu próprio escritório. (FERREIRA; ARAÚJO, 2008, p.73). Segundo Sêmola (2003, p. 45) a informação é apresentada por meio de um conjunto de dados utilizados para transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos. Entretanto, a informação é um ativo fundamental para toda organização, a qual deve ser devidamente preservada e manuseada com comprometimento, para uma efetiva tomada de decisão em qualquer área de negócio. 2.2 Ativo Ativo é todo tipo de bem que uma empresa possui incluindo a informação, que necessita ser protegida para que o negócio continue funcionando. Quando o ativo sofre algum tipo de alteração ou se torna indisponível, pode afetar o funcionamento das atividades da empresa causando prejuízo à mesma. Ativo é tudo que manipula direta e indiretamente uma informação, inclusive a própria informação, dentro de uma organização (MOREIRA, 2001, p.20). Sêmola (2003, p.45) define o ativo como todo elemento que compõe os processos que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada.

16 16 De acordo com a Norma ABNT NBR ISO/IEC (2008, p.30), os ativos podem ser identificados de duas maneiras: Ativos primários e ativos de suporte e infraestrutura. 1. Ativos primários: Processos e atividades do negocio Informação 2. Ativos de suporte e infraestrutura (sobre os quais os elementos primários do escopo se apoiam), de todos os tipos: Hardware Software Rede Recursos Humanos Instalações físicas Estrutura da organização. 2.3 Características da Informação Para ser utilizada, a informação necessita garantir três características fundamentais: a integridade, a disponibilidade e a confidencialidade que devem ser preservadas, pois são tidas como princípios da segurança da informação. Preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. (ABNT NBR ISO/IEC , p.1). Ao se falar em segurança da informação, devem-se levar em consideração essas qualidades da informação, pois toda ação que venha a comprometer qualquer uma dessas qualidades estará atentando contra a sua segurança.

17 Integridade Conforme Ferreira (2003, p 61), a integridade consiste em proteger a informação contra modificação sem permissão explícita do proprietário daquela informação. A modificação inclui ações como: escrita, alteração de status, alteração de conteúdo, remoção e criação de informações. A integridade é a garantia da exatidão e completeza da informação e dos métodos de processamento. (ABNT NBR ISO/IEC 27002, 2005, p. 87) Disponibilidade Garantir a integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça consistente. Contribuem para a perda da integridade: as inserções, substituições ou exclusões de parte do conteúdo da informação; as alterações nos seus elementos de suporte, que podem ocorrer quando são realizadas alterações na estrutura física e lógica onde ela está armazenada, ou quando as configurações de um sistema são alteradas para se ter acesso a informações restritas, bem como são superadas as barreiras de segurança de uma rede de computadores. (DANTAS, 2011, p. 11-2). A disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. (ABNT NBR ISO/IEC 27002, 2005, p. 80). Ocorre a quebra da disponibilidade quando a informação não está disponível para ser utilizada, ou seja, ao alcance de seus usuários e destinatários, não podendo ser acessada no momento em que for necessário utilizá-la. Garantir a disponibilidade é assegurar o êxito da leitura, do trânsito e do armazenamento da informação. (DANTAS, 2011, p. 12-3) Confidencialidade A confidencialidade é a garantia de que a informação é acessível somente a pessoas autorizadas terem acesso. (ABNT NBR ISO/IEC 27002, 2005, p. 12). Ocorre a quebra da confidencialidade da informação ao se permitir que pessoas não autorizadas tenham acesso ao seu conteúdo. A perda da confidencialidade é a perda do segredo da informação. Garantir a confidencialidade é assegurar o valor da informação e evitar a divulgação indevida. (DANTAS, 2011, p. 13-4).

18 18 De acordo com a ABNT NBR ISO/IEC (2005 apud DANTAS, 2011, p. 14-5), Acrescenta que outras propriedades também podem estar envolvidas na área de segurança da informação, tais como: a autenticidade, a responsabilidade, o não repúdio e a confiabilidade. Autenticidade: é a garantia de que a informação é oriunda da fonte que lhe é atribuída e elaborada por quem tem autoridade para tal. Confiabilidade: é a garantia de que a informação é confiável, oriunda de uma fonte autêntica e que expressa uma mensagem verdadeira. Não Repúdio: é a garantida de que a informação chegará ao destino certo e não será repudiada. Responsabilidade: é a coparticipação de responsabilidades por todos os que produzem, manuseiam, transportam e descartam a informação, seus sistemas e redes de trabalho. Desse modo, a autenticidade do emissor é a garantia de que quem se apresenta como remetente é realmente quem diz ser. A confiabilidade é a garantia de que a informação está completa e igual à sua forma original quando do envio pelo remetente, e expressa uma verdade. O não repúdio é a garantia de que o emissor ou receptor não tem como alegar que a comunicação não ocorreu, e a responsabilidade diz respeito aos deveres e proibições entre remetente e destinatário. (DANTAS, 2011, p. 15). 2.4 Classificação da Informação Ferreira (2003, p. 23-4), classifica as informações como: Informação não classificada - Informações que, se forem divulgadas fora da organização, não trarão impacto aos negócios; Informação interna - O acesso externo às informações deve ser evitado; Informação confidencial - As informações dessa classe devem ser confidenciais dentro da organização e protegida de acesso externo; Informação secreta - O acesso interno ou externo não autorizado a estas informações é extremamente crítico para a organização. A classificação das informações é necessária para seu melhor gerenciamento. Se implementada corretamente, a classificação reduz drasticamente o custo com recursos para proteger as informações e ajuda na implementação de controles onde realmente são necessários.

19 19 Ferreira e Araújo (2006, p.49), concordam que a classificação da informação é o processo de estabelecer o grau de importância das informações mediante seu impacto no negócio. O processo de classificação aumenta a confiabilidade dos dados garantindo sua confidencialidade, integridade e disponibilidade. De acordo com Ferreira (2003, p.28): Após a classificação das aplicações e das informações, deve-se elaborar e implementar procedimentos para o monitoramento contínuo. Geralmente, o departamento de auditoria da organização fica encarregado de liberar de liberar e iniciar esta atividade para garantir a conformidade com a política organizacional. O Security Officer, em conjunto com os proprietários da informação, deve, periodicamente, revisar as informações classificadas para assegurar que elas estão adequadamente classificadas. Adicionalmente, os privilégios e direitos de acesso dos usuários devem ser revisados para assegurar que estão de acordo com as necessidades de cada um. 2.5 Valor da Informação A informação é um patrimônio, é algo de valor. Não se trata de um monte de bytes aglomerados, mas sim de um conjunto de dados classificados e organizados de forma que uma pessoa ou uma empresa possa tirar proveito. A informação é inclusive um fator que pode determinar a sobrevivência ou a descontinuidade das atividades de um negócio. E isso não é difícil de ser entendido, basta imaginar o que aconteceria se uma instituição financeira perdesse todas as informações de seus clientes. Apesar de possível, muito dificilmente uma empresa de grande porte consegue perder suas informações, principalmente quando se fala de bancos, cadeias de lojas, entre outros. No entanto, o que ocorre com mais frequência é o uso inadequado das informações adquiridas ou, ainda, a subutilização destas.

20 Gestão da Informação A gestão da informação é um processo que consiste nas atividades de busca, identificação, classificação, processamento, armazenamento e disseminação de informações, independentemente do formato ou meio em que se encontra, sejam em documentos físicos ou digitais. Dentro do contexto de um sistema de gestão da qualidade, o PDCA é um ciclo dinâmico que pode ser desdobrado dentro de cada um dos processos da organização, e para o sistema de processos como um todo. O ciclo PDCA, também é usado para gerenciamento do risco é identificado pelas iniciais de cada etapa: Plan (P), Do (D), Check (C) e Act (A), ou seja, na fase de planejamento (P) ocorre a definição do escopo do gerenciamento, a escolha do método de análise e o processo geral de avaliação de riscos; na fase de execução (D), temos o tratamento de risco, com a implementação dos controles relacionados para prevenir, detectar, evitar, aceitar e transferir os riscos; na fase de verificação (C), ocorrem as atividades de monitoramento e revisão desse processo; na fase da ação (A) ocorrem as ações para que o sistema possa ser mantido e melhorado continuamente, dando origem às ações preventivas e corretivas (DANTAS, 2011, p. 79). Segundo a ABNT NBR ISO/IEC 27001(2006, p. 4): A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. 2.7 Segurança da Informação A informação é considerada um dos principais ativos para as empresas, e como tal necessita ser protegida, portanto, segurança da informação tornase uma real necessidade no dia-a-dia das organizações, seja para proteger seus segredos de negócio, suas estratégias comerciais ou até mesmo na proteção do capital intelectual (MOREIRA, 2001, p. 2). De acordo com Sêmola (2003, p. 43), pode-se definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade.

21 21 Com as mudanças tecnológicas, a estrutura de segurança ficou maissofisticada, possuindo controles centralizados. Com a chegada dos computadores pessoais e das redes que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade, que há necessidade do desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerenciamento. (FERREIRA, 2003, p. 1-2). 2.8 Risco Risco é a probabilidade de algo que poderá acontecer ocasionando danos e prejuízos para o negócio que quando é associado a uma vulnerabilidade, irá propiciar um ataque afetando a segurança da informação. (ABNT NBR ISO/IEC 27002, 2005, p. 2). O risco é compreendido como algo que cria oportunidades ou produz perdas. Com relação à segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas. (DANTAS, 2011, p. 41). Segundo a ABNT NBR ISO/IEC (2008, p.12). Um risco é a combinação das consequências advindas da ocorrência de um evento indesejado e da probabilidade da ocorrência do mesmo. A análise/avaliação de riscos quantifica ou descreve o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com sua gravidade percebida ou com outros critérios estabelecidos. 2.9 Vulnerabilidade Vulnerabilidade pode ser considerada como uma falha ou fraqueza que, ao ser explorado, pode causar a perda ou vazamento de informação. Todo ataque explora uma fraqueza no sistema. Da mesma forma, desastre e erros de operação somente pode causar danos se existir um ponto fraco no sistema que permite que o ativo seja atingido. Esse ponto fraco pode ser um erro no código ou uma falha de especificação de segurança. (RIBEIRO, 2002, p.4). Segundo a ABNT NBR ISO/IEC (2005, p. 96). A Gestão de Vulnerabilidade tem por objetivo reduzir riscos resultantes da exploração de vulnerabilidades. Convém que a implementação da gestão seja implementada de forma efetiva, sistemática e de forma repetível com medições de confirmação da efetividade.

22 Ameaça São eventos que se aproveitam das vulnerabilidades causando danos e comprometendo sistema ou organização. Podem ser realizados por indivíduos de má índole ou pessoas não autorizadas que tenham intenção de comprometer a segurança da empresa. Segundo Ferreira e Araújo (2008, p.173). A análise de uma potencial ameaça em um sistema informatizado em um sistema informatizado deve obrigatoriamente, incluir a determinação das vulnerabilidades associadas ao seu ambiente. O objetivo desta etapa é desenvolver uma relação das vulnerabilidades do sistema (falhas ou fraquezas) que podem ser exploradas pelas potenciais fontes de ameaça Ataque É A tentativa de manipular, alterar, excluir ou até mesmo danificar um sistema ou programas. É usado um conjunto de técnicas para a realização do ataque, entre os mais comuns estão à propagação de vírus, engenharia social entre outros. Segundo Ferreira; Araújo (2008, p.119) O sucesso no ataque de engenharia social ocorre geralmente quando os alvos são as pessoas ingênuas ou aquelas que simplesmente desconhecem as melhores praticas de segurança.

23 Ferramentas de Segurança da Informação Com a participação de todos os envolvidos na organização pode-se obter a segurança da informação reduzindo e administrando os riscos relativos aos negócios, com o objetivo da continuidade da empresa no mercado. Para Ferreira e Araújo (2008, p.91). Nos casos em que o usuário se ausentar de seu local de trabalho, é recomendado que ele ative a proteção de tela/bloqueio do teclado. Se por algum motivo o usuário não fizer, como forma de proteção adicional, as estações de trabalho devem ser configuradas para o bloqueio automático após um período de inatividade. As ferramentas de segurança da informação são um conjunto de técnicas que tem o objetivo de combater ou prevenir incidentes que possam ser causados. São exemplos de ferramentas de segurança: a. Antivírus: Programas de computador que tem por objetivo prevenir, detectar e eliminar vírus de computadores. b. Backup: É a cópia de dados de um dispositivo de armazenamento a outro para que possam ser restaurados em caso da perda dos dados originais. Para Moreira (2001, p. 84) o backup é importante atividade no processo de segurança dos dados de uma empresa. Independente do porte e da atividade da empresa, todos, sem exceção, devem praticá-lo. c. Firewall reativo: Reconhece ataques e emite alarmes quando encontra pacotes com comportamentos e intenções fora do comum bloqueando o acesso indevido automaticamente. d. Proxy: Firewall que filtra pacotes na rede interna da empresa que pode vir impedir a conexão com servidores externos que podem comprometer o sistema da organização. e. IDS: Sistema de detecção de intrusos. Funciona em conjunto com sistema de firewall para dar maior segurança na comunicação. (FERREIRA; SILVA, 2012, p.20) 2.13 Política de Segurança da Informação Para Ferreira e Araújo (2008, p. 9), Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação.

24 24 Conforme a norma ABNT NBR ISSO/IEC (2005, p. 2), política são intenções e diretrizes globais formalmente expressas pela direção. Ou seja, quem sempre estabelece a política a ser aplicada na organização serão os responsáveis no nível de chefia na empresa. Uma política deve ser de fácil entendimento, pois seu objetivo é orientar, informar aos usuários e gestores sobre suas obrigações quanto à segurança e o acesso adequado às informações dentro da organização. Segundo a ABNT NBR ISO/IEC (2005, p. 8). A Política de segurança da informação tem por objetivo prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. Fazem parte da política de segurança da informação os controles de acesso físico e lógico. A Política de Segurança da Informação deve conter uma série de diretrizes de implementação. A apresentação destas diretrizes pode ser encontrada na norma ABNT ISO/IEC (2005, p. 8), onde afirma que a política deve conter: a) Uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução); b) Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio; c) Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco; d) Breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:

25 25 1) Conformidade com a legislação e com requisitos regulamentares e contratuais; 2) Requisitos de conscientização, treinamento e educação em segurança da informação; 3) Gestão da continuidade do negócio; 4) Consequências das violações na política de segurança da informação; e) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação; f) Referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir Tipos de Política Segundo Ferreira ( 2003, p.34-6). Existem três tipos de políticas: Regulatória, Consultiva, Informativa. Regulatória: O formato e o conteúdo deste documento, geralmente, são definidos como se fossem uma serie de especificações legais. Mais especificamente, este documento descreve, com grande riqueza de detalhes, o que deve ser feito, quem deve fazer e fornecer algum tipo de parecer, relatando porque tal ação é importante. Geralmente, este tipo de documento não é distribuído fora da organização, pois inclui referências especificas a funções de trabalho, transações e procedimentos exclusivos da organização. Em suma, políticas regulatórias são implementadas devido às necessidades legais que são impostas à organização, normalmente são muito especificas para um tipo de ramo de atividade. Consultiva: Este tipo de política apenas sugere, bem diretamente, quais ações ou métodos devem ser utilizados para a realização de uma determinada tarefa ou atividade. A característica desta política é prover aos usuários conhecimentos básicos das atividades cotidianas da organização. Embora estas políticas não sejam muito divulgadas aos usuários, existem certos riscos que devem ser considerados devido ao não cumprimento, como: Aumento da possibilidade de omissão de informações importantes para tomada de decisões aos negócios da organização; Falhas no processo de comunicação com a Alta Administração; Perda de prazos de compromissos importantes para os negócios da organização. Informativa: É aquela que possui caráter apenas informativo. Nenhuma ação é desejada e não existem riscos, caso não seja cumprida. Embora este tipo não seja rigoroso quanto à regulatória e à consultiva, também pode contemplar uma serie de observações importantes, bem como advertências severas, por exemplo, uso de

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Políticas de Segurança da Informação e Utilização de Recursos da Rede

Políticas de Segurança da Informação e Utilização de Recursos da Rede Políticas de Segurança da Informação e Utilização de Recursos da Rede Índice 1 Introdução... 3 2 Política de cadastro e senhas... 5 3 Política de Utilização da Internet... 7 4 Política de Utilização de

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ABNT 21:204.01-010 A Política de segurança da informação, na FK EQUIPAMENTOS, aplica-se a todos os funcionários, prestadores de serviços, sistemas e

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo )

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) A Política de segurança da informação, na A EMPRESA, aplica-se a todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA GADE SOLUTION Tatiana Lúcia Santana GADE SOLUTION 1. Conceituação: A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz

Leia mais

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente,

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente, PORTARIA Nº 7876 Dispõe sobre a Norma PSI/N.0001 - Utilização da Estação de Trabalho, nos termos dos arts. 20 e 24, da Resolução nº 041/2010-SPDE. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ABNT 21:204.01-010 A Política de segurança da informação, na empresa Agiliza Promotora de Vendas, aplica-se a todos os funcionários, prestadores de

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Fabio Eder Cardoso 1 Paulo Cesar de Oliveira 2 Faculdade de Tecnologia de Ourinhos - FATEC 1. INTRODUÇÃO A informação é o elemento básico para que a evolução

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA A FIESP esclarece que as informações apresentadas na presente Cartilha são apenas sugestões para auxiliar as

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17.

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17. REGULAMENTO INTERNO DO USO E ADMINISTRAÇÃO DOS RECURSOS COMPUTACIONAIS E DA REDE DA FACULDADE PROCESSUS CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Este ato tem como objetivo definir o uso e administração

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER.

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. 1. SEGURANÇA DA INFORMAÇÃO A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DATA: 25/01/2016 VERSÃO 2.0 VERSÃO 2 25/01/2016 ÁLVARO BARBOSA SUMÁRIO I. INTRODUÇÃO... 3 II. PAPÉIS E RESPONSABILIDADES... 4 II.1 - COMITÊ EXECUTIVO... 4 II.2 - CONTROLES

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

POLÍTICA DE USO DE CORREIO ELETRÔNICO da SECRETARIA DA SAÚDE DO ESTADO DO CEARÁ

POLÍTICA DE USO DE CORREIO ELETRÔNICO da SECRETARIA DA SAÚDE DO ESTADO DO CEARÁ POLÍTICA DE USO DE CORREIO ELETRÔNICO da SECRETARIA DA SAÚDE DO ESTADO DO CEARÁ 1. OBJETIVO Definir os requisitos e as regras de segurança para o uso do correio eletrônico (e-mail) no âmbito da SESA (Secretaria

Leia mais

NORMAS PARA UTILIZAÇÃO DA REDE SETUR

NORMAS PARA UTILIZAÇÃO DA REDE SETUR NORMAS PARA UTILIZAÇÃO DA REDE SETUR GETAD/TECNOLOGIA DA INFORMAÇÃO 1-OBJETIVO Esta norma estabelece os critérios e procedimentos relacionados à utilização da REDE SETUR por todos os servidores, estagiários

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02 Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE Revisão 02 As informações contidas neste documento são restritas à ALCE, não podendo ser divulgadas a terceiros

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Segurança Física de acesso aos dados

Segurança Física de acesso aos dados Segurança Física de acesso aos dados Segurança Física de acesso aos dados 1 A Segurança Física tem como objetivos específicos: ü Proteger edificações e equipamentos; ü Prevenir perda, dano ou comprometimento

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DEFENDA BUSINESS PROTECTION SERVICES & SOLUTIONS Direitos Autorais Este documento contém informações de propriedade da Defenda Business Protection Services & Solutions.

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

[ ossa Missão ] [Workshop de Segurança da Informação]

[ ossa Missão ] [Workshop de Segurança da Informação] [Workshop de Segurança da Informação] [ ossa Missão ] Prover Confidencialidade, Integridade e Disponibilidades para os nossos clientes Proporcionando um diferencial mercadológico para os mesmos. Incidentes

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO ANEXO ÚNICO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SECRETARIA DE ESTADO DE PLANEJAMENTO E ORÇAMENTO DO DISTRITO FEDERAL (PoSIC/SEPLAN) Sumário OBJETIVO... 2 DO ESCOPO DA POLÍTICA... 2 DOS CONCEITOS

Leia mais

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP Título : Política institucional de segurança da informação. Capítulo : Índice Seção : Capítulo Seção Item Descrição 3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos

Leia mais

POLÍTICA DE UTILIZAÇÃO DE COMPUTADORES E REDES - PUR

POLÍTICA DE UTILIZAÇÃO DE COMPUTADORES E REDES - PUR 1. INTRODUÇÃO CENTRO UNIVERSITÁRIO DO PLANALTO DE ARAXÁ POLÍTICA DE UTILIZAÇÃO DE COMPUTADORES E REDES - PUR Este documento pretende descrever como deverá ser o uso apropriado dos recursos de computação

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO:

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO: SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicações da Universidade Federal

Leia mais

PSI POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

PSI POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PSI POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Índice Apresentação... 01 Objetivo... 02 1. Divulgação e acesso à estrutura normativa... 03 2. Diretrizes de segurança da informação 2.1. Proteção da informação...

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

POLÍTICA, PADRÕES E PROCEDIMENTOS DE INFORMAÇÃO. Rogério Nunes de Freitas

POLÍTICA, PADRÕES E PROCEDIMENTOS DE INFORMAÇÃO. Rogério Nunes de Freitas POLÍTICA, PADRÕES E PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO Rogério Nunes de Freitas Política : texto de alto nível, que dá direcionamento geral e significado aos objetivos e intenções da administração

Leia mais

REGULAMENTO DE USO DOS RECURSOS COMPUTACIONAIS E INTERNET

REGULAMENTO DE USO DOS RECURSOS COMPUTACIONAIS E INTERNET 1 REGULAMENTO DE USO DOS RECURSOS COMPUTACIONAIS E INTERNET Ricardo Machado Torres Ricardo Ariel Correa Rabelo Renata Azevedo Santos Carvalho José Albérico Gonçalves Ferreira Fábio Severo da Silva ARACAJU

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais