TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO

Tamanho: px
Começar a partir da página:

Download "TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO"

Transcrição

1 TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO BRASÍLIA DF 2013

2 2 KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para obtenção do título de tecnólogo no Curso de Tecnologia em Segurança da Informação. Orientador (a) Profa. Dra. Maria José de Oliveira BRASÍLIA DF 2013

3 3 KELVIN SALES PEREIRA SANTOS PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA AVANTI TURISMO Trabalho de Conclusão de Curso apresentado às Faculdades Promove de Brasília, como requisito parcial para obtenção do título de tecnólogo no curso de Tecnologia em Segurança da Informação. Aprovado em: / / por: Maria José de Oliveira Orientadora: Profa. Dra. Maria José de Oliveira Dirceu Silva da Silva Junior Avaliador: Prof.Esp. Cid Bendahan Coelho Cintra Avaliador: Prof. Dr.

4 4 RESUMO O objetivo do trabalho é fazer uma proposta de Política de Segurança da Informação Física e Lógica para a empresa Avanti Turismo, mostrando os pontos de vulnerabilidades encontrados e levantados na análise de risco. Para elaboração do trabalho, foi realizado um levantamento de como a instituição se encontra em relação à segurança da informação, averiguando a situação dos ativos e levantando os pontos vulneráveis. Os pontos identificados de vulnerabilidades foram analisados do ponto de vista dos riscos que podem apresentar para a segurança da informação crítica da instituição. Com base nas análises realizadas, foi elabora esta proposta de política de segurança da informação com base na norma ABNT NBR ISO/IEC (2005), com o objetivo de assegurar ao ativo informação os parâmetros de segurança adequados. Palavras-chave: Política de Segurança da Informação, vulnerabilidades, riscos, Avanti Turismo, análise de risco, ABNT NBR ISO/IEC (2005).

5 5 ABSTRACT The objective is to make a proposal for the Physical and Logical Information Security Policy for the company Turismo Avanti, showing the points of vulnerabilities found and raised on risk analysis. To develop this work, a survey of how the institution is in relation to information security, assessing the situation of assets and raising the vulnerable points was performed. The points identified vulnerabilities have been analyzed from the point of view of the risks they may present to the security of critical information to the institution. Based on the performed analysis it elaborates this proposed information security policy based on the standard ISO / IEC (2005), with the aim of ensuring the active information appropriate security parameters. Keywords: Information Security Policy, vulnerabilities, risks, Avanti Destinations, risk analysis, ISO / IEC (2005).

6 6 LISTA DE FIGURAS Página Figura 1 Entrada do setor corporativo Figura 2 Saída do setor corporativo Figura 3 Documentos arquivados na copa Figura 4 Caixas contendo documentos importantes Figura 5 Multifuncional utilizada por todos no corporativo Figura 6 Servidor Figura 7 Computadores utilizados no setor Figura 8 Sala de Trabalho Figura 9 Local de vendas Figura 10 Estação de Trabalho Figura 11 Cofre da Gerência... 35

7 7 LISTA DE QUADROS Página Quadro 1 Níveis de Risco Quadro 2 Matriz de Risco... 37

8 8 SUMÁRIO Capítulo I INTRODUÇÃO Justificativa Objetivos Geral Específicos Procedimentos metodológicos Organização da monografia Capítulo II REFERENCIAL TEÓRICO Informação Ativo Caracteristicas da Informação Integridade Disponibilidade Confidencialidade Classificação da Informação Valor da Informação Gestão da Informação Segurança da Informação Risco Vulnerabilidade Ameaça Ataque Ferramentas de Segurança da Informação... 23

9 Política de Segurança da Informação Tipos de Política Controle de Acesso Físico Controle de Acesso Lógico Política de Redes Capítulo III ESTUDO DE CASO A Instituição Setor Corporativo Setor de Vendas Matriz de Risco Capítulo IV PROPOSTA DE POLÍTICA DE SEGURANÇA FÍSICA E LÓGICA PARA A EMPRESA AVANTI TURISMO Instituição Objetivo Abrangência da Política Definições Básicas Referências Diretrizes Instituição Servidor e Estações de Trabalho Sistema Rede Arquivos da Informações... 45

10 Responsabilidades Supervisores e Administradores Setor Corporativo (Funcionários e Servidores) Setor de Vendas Conformidade Penalidades Disposições Gerais Conclusão Referências... 49

11 11 CAPÍTULO I INTRODUÇÃO Nos tempos modernos a informação é considerada pelas empresas, corporações e organizações, um patrimônio de valor imprescindível para os negócios, tanto para tomadas de decisões quanto para o crescimento dos mesmos. Portanto, deve ser protegida e resguardada contra qualquer tipo de acesso não autorizado que possa vir a causar problemas para a organização. Atualmente, com o grande número de mecanismos de captação de informações via Internet, as empresas precisam estar atentas para qualquer vulnerabilidade em seus sistemas que possam causar algum dano. Assim sendo, do mesmo modo que uma empresa precisa oferecer qualidade nos serviços, precisa também se adequar às necessidades de segurança, para que, no futuro, não venha sofrer com os próprios erros, no caso, não defender tecnologicamente o seu patrimônio. A segurança da informação deve ser levada a sério, pois o valor de uma informação é muito grande, levando em conta seu grau de sigilo, pois, o vazamento de uma informação pode custar à sobrevivência da empresa no mercado. A norma ABNT NBR ISO/IEC 27002:2005 é a base legal para uma política de segurança da informação séria e confiável, por trazer todo um conjunto de regras e normas que deverão se seguidos e que darão subsídios para uma correta aplicação das diretrizes voltadas a segurança tanto nos aspectos físicos quanto nos aspectos lógicos da organização. A informação é muito importante para a Avanti Turismo¹, pois sua credibilidade depende de como ela manuseará e protegerá dados sigilosos de clientes e empresas parceiras. O principal objetivo do trabalho é propor uma política de segurança da informação para a Avanti Turismo, garantido assim o progresso da organização e o desenvolvimento da mesma para se adequar ao que é exigido nos dias de hoje. ¹ Avanti Turismo é um nome fictício e foi usado para resguardar a imagem da Empresa.

12 JUSTIFICATIVA Atualmente a Avanti Turismo não possui uma Política de Segurança da Informação. Existe entre os funcionários uma grande desinformação com relação aos ativos da empresa, sua segurança e importância, o que causa um grande risco de enfrentar problemas de vazamentos de dados sigilosos e de não saberem lidar com os problemas. Dessa forma, é necessário o desenvolvimento de uma política de segurança para a empresa que mantenha os dados de clientes e funcionários seguros. A empresa Avanti Turismo necessita de um melhor controle de acesso físico e lógico nos setores que envolvem os sistemas com as informações. Por meio deste trabalho será possível planejar e aplicar métodos que ajudem a melhorar o controle de acesso físico e lógico, aumentar a segurança e assegurar a confidencialidade, disponibilidade e integridade das informações importantes da empresa, dando mais credibilidade e mais agilidade nas tomadas de decisões e processos que envolvam incidentes com o ativo de informação na organização. 1.2 OBJETIVOS Geral Elaborar uma Política de Segurança da informação física e lógica baseada na norma ABNT NBR ISO/IEC 27002:2005 para a empresa Avanti Turismo, visando à proteção e prevenção de incidentes aos seus ativos de informação Específicos a) Identificar as vulnerabilidades que ameaçam os ativos de informação na empresa Avanti Turismo; b) Levantar os controles de segurança da informação existentes na empresa referentes à Segurança Física e Lógica dos ativos;

13 13 c) Propor uma conscientização dos funcionários com relação ao manuseio de informações dentro da empresa Avanti Turismo; d) Propor uma política de segurança física e lógica para a informação na Avanti Turismo. 1.3 PROCEDIMENTOS METODOLÓGICOS A metodologia empregada envolveu estudo de campo, onde foram identificados os ativos de informação e as vulnerabilidades no ambiente da organização. Após o levantamento dos dados, foi feita a análise de risco para analisar todas as vulnerabilidades na organização que podem comprometer a segurança dos ativos e a continuidade do negócio. Além disso, foram realizadas pesquisas bibliográficas, que permitem que se tome conhecimento de material relevante, servindo de base para o desenvolvimento do tema. Foi utilizada a Norma ABNT NBR ISO/IEC 27002:2005 como principal fonte para a elaboração da política visando padronização e garantia de eficácia na montagem de diretrizes e boas praticas de seguranças da informação. Livros, monografias, pesquisas e outras normas relacionadas à segurança da informação também foram utilizadas neste trabalho. O método de investigação científica utilizado foi o estudo de caso, levantando informações de como a Empresa Avanti Turismo realiza seus controles internos e externos da informação e o manuseio de documentos relevantes à Organização. 1.4 ORGANIZAÇÃO DA MONOGRAFIA Este trabalho está estruturado em quatro capítulos: O capítulo 1 apresenta a introdução do trabalho; O capítulo 2 consiste no capítulo de referencial teórico formado por conceitos e leitura técnica referente à segurança da informação;

14 14 O capítulo 3 consiste no estudo de caso, formado pelas avaliações e análises realizadas na organização. O capítulo 4 propõe uma Política de Segurança da Informação para AVANTI TURISMO. O trabalho é finalizado com a conclusão, onde são apresentadas as considerações finais sobre o tema desenvolvido.

15 15 2. REFERÊNCIAL TEÓRICO 2.1 Informação CAPÍTULO II A informação é um ativo digital valioso para qualquer organização, independentemente de atividade. Tudo gira em torno do quão valioso é a informação, de quanto ela é sensível e o quanto ela representa para o negócio. (MOREIRA, 2001, p. 8). O proprietário das informações é o responsável pela autorização do acesso às informações, considerando as políticas vigentes dentro da organização O usuário das informações é qualquer individuo com acesso às informações da organização, seja um funcionário ou um contratado, com atividades internas ou em seu próprio escritório. (FERREIRA; ARAÚJO, 2008, p.73). Segundo Sêmola (2003, p. 45) a informação é apresentada por meio de um conjunto de dados utilizados para transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos. Entretanto, a informação é um ativo fundamental para toda organização, a qual deve ser devidamente preservada e manuseada com comprometimento, para uma efetiva tomada de decisão em qualquer área de negócio. 2.2 Ativo Ativo é todo tipo de bem que uma empresa possui incluindo a informação, que necessita ser protegida para que o negócio continue funcionando. Quando o ativo sofre algum tipo de alteração ou se torna indisponível, pode afetar o funcionamento das atividades da empresa causando prejuízo à mesma. Ativo é tudo que manipula direta e indiretamente uma informação, inclusive a própria informação, dentro de uma organização (MOREIRA, 2001, p.20). Sêmola (2003, p.45) define o ativo como todo elemento que compõe os processos que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada.

16 16 De acordo com a Norma ABNT NBR ISO/IEC (2008, p.30), os ativos podem ser identificados de duas maneiras: Ativos primários e ativos de suporte e infraestrutura. 1. Ativos primários: Processos e atividades do negocio Informação 2. Ativos de suporte e infraestrutura (sobre os quais os elementos primários do escopo se apoiam), de todos os tipos: Hardware Software Rede Recursos Humanos Instalações físicas Estrutura da organização. 2.3 Características da Informação Para ser utilizada, a informação necessita garantir três características fundamentais: a integridade, a disponibilidade e a confidencialidade que devem ser preservadas, pois são tidas como princípios da segurança da informação. Preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. (ABNT NBR ISO/IEC , p.1). Ao se falar em segurança da informação, devem-se levar em consideração essas qualidades da informação, pois toda ação que venha a comprometer qualquer uma dessas qualidades estará atentando contra a sua segurança.

17 Integridade Conforme Ferreira (2003, p 61), a integridade consiste em proteger a informação contra modificação sem permissão explícita do proprietário daquela informação. A modificação inclui ações como: escrita, alteração de status, alteração de conteúdo, remoção e criação de informações. A integridade é a garantia da exatidão e completeza da informação e dos métodos de processamento. (ABNT NBR ISO/IEC 27002, 2005, p. 87) Disponibilidade Garantir a integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça consistente. Contribuem para a perda da integridade: as inserções, substituições ou exclusões de parte do conteúdo da informação; as alterações nos seus elementos de suporte, que podem ocorrer quando são realizadas alterações na estrutura física e lógica onde ela está armazenada, ou quando as configurações de um sistema são alteradas para se ter acesso a informações restritas, bem como são superadas as barreiras de segurança de uma rede de computadores. (DANTAS, 2011, p. 11-2). A disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. (ABNT NBR ISO/IEC 27002, 2005, p. 80). Ocorre a quebra da disponibilidade quando a informação não está disponível para ser utilizada, ou seja, ao alcance de seus usuários e destinatários, não podendo ser acessada no momento em que for necessário utilizá-la. Garantir a disponibilidade é assegurar o êxito da leitura, do trânsito e do armazenamento da informação. (DANTAS, 2011, p. 12-3) Confidencialidade A confidencialidade é a garantia de que a informação é acessível somente a pessoas autorizadas terem acesso. (ABNT NBR ISO/IEC 27002, 2005, p. 12). Ocorre a quebra da confidencialidade da informação ao se permitir que pessoas não autorizadas tenham acesso ao seu conteúdo. A perda da confidencialidade é a perda do segredo da informação. Garantir a confidencialidade é assegurar o valor da informação e evitar a divulgação indevida. (DANTAS, 2011, p. 13-4).

18 18 De acordo com a ABNT NBR ISO/IEC (2005 apud DANTAS, 2011, p. 14-5), Acrescenta que outras propriedades também podem estar envolvidas na área de segurança da informação, tais como: a autenticidade, a responsabilidade, o não repúdio e a confiabilidade. Autenticidade: é a garantia de que a informação é oriunda da fonte que lhe é atribuída e elaborada por quem tem autoridade para tal. Confiabilidade: é a garantia de que a informação é confiável, oriunda de uma fonte autêntica e que expressa uma mensagem verdadeira. Não Repúdio: é a garantida de que a informação chegará ao destino certo e não será repudiada. Responsabilidade: é a coparticipação de responsabilidades por todos os que produzem, manuseiam, transportam e descartam a informação, seus sistemas e redes de trabalho. Desse modo, a autenticidade do emissor é a garantia de que quem se apresenta como remetente é realmente quem diz ser. A confiabilidade é a garantia de que a informação está completa e igual à sua forma original quando do envio pelo remetente, e expressa uma verdade. O não repúdio é a garantia de que o emissor ou receptor não tem como alegar que a comunicação não ocorreu, e a responsabilidade diz respeito aos deveres e proibições entre remetente e destinatário. (DANTAS, 2011, p. 15). 2.4 Classificação da Informação Ferreira (2003, p. 23-4), classifica as informações como: Informação não classificada - Informações que, se forem divulgadas fora da organização, não trarão impacto aos negócios; Informação interna - O acesso externo às informações deve ser evitado; Informação confidencial - As informações dessa classe devem ser confidenciais dentro da organização e protegida de acesso externo; Informação secreta - O acesso interno ou externo não autorizado a estas informações é extremamente crítico para a organização. A classificação das informações é necessária para seu melhor gerenciamento. Se implementada corretamente, a classificação reduz drasticamente o custo com recursos para proteger as informações e ajuda na implementação de controles onde realmente são necessários.

19 19 Ferreira e Araújo (2006, p.49), concordam que a classificação da informação é o processo de estabelecer o grau de importância das informações mediante seu impacto no negócio. O processo de classificação aumenta a confiabilidade dos dados garantindo sua confidencialidade, integridade e disponibilidade. De acordo com Ferreira (2003, p.28): Após a classificação das aplicações e das informações, deve-se elaborar e implementar procedimentos para o monitoramento contínuo. Geralmente, o departamento de auditoria da organização fica encarregado de liberar de liberar e iniciar esta atividade para garantir a conformidade com a política organizacional. O Security Officer, em conjunto com os proprietários da informação, deve, periodicamente, revisar as informações classificadas para assegurar que elas estão adequadamente classificadas. Adicionalmente, os privilégios e direitos de acesso dos usuários devem ser revisados para assegurar que estão de acordo com as necessidades de cada um. 2.5 Valor da Informação A informação é um patrimônio, é algo de valor. Não se trata de um monte de bytes aglomerados, mas sim de um conjunto de dados classificados e organizados de forma que uma pessoa ou uma empresa possa tirar proveito. A informação é inclusive um fator que pode determinar a sobrevivência ou a descontinuidade das atividades de um negócio. E isso não é difícil de ser entendido, basta imaginar o que aconteceria se uma instituição financeira perdesse todas as informações de seus clientes. Apesar de possível, muito dificilmente uma empresa de grande porte consegue perder suas informações, principalmente quando se fala de bancos, cadeias de lojas, entre outros. No entanto, o que ocorre com mais frequência é o uso inadequado das informações adquiridas ou, ainda, a subutilização destas.

20 Gestão da Informação A gestão da informação é um processo que consiste nas atividades de busca, identificação, classificação, processamento, armazenamento e disseminação de informações, independentemente do formato ou meio em que se encontra, sejam em documentos físicos ou digitais. Dentro do contexto de um sistema de gestão da qualidade, o PDCA é um ciclo dinâmico que pode ser desdobrado dentro de cada um dos processos da organização, e para o sistema de processos como um todo. O ciclo PDCA, também é usado para gerenciamento do risco é identificado pelas iniciais de cada etapa: Plan (P), Do (D), Check (C) e Act (A), ou seja, na fase de planejamento (P) ocorre a definição do escopo do gerenciamento, a escolha do método de análise e o processo geral de avaliação de riscos; na fase de execução (D), temos o tratamento de risco, com a implementação dos controles relacionados para prevenir, detectar, evitar, aceitar e transferir os riscos; na fase de verificação (C), ocorrem as atividades de monitoramento e revisão desse processo; na fase da ação (A) ocorrem as ações para que o sistema possa ser mantido e melhorado continuamente, dando origem às ações preventivas e corretivas (DANTAS, 2011, p. 79). Segundo a ABNT NBR ISO/IEC 27001(2006, p. 4): A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. 2.7 Segurança da Informação A informação é considerada um dos principais ativos para as empresas, e como tal necessita ser protegida, portanto, segurança da informação tornase uma real necessidade no dia-a-dia das organizações, seja para proteger seus segredos de negócio, suas estratégias comerciais ou até mesmo na proteção do capital intelectual (MOREIRA, 2001, p. 2). De acordo com Sêmola (2003, p. 43), pode-se definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade.

21 21 Com as mudanças tecnológicas, a estrutura de segurança ficou maissofisticada, possuindo controles centralizados. Com a chegada dos computadores pessoais e das redes que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade, que há necessidade do desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerenciamento. (FERREIRA, 2003, p. 1-2). 2.8 Risco Risco é a probabilidade de algo que poderá acontecer ocasionando danos e prejuízos para o negócio que quando é associado a uma vulnerabilidade, irá propiciar um ataque afetando a segurança da informação. (ABNT NBR ISO/IEC 27002, 2005, p. 2). O risco é compreendido como algo que cria oportunidades ou produz perdas. Com relação à segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas. (DANTAS, 2011, p. 41). Segundo a ABNT NBR ISO/IEC (2008, p.12). Um risco é a combinação das consequências advindas da ocorrência de um evento indesejado e da probabilidade da ocorrência do mesmo. A análise/avaliação de riscos quantifica ou descreve o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com sua gravidade percebida ou com outros critérios estabelecidos. 2.9 Vulnerabilidade Vulnerabilidade pode ser considerada como uma falha ou fraqueza que, ao ser explorado, pode causar a perda ou vazamento de informação. Todo ataque explora uma fraqueza no sistema. Da mesma forma, desastre e erros de operação somente pode causar danos se existir um ponto fraco no sistema que permite que o ativo seja atingido. Esse ponto fraco pode ser um erro no código ou uma falha de especificação de segurança. (RIBEIRO, 2002, p.4). Segundo a ABNT NBR ISO/IEC (2005, p. 96). A Gestão de Vulnerabilidade tem por objetivo reduzir riscos resultantes da exploração de vulnerabilidades. Convém que a implementação da gestão seja implementada de forma efetiva, sistemática e de forma repetível com medições de confirmação da efetividade.

22 Ameaça São eventos que se aproveitam das vulnerabilidades causando danos e comprometendo sistema ou organização. Podem ser realizados por indivíduos de má índole ou pessoas não autorizadas que tenham intenção de comprometer a segurança da empresa. Segundo Ferreira e Araújo (2008, p.173). A análise de uma potencial ameaça em um sistema informatizado em um sistema informatizado deve obrigatoriamente, incluir a determinação das vulnerabilidades associadas ao seu ambiente. O objetivo desta etapa é desenvolver uma relação das vulnerabilidades do sistema (falhas ou fraquezas) que podem ser exploradas pelas potenciais fontes de ameaça Ataque É A tentativa de manipular, alterar, excluir ou até mesmo danificar um sistema ou programas. É usado um conjunto de técnicas para a realização do ataque, entre os mais comuns estão à propagação de vírus, engenharia social entre outros. Segundo Ferreira; Araújo (2008, p.119) O sucesso no ataque de engenharia social ocorre geralmente quando os alvos são as pessoas ingênuas ou aquelas que simplesmente desconhecem as melhores praticas de segurança.

23 Ferramentas de Segurança da Informação Com a participação de todos os envolvidos na organização pode-se obter a segurança da informação reduzindo e administrando os riscos relativos aos negócios, com o objetivo da continuidade da empresa no mercado. Para Ferreira e Araújo (2008, p.91). Nos casos em que o usuário se ausentar de seu local de trabalho, é recomendado que ele ative a proteção de tela/bloqueio do teclado. Se por algum motivo o usuário não fizer, como forma de proteção adicional, as estações de trabalho devem ser configuradas para o bloqueio automático após um período de inatividade. As ferramentas de segurança da informação são um conjunto de técnicas que tem o objetivo de combater ou prevenir incidentes que possam ser causados. São exemplos de ferramentas de segurança: a. Antivírus: Programas de computador que tem por objetivo prevenir, detectar e eliminar vírus de computadores. b. Backup: É a cópia de dados de um dispositivo de armazenamento a outro para que possam ser restaurados em caso da perda dos dados originais. Para Moreira (2001, p. 84) o backup é importante atividade no processo de segurança dos dados de uma empresa. Independente do porte e da atividade da empresa, todos, sem exceção, devem praticá-lo. c. Firewall reativo: Reconhece ataques e emite alarmes quando encontra pacotes com comportamentos e intenções fora do comum bloqueando o acesso indevido automaticamente. d. Proxy: Firewall que filtra pacotes na rede interna da empresa que pode vir impedir a conexão com servidores externos que podem comprometer o sistema da organização. e. IDS: Sistema de detecção de intrusos. Funciona em conjunto com sistema de firewall para dar maior segurança na comunicação. (FERREIRA; SILVA, 2012, p.20) 2.13 Política de Segurança da Informação Para Ferreira e Araújo (2008, p. 9), Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação.

24 24 Conforme a norma ABNT NBR ISSO/IEC (2005, p. 2), política são intenções e diretrizes globais formalmente expressas pela direção. Ou seja, quem sempre estabelece a política a ser aplicada na organização serão os responsáveis no nível de chefia na empresa. Uma política deve ser de fácil entendimento, pois seu objetivo é orientar, informar aos usuários e gestores sobre suas obrigações quanto à segurança e o acesso adequado às informações dentro da organização. Segundo a ABNT NBR ISO/IEC (2005, p. 8). A Política de segurança da informação tem por objetivo prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. Fazem parte da política de segurança da informação os controles de acesso físico e lógico. A Política de Segurança da Informação deve conter uma série de diretrizes de implementação. A apresentação destas diretrizes pode ser encontrada na norma ABNT ISO/IEC (2005, p. 8), onde afirma que a política deve conter: a) Uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução); b) Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio; c) Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco; d) Breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:

25 25 1) Conformidade com a legislação e com requisitos regulamentares e contratuais; 2) Requisitos de conscientização, treinamento e educação em segurança da informação; 3) Gestão da continuidade do negócio; 4) Consequências das violações na política de segurança da informação; e) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação; f) Referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir Tipos de Política Segundo Ferreira ( 2003, p.34-6). Existem três tipos de políticas: Regulatória, Consultiva, Informativa. Regulatória: O formato e o conteúdo deste documento, geralmente, são definidos como se fossem uma serie de especificações legais. Mais especificamente, este documento descreve, com grande riqueza de detalhes, o que deve ser feito, quem deve fazer e fornecer algum tipo de parecer, relatando porque tal ação é importante. Geralmente, este tipo de documento não é distribuído fora da organização, pois inclui referências especificas a funções de trabalho, transações e procedimentos exclusivos da organização. Em suma, políticas regulatórias são implementadas devido às necessidades legais que são impostas à organização, normalmente são muito especificas para um tipo de ramo de atividade. Consultiva: Este tipo de política apenas sugere, bem diretamente, quais ações ou métodos devem ser utilizados para a realização de uma determinada tarefa ou atividade. A característica desta política é prover aos usuários conhecimentos básicos das atividades cotidianas da organização. Embora estas políticas não sejam muito divulgadas aos usuários, existem certos riscos que devem ser considerados devido ao não cumprimento, como: Aumento da possibilidade de omissão de informações importantes para tomada de decisões aos negócios da organização; Falhas no processo de comunicação com a Alta Administração; Perda de prazos de compromissos importantes para os negócios da organização. Informativa: É aquela que possui caráter apenas informativo. Nenhuma ação é desejada e não existem riscos, caso não seja cumprida. Embora este tipo não seja rigoroso quanto à regulatória e à consultiva, também pode contemplar uma serie de observações importantes, bem como advertências severas, por exemplo, uso de

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ABNT 21:204.01-010 A Política de segurança da informação, na empresa Agiliza Promotora de Vendas, aplica-se a todos os funcionários, prestadores de

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DEFENDA BUSINESS PROTECTION SERVICES & SOLUTIONS Direitos Autorais Este documento contém informações de propriedade da Defenda Business Protection Services & Solutions.

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

III. Norma Geral de Segurança da Informação para Uso da Internet

III. Norma Geral de Segurança da Informação para Uso da Internet O B J E CT I V O Estabelecer critérios para acesso à Internet utilizando recursos do Projecto Portal do Governo de Angola. Orientar os Utilizadores sobre as competências, o uso e responsabilidades associadas

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17.

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17. REGULAMENTO INTERNO DO USO E ADMINISTRAÇÃO DOS RECURSOS COMPUTACIONAIS E DA REDE DA FACULDADE PROCESSUS CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Este ato tem como objetivo definir o uso e administração

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA GADE SOLUTION Tatiana Lúcia Santana GADE SOLUTION 1. Conceituação: A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Norma de Segurança Estadual para Gerenciamento de Senhas

Norma de Segurança Estadual para Gerenciamento de Senhas GOVERNO DO ESTADO DE MATO GROSSO SECRETARIA DE ESTADO DE PLANEJAMENTO E COORDENAÇÃO GERAL CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE INFORMAÇÃO E TECNOLOGIA DA INFORMAÇÃO ANEXO I - RESOLUÇÃO Nº. 011/2011

Leia mais

Superior Tribunal de Justiça

Superior Tribunal de Justiça Superior Tribunal de Justiça RESOLUÇÃO STJ/GP N. 11 DE 12 DE NOVEMBRO DE 2015. Institui a política de segurança da informação do Superior Tribunal de Justiça e dá outras providências. O PRESIDENTE DO SUPERIOR

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente,

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente, PORTARIA Nº 7876 Dispõe sobre a Norma PSI/N.0001 - Utilização da Estação de Trabalho, nos termos dos arts. 20 e 24, da Resolução nº 041/2010-SPDE. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Políticas de Segurança da Informação e Utilização de Recursos da Rede

Políticas de Segurança da Informação e Utilização de Recursos da Rede Políticas de Segurança da Informação e Utilização de Recursos da Rede Índice 1 Introdução... 3 2 Política de cadastro e senhas... 5 3 Política de Utilização da Internet... 7 4 Política de Utilização de

Leia mais

Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012

Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012 Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012 Institui a Política de Segurança da Informação da Câmara dos Deputados e dá outras providências. A MESA DA CÂMARA DOS DEPUTADOS, no uso de suas atribuições regimentais,

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL 1 OBJETIVO A Política de Segurança da Informação do Instituto Federal Sul-rio-grandense estabelece as diretrizes para a segurança da informação, visando preservar

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC NUCLEO CONSULTORIA EM SEGURANÇA Artigo SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO BRASIL, São Paulo Novembro, 2013 V.1.0 1. RESUMO Este artigo apresenta

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Página: 1 de 5 1. INTRODUÇÃO A informação é um ativo que possui grande importância para PRÓ-MEMÓRIA, sendo resguardada contra ameaças e riscos. Segurança da informação, segundo a NBR ISO/IEC 27002:2005,

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador Programas Maliciosos 2001 / 1 Segurança de Redes/Márcio d Ávila 182 Vírus de Computador Vírus de computador Código intruso que se anexa a outro programa Ações básicas: propagação e atividade A solução

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

Sistema de Gestão da Qualidade

Sistema de Gestão da Qualidade Sistema de Gestão da Qualidade Coordenadora Responsável Mara Luck Mendes, Jaguariúna, SP, mara@cnpma.embrapa.br RESUMO Em abril de 2003 foi lançado oficialmente pela Chefia da Embrapa Meio Ambiente o Cronograma

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. Aprova a instituição e o funcionamento da equipe de tratamento e resposta a incidentes em redes computacionais do IPEA.

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

POLÍTICA, PADRÕES E PROCEDIMENTOS DE INFORMAÇÃO. Rogério Nunes de Freitas

POLÍTICA, PADRÕES E PROCEDIMENTOS DE INFORMAÇÃO. Rogério Nunes de Freitas POLÍTICA, PADRÕES E PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO Rogério Nunes de Freitas Política : texto de alto nível, que dá direcionamento geral e significado aos objetivos e intenções da administração

Leia mais

EXPLORITAS ADMINISTRAÇÃO FINANCEIRA LTDA MANUAL DE SEGURANÇA DA INFORMAÇÃO

EXPLORITAS ADMINISTRAÇÃO FINANCEIRA LTDA MANUAL DE SEGURANÇA DA INFORMAÇÃO EXPLORITAS ADMINISTRAÇÃO FINANCEIRA LTDA MANUAL DE SEGURANÇA DA INFORMAÇÃO Janeiro 2016 O NÃO CUMPRIMENTO DESTE MANUAL PODERÁ RESULTAR EM AÇÕES DISCIPLINARES APROPRIADAS, INCLUINDO ADVERTÊNCIAS, QUE PODERÃO

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

GERENCIAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação e Comunicações Núcleo de Segurança da Informação Código: NO06 Revisão: 0.0 Vigência:

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Nº de Páginas: 1 / 5 1. OBJETIVOS Os objetivos desta Política de Segurança da Informação são estabelecer orientações gerais de segurança da informação no âmbito da Braslight, fornecendo o apoio conceitual

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES () Versão 2.0 08/08/2014 Política de Segurança da Informação e Comunicações - SUMÁRIO 1 FINALIDADE... 2 2 ABRANGÊNCIA... 2 3 CONCEITOS... 2 3.1 Autenticidade...

Leia mais

SIG - Sistemas de Informações Gerenciais. Segurança da Informação

SIG - Sistemas de Informações Gerenciais. Segurança da Informação Segurança da Informação Importância da Informação A Informação é considerada atualmente como um dos principais patrimônio de uma organização. Importância da Informação Ela é um ativo que, como qualquer

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Conheça a NBR ISO/IEC 27002

Conheça a NBR ISO/IEC 27002 Conheça a NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar,

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DATA: 25/01/2016 VERSÃO 2.0 VERSÃO 2 25/01/2016 ÁLVARO BARBOSA SUMÁRIO I. INTRODUÇÃO... 3 II. PAPÉIS E RESPONSABILIDADES... 4 II.1 - COMITÊ EXECUTIVO... 4 II.2 - CONTROLES

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 229/2013 Aprova a Norma Complementar de Criação da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL

Leia mais

Código de Conduta e Ética

Código de Conduta e Ética Página 1 de 5 Código de Conduta e Ética 2012 Resumo A SAVEWAY acredita que seu sucesso está pautado na prática diária de elevados valores éticos e morais, bem como respeito às pessoas, em toda sua cadeia

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

Título I Das Disposições Gerais

Título I Das Disposições Gerais PORTARIA Nº 207 DE 23 DE DEZEMBRO DE 2009 Dispõe sobre as Diretrizes Básicas de Segurança da Informação no âmbito da Fundação Cultural Palmares. O PRESIDENTE DA FUNDAÇÃO CULTURAL PALMARES, no uso de suas

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões. Com o crescimento da internet

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Projeto Integrador Módulo IV Política de Segurança Disciplinas: - Implantação e Gestão de S.I.: Prof. Diego Américo Guedes - Gerência de Redes de Computadores: Prof. Fernando Pirkel Tsukahara - Segurança

Leia mais

Modelo!de!Política!de! Segurança!da!Informação!

Modelo!de!Política!de! Segurança!da!Informação! ModelodePolíticade SegurançadaInformação Contato:evandro.santos@ecsan.com.br Sumário Introdução...2 ObjetivosdaPolíticadeSegurançadaInformação...3 AplicaçõesdaPolíticadeSegurançadaInformação...4 PrincípiosdaPolíticadeSegurançadaInformação...5

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Revisando Qual o objetivo da norma ISO 27002? É possível uma empresa se certificar nesta norma? ABNT NBR ISO/IEC 27002 Organização

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ABNT 21:204.01-010 A Política de segurança da informação, na FK EQUIPAMENTOS, aplica-se a todos os funcionários, prestadores de serviços, sistemas e

Leia mais

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 006/2014 EMENTA: Aprova Normas da Política de

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais