UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA. Gestão na Segurança da Informação

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA. Gestão na Segurança da Informação"

Transcrição

1 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA Gestão na Segurança da Informação Por: Fernando Antonio Costa Nascentes Orientador Prof. Sérgio Majerowicz Rio de Janeiro 2012

2 2 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA Gestão na Segurança da Informação Apresentação de monografia à AVM Faculdade Integrada como requisito parcial para obtenção do grau de especialista em Gestão Empresarial Por: Fernando Antonio Costa Nascentes

3 3 AGRADECIMENTOS Aos meus filhos Rafael e Gustavo, que são os meus principais motivadores. À minha esposa Vivian pelo apoio e carinho.

4 4 DEDICATÓRIA Esse trabalho é dedicado à memória de minha mãe Sônia, que é a principal responsável pelas minhas virtudes e vitórias conquistadas até aqui. Muitas saudades, te amo demais!

5 5 RESUMO Esse trabalho tem como objetivo abordar a importância da Segurança da Informação no ambiente corporativo. Por muitas vezes informações importantes e confidenciais são expostas simplesmente por falta de um cuidado adequado. Esse trabalho está dividido em três capítulos, sendo o primeiro abordando princípios básicos, conceitos e definições. O segundo capítulo visa informar alternativas para a implantação de uma segurança da informação eficiente, reduzindo os riscos nas organizações. E finalmente o terceiro, cita as conformidades e mecanismos para implantar uma política de segurança da informação nas organizações. Sabemos que é impossível evitar completamente o risco do vazamento de informações, porém, são muitas as ações possíveis para inibir e em muitos casos evitar o vazamento. Através de melhorias nos processos e de programas de conscientização. É principalmente isso que vamos tratar nos três capítulos desse trabalho.

6 6 METODOLOGIA Para a realização desse trabalho a metodologia de pesquisa utilizada foi principalmente bibliografias e sites sobre o tema. A pesquisa teve como foco os princípios básicos sobre o tema, as políticas e regulamentações sobre a segurança da informação, a sua implantação e mecanismos para a sua continuidade. O trabalho tem como principal objetivo alertar quanto a importância do tema nas organizações, os riscos e as soluções para o problema. As principais bibliografias utilizadas foram dos autores Marcos Sêmola, Marcos Aurélio Laureano e Adriana Beal.

7 7 SUMÁRIO INTRODUÇÃO 08 CAPÍTULO I - Conceitos básicos 09 da segurança da informação CAPÍTULO II - Implantando a Gestão 14 de Segurança da Informação CAPÍTULO III Política de Segurança 28 da Informação CONCLUSÃO 40 BIBLIOGRAFIA 42 WEBGRAFIA 43 ÍNDICE 45

8 8 INTRODUÇÃO A presente monografia tem como principal objetivo abordar aspectos relativos à Segurança da Informação nas organizações. Falaremos sobre os conceitos básicos, normas, políticas de segurança da informação, os riscos existentes e as soluções cabíveis. Esse trabalho está dividido em três capítulos, sendo abordado a importância do tema, os riscos existentes e conceitos básicos no capítulo um. No capítulo dois falaremos sobre as vulnerabilidades e como implantar com eficiência dentro das organizações formas de gestão de segurança da informação. Por último abordaremos as conformidades da NBR ISSO/IEC 17799:2005, ferramentas para a criação de políticas de segurança da informação. Através do mundo cada vez mais globalizado e a necessidade extrema de velocidade nos processos, a internet torna-se cada vez mais importante. Porém, com a ação de hackers e de espionagem industrial, o risco de vazamentos de informações confidenciais e estratégicas dentro das organizações é cada vez maior, necessitando de investimentos em equipamentos de segurança, implantação de política de segurança e a sua manutenção. Porém, ainda assim é impossível eliminar por completo os riscos, pois, o próprio colaborador da empresa é um sistema de informação, reforçando a importância da política de segurança da informação dentro das organizações.

9 9 CAPÍTULO I Conceitos básicos da Segurança da Informação A integridade, confidencialidade e disponibilidade das informações são os princípios básicos da Segurança da Informação segundo a norma ABNT NBR ISO/IEC 17799:2005. Visa reduzir os riscos com vazamentos, fraudes, erros, uso indevido, roubo de informações e vários outros problemas. Os riscos existem, e cada vez mais evoluídos as formas de invasão, tornando a implantação de uma política e infra-estrutura de segurança de extrema importância, devendo coexistir o investimento necessário em ferramentas, planejamento e uma metodologia bem definida. Por mais perfeitos que possam ser o planejamento e a metodologia, os seres humanos são extremamente vulneráveis, devendo ter uma infra-estrutura de segurança capaz de gerar uma conscientização por parte dos colaboradores e formas de controle.

10 Segurança da Informação A Informação possui diversos conceitos e significados, estando associado a restrição, comunicação, controle, dados, forma, instrução, conhecimento, significado, estímulo, padrão, percepção e representação de conhecimento. Segundo a definição da Norma ISO/IEC 17799:2005, a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectados. Como um resultado deste incrível aumento da interconectvidade, a informação está agora exposta a uma grande variedade de ameaças e vulnerabilidades. A informação sem dúvidas é um dos patrimônios mais importantes das organizações. Ela pode ser impressa, escrita em papel, eletrônica ou de diversas outras formas. Elas devem ser protegidas e mantidas em locais seguros. Para se converter dados em informações úteis e valiosas é necessário o estabelecimento de regras e relações para maior organização de dados. A transformação de dados em informações é um processo, uma série de tarefas logicamente relacionadas, executadas para atingir um resultado definido. O processo de definição de relações entre dados requer conhecimento. A informação e o conhecimento são vitais para as organizações e profissionais que pretendem crescer no mercado.

11 11 Os administradores de hoje devem saber como estruturar e coordenar as diversas tecnologias de informação e aplicações de sistemas empresariais para atender às necessidades de informação de cada nível da organização e às necessidades da organização como um todo. Segurança é a base para dar às empresas a possibilidade e a liberdade necessária para a criação de novas oportunidades de negócio. É evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade que conforme observado por (Sêmola, 2003), são os princípios básicos para garantir a segurança da informação: Confidencialidade ou Privacidade: A informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. Integridade dos dados: A Informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais. Disponibilidade: Toda a informação gerada ou adquirida por um individuo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade. O item integridade não pode ser confundido com confiabilidade do conteúdo (seu significado) da informação. Uma pode ser informação imprecisa, mas deve permanecer integra (não sofrer alterações por pessoas não autorizadas).

12 12 Para que uma informação seja considerada segura deve ser respeitado os seguintes critérios: Legalidade: Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação. Privacidade: Foge do aspecto da confiabilidade, pois uma informação pode ser considerada confidencial, mas não privada. Auditoria: Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Autenticidade: Toda a informação deve ter a garantia de identificação das pessoas ou organizações envolvidas na comunicação. Não-repúdio: A informação deve ter a garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica, não poderá posteriormente negar sua autoria. A confidencialidade é dependente da integridade, pois se a integridade de um sistema for perdida, os mecanismos que controlam a confidencialidade não são mais confiáveis. A integridade é dependente da confidencialidade, pois se alguma informação confidencial for perdida (senha de administrador do sistema, por exemplo) os mecanismos de integridade podem ser desativados.

13 13 Auditoria e disponibilidade são dependentes da integridade e confidencialidade, pois estes mecanismos garantem a auditoria do sistema (registros históricos) e a disponibilidade do sistema (nenhum serviço ou informação vital é alterado). 1.2 Sobre a importância da Gestão na segurança da Informação As organizações e seus sistemas de informação são expostos constantemente a diversos tipos de ameaças à segurança da informação, como por exemplo, fraudes, espionagem, sabotagem, vandalismo, incêndio e inundação, danos causados por códigos maliciosos, usuários mal intencionados, hackers 1, e ataques planejados aos sistemas de informação (crime organizado) estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, a lucratividade, a redução de custo, o atendimento aos requisitos legais e a imagem da organização junto ao mercado. Hoje em dia grande parte das informações nas organizações são armazenadas e trocadas entre diversos sistemas automatizados. Portanto, decisões decorrem dessas informações e por esses sistemas. As informações devem ser corretas, precisas e devem estar disponíveis, para serem armazenadas, recuperadas, manipuladas ou processadas. Hackers - Fanático por computação especializado em desvendar códigos de acesso a computadores. (Dicionário Folhaonline em

14 14 CAPÍTULO II IMPLANTANDO A GESTÃO DE SEGURANÇA DA INFORMAÇÃO Um SGSI (sistema de gestão de segurança da informação é um conjunto de processos e procedimentos, baseado em normas e legislação, que uma organização implementa para prover segurança no uso de seus ativos tecnológicos (Sêmola, 2003). Esse sistema deve ser aplicado por todos os aqueles que se relacionam com a infra-estrutura de TI da empresa, como colaboradores, prestadores de serviço, parceiros e terceirizados. A implantação de um SGSI envolve a análise de riscos na infraestrutura de TI. A referida análise permite identificar os pontos vulneráveis e as falhas nos sistemas, pelo qual deverão ser corrigidos. No SGSI são definidos processos para detectar e responder a incidentes de segurança e procedimentos para auditorias. No SGSI é de extrema importância a implementação de um programa de treinamento e conscientização dos usuários nas questões relativas à Segurança da Informação. Isto em função do usuário ser um ponto fraco para os casos de invasão de sistemas devido à falta de conhecimento das principais técnicas utilizadas pelos invasores. Prova disso é o sucesso dos ataques de spam, onde o usuário recebe um que o induz a executar um programa ou a acessar um site que coleta informações e as envia para algum invasor.

15 A implantação de um SGSI A implantação da SGSI começa pela definição de quais dos itens especificados em cada padrão devem ser implementados na organização. Em resumo é necessário definir se os itens do padrão estão adequados às características da organização. O SGSI é um sistema de gestão passível de certificação através das evidências do conjunto de controles implantados e que devem ser constantemente executados e registrados. Este modelo de gestão está baseado no ciclo com melhoria contínua PDCA (Plan-Do-Check-Act) conforme a figura abaixo (Laureano, 2004). O Ciclo PDCA é o principal método da Administração pela Qualidade Total, citado na BS7799 como meio de facilitar o gerenciamento do projeto de Segurança da Informação. Esse modelo inicia com a

16 16 execução das atividades na fase Plan, passando para as fases Do, Check e Act, sucessivamente, objetivando que o processo seja executado constantemente e que a cada novo ciclo, o sistema seja revisado e desenvolvido. Etapas do processo: 1. Plan (planejar) Estabelecer o SGSI Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. 2. Do (fazer) Implementar e operar o SGSI Implementar e operar a política, controles, processos e procedimentos do SGSI. 3. Check (checar) Monitorar e analisar criticamente o SGSI Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. 4. Act (agir) Manter e melhorar o SGSI Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra

17 17 informação pertinente, para alcançar a melhoria contínua do SGSI. O sucesso do Sistema Integrado de Gestão organizacional, começa com a garantia de que uma das mais importantes recomendações da ISO está sendo aplicada. Em suma, deve ser acordado que os representantes de todos os setores da organização estão comprometidos com a Política de Segurança da Informação a ser implantada. Este comprometimento é obtido através da criação de um comitê ou fórum de segurança da informação, que deve se encontrar regularmente para balizar e respaldar o trabalho.. Uma das funções principais deste comitê é definir o nível de risco aceitável pela organização. Dependendo do tamanho da organização, além deste comitê, é recomendada a criação de um departamento de segurança da informação, sob responsabilidade do Security Officer 2. Algumas organizações podem ter também uma diretoria de segurança que engloba as áreas de segurança física ou patrimonial e segurança lógica. A inexistência do comitê afastará o departamento de segurança das decisões estratégicas, fazendo com que este se torne um departamento meramente operacional da área de TIo. A norma BS 7799 oferece as ferramentas para a implantação e gestão através do modelo PDCA. As fases Plan-Do do PDCA correspondem às etapas de construção do SGSI envolvendo a elaboração da política de segurança, definição do escopo, desenvolvimento da análise de riscos, documentação e seleção dos controles que são aplicados para reduzir os riscos quando necessário. Assim, a implantação do SGSI se dá efetivamente nas duas primeiras fases do primeiro ciclo PDCA. Ainda no ciclo do modelo PDCA, as fases Check-Act estão relacionadas à verificação de que as medidas de segurança especificadas estão sendo aplicadas, às

18 18 soluções de segurança utilizadas e à melhoria contínua do conjunto de segurança, além das auditor 3 ias periódicas de cada componente do sistema. 2.2 Metodologia de Implantação de um SGCI Devido a intensidade nos detalhamentos que compõem todos os itens do processo, torna de extrema complexidade a elaboração de uma metodologia de implementação para o projeto de segurança da informação, incluindo os dados técnicos e os de níveis gerenciais. Através de uma maior profundidade no detalhamento, a metodologia pode vir a se tornar uma referência para implantação e gestão de Sistemas da Segurança da Informação em organizações (Laureano, 2004) A implantação de um SGCI deve conter 7 etapas após a sua concepção: Estabelecimento da Política de Segurança da Informação; definição do escopo; análise de risco; gerenciamento das áreas de risco; seleção dos controles; implementação e acompanhamentos dos indicadores e por fim auditoria do sistema e plano de melhorias. 2.3 A Concepção do Sistema Trata-se da etapa inicial, preliminar a realização da primeira fase da metodologia. É vital, pois, essa fase é determinante para analise da viabilidade do projeto, onde realiza-se o planejamento inicial de todas as etapas, inclusive algumas estimativas iniciais do orçamento, referente a pessoas, cronograma,

19 19 escopo, objetivos e metas. Normalmente, a fase de concepção abrange duas etapas: a) Diagnóstico da situação atual nessa fase é verificada a existência de alguma política de Segurança da Informação, aproveitando-se de controles já implementados. b) Planejamento do SGSI e preparação para a sua implantação aqui, conforme as normas ISO/IEC TR e BS7799, é recomendado a formação do comitê responsável pela implantação do Sistema na organização. A função principal deste comitê é realizar a formação básica e principalmente conscientizar os colaboradores. Também é revisto o planejamento e a preparação do sistema, os detalhes do projeto, além da definição da Política de Segurança da Informação da empresa conforme as normas e estabelecer as metas e objetivos para o Programa de Gerenciamento da Segurança da Informação 2.4 Estabelecer uma Política de Segurança da Informação Para elaborar as políticas de segurança da organização, o comitê deve ter embasamento nos padrões e normas supramencionados, entre eles a BS7799/ISO17799 (Beal, 2008).

20 20 Política de Segurança é um documento que deve necessariamente descrever as recomendações, as normas, as responsabilidades e as práticas de segurança. Porém, não existe uma Política de Segurança Modelo que possa ser implementada em toda e qualquer organização, pois a política deverá ser adequada às características de cada caso. portanto, a criação de uma política de segurança é um processo complexo e que necessita de monitoramento constante, além de ser revisada e atualizada. Ainda assim, os seus resultados normalmente só poderão ser percebidos a médio e longo prazo. É de extrema importância para as organizações não somente a existência de uma política de segurança, mas que a mesma seja realmente referência para os seus colaboradores, possibilitando garantir os três princípios básicos da segurança da informação: integridade, disponibilidade e confiabilidade. O comitê criado é responsável pela gestão da segurança da informação, devendo propor as políticas essenciais para gestão da segurança da informação e seus recursos. Devendo ainda realizar a implantação, acompanhamento e revisões periódicas. A Política de Segurança deverá estar adequada a ISO / IEC17799: Após aprovada pela diretoria, divulgada e publicada, deverá ser revisada constantemente. A sua publicação deverá ser de forma ampla, extensiva a todos os colaboradores. Além disso deverá estar em conformidade com a legislação e cláusulas contratuais, devendo estabeleceer as responsabilidades gerais e específicas e as conseqüências das violações. A Política de Segurança também deverá elencar os seguintes tópicos: a) Propriedade da Informação deverá determinar o responsável pela informação, o colaborador que poderá definir quem terá acesso às

21 21 informações e que nível de acesso será permitido, além de estabelecer a periodicidade necessária para a realização do backup desta informação. b) Classificação da informação Trata-se da classificação pelo gestor das informações em relação aos princípios da disponibilidade, confidencialidade e integridade. c) Controle de acesso importante atender ao princípio do menor privilégio. Toda solicitação de acesso deve necessariamente ser documentada. Também é muito importante evitar a segregação de função e a manutenção das auditorias registradas no sistema. d) Gerência de Usuários e Senhas As senhas devem ser individuais, e com trocas periódicas. A responsabilidade da senha é do usuário proprietário da mesma. e) Segurança Física Somente com autorização expressa deverá ser permitido o acesso a áreas de servidores. Devendo ainda ter controle quanto à entrada e saída de equipamentos e pessoas, sendo recomendada a criação de normatizações de controles internos referentes à segurança física, com a necessidade de auditorias regulares. f) Desenvolvimento de sistemas ou compra de sistemas / software é importante definir um fluxo interno com ênfase nos princípios de segurança. g) Plano de continuidade de Negócios podemos considerar como uma das mais importantes fases na Política de Segurança, é recomendado a criação de controles e padrões especificando detalhes quanto ao plano de contingência e continuidade dos negócios.

22 22 h) Definição do Escopo Nessa etapa é incluído o cálculo dos ativos que serão envolvidos, por exemplo: Nome da organização; equipamentos; sistemas; estrutura de comunicação; pessoas; serviços; infra-estrutura de rede interna e externa, classificação da informação... Conforme for evoluindo o projeto deve ser revisado, baseado no escopo do projeto. A delimitação do escopo é de extrema importância. Esta etapa gera os seguintes resultados: o mapa do perímetro da rede de computadores onde será aplicado o SGSI; o inventário dos ativos e a classificação desses ativos. As políticas criadas devem ser entendidas e obedecidas por todos os colaboradores da empresa, além de servir como referência e guia de segurança da informação. Para o seu sucesso é necessária a realização de uma campanha de divulgação e conscientização de sua importância para a organização 2.5 Análise de Risco Aqui é realizado o exame da segurança para o escopo definido, identificando os ativos de informação envolvidos e oo mapeamento de todas os riscos relacionados a estes (Sêmola, 2003). A cada ameaça deve ser apurado o nível de risco. Na implementação da análise de riscos, a ISO é vital, pois, estabelece detalhadamente a análise de riscos, apresentando várias estratégias de condução da análise de riscos. Essas estratégias podem ser selecionadas em função do tempo e orçamento existente e dos objetivos. Posteriormente a utilização da BS 7799 na atividade de decidir a estratégia de gestão de riscos é de grande utilidade (Beal, 2008).

23 23 Posteriormente, deverá definir junto à Diretoria da empresa, quais os níveis de risco toleráveis e não-aceitáveis. Entre os não aceitáveis, pode-se escolher uma entre as seguintes opções: Reduzir o nível de risco através da aplicação de controles de segurança. Aceitar o risco considerar a sua existência, porém sem aplicar qualquer controle. Transferir o risco transferir a responsabilidade de segurança a um terceiro. Negar o risco recomendado somente ter certeza que a ameaça não produz nenhum tipo de risco à organização. A análise de riscos pode ser quantitativa (baseada em estatísticas, numa curva histórica dos registros de incidentes de segurança) ou qualitativa ( baseada em know-how 4 e geralmente realizada por pessoas qualificadas). A abordagem quantitativa é norteada nas informações captadas no processo qualitativo, ferramentas computacionais específicas para computar os dados de análise de risco podem ser de grande utilidade nesta fase. Em sua maioria as empresas tendem a adotar o modelo qualitativo, pois, é mais ágil já que não requer cálculos complexos. Independentemente do método adotado, uma Análise de Riscos deve contemplar algumas atividades, como o levantamento de ativos a serem analisadas, definições de uma lista de ameaças e identificação de vulnerabilidades nos ativos. 4 Know-How - é o conhecimento de como executar alguma tarefa. (Wikipédia em )

24 24 O relatório de análise de risco necessariamente deve citar a identificação e classificação de ativos e processos de negócio; análise de ameaças e vulnerabilidades, além de análise e parametrização de riscos e definição de tratamento das ameaças.

25 Gerenciamento das Áreas de Risco Trata-se de um processo constante, não sendo finalizado com a implementação de uma medida de segurança. Através desse ciclo (PDCA) com revisão constante e desenvolvimento, fica mais fácil constatar as áreas que estão seguras e quais precisam de revisões e alterações. Aqui é estudado o quanto as vulnerabilidades e ameaças podem custar a organização. Considerando ser praticamente impossível eliminar todos os riscos existentes e as vulnerabilidades de segurança, é necessário identificar os ativos e as ameaças mais intensas, possibilitando priorizar as ações e os custos com segurança. Após a identificação das ameaças e estudado quais delas deverão ter atenção, as medidas de segurança devem ser de imediatamente implementadas. Nessa etapa também são definidas outras medidas de segurança, como por exemplo os Planos de Continuidade dos Negócios. Eles têem como objetivo a manutenção do funcionamento dos serviços essenciais ao foco da empresa e em situações emergenciais o Response Teams 5, que possibilitam a detecção e avaliação dos riscos em tempo real, permitindo que as providências necessárias sejam tomadas de forma ágil. 5 Response Teams É o Grupo de Resposta a incidentes de segurança responsável por receber, analisar e responder a incidentes de segurança

26 26 Muito importante a gestão preventiva dos riscos, visando neutralizar ataques antes mesmo que eles ocorram. Nessa fase pode ser simulado como uma ameaça poderia afetar ou danificar o sistema de computador e quais as suas vulnerabilidades. O resultado obtido nessas avaliações pode auxiliar a implementar diretivas de segurança que vão controlar ou minimizar as ameaças. Essa experiência possibilitará o surgimento de um padrão dos fatores comuns a diferentes ataques. Esse padrão ajuda a identificar as áreas de vulnerabilidade e que representam mais riscos para a organização. Este passo está totalmente conectado a fase anterior e, portanto, é de extrema importância a necessidade de analisar o custo da perda de dados e o custo da implementação dos controles de segurança.

27 Seleção dos Controles Após estabelecer os requisitos de segurança, é importante que os controles sejam identificados e implementados para a garantia que os riscos sejam minimizados a um nível tolerável. Dentre todos os controles da BS 7799, aqueles que são aplicáveis à Gestão de Segurança da Informação deverão ser selecionados e ainda observado os controles contidos nas demais normas e técnicas existentes, visando a integração de forma natural ao SGSI. Não é suficiente instituir uma série de normas internas. Para garantir a segurança de uma organização é necessário impor procedimentos e controles para o acesso de pessoas externas (fornecedores, parceiros e até mesmo clientes) à empresa, definir padrões de atualização de antivírus e do acesso de empregados ao provedor corporativo; padronizar o portal institucional e do site comercial. Posteriormente é necessário a análise e seleção desses controles. Logo após sua definição, eles devem ser implementados dentro do escopo pré estabelecido, seguindo as informações geradas durante o processo de análise de riscos, mantendo o foco nos propósitos do negócio, evitando prejudicar a atividade fim da empresa.

28 Auditoria do Sistema As auditorias internas do SGSI têm o intuito de identificar se os procedimentos e instruções operacionais são satisfatórios, a adequação dos setores da organização com os documentos normativos e se as ferramentas fornecidas são adequadas e suficientes para elaboração dos relatórios periódicos de análise crítica do SGSI. É de extrema importância a independência dos auditores, o aprimoramento constante do SGSI e principalmente na análises que auxiliem a empresa quanto a segurança da informação, aos seus objetivos e metas. As falhas detectadas no SGSI devem ser registradas, incluindo ações para registro e tomada de ação para a sua solução. Após ampla análise das referidas falhas, deverá ocorrer a implantação de ações corretivas e o registro das alterações em procedimentos. Após a implantação das ações corretivas, deverá ocorrer a sua reavaliação antes da sua finalização. A implantação de um SGSI é um processo que foca constantemente o desenvolvimento do modelo de gestão da segurança da informação, sendo de extrema importância o acompanhamento e gerenciamento do fluxo ( como o ciclo PDCA citado nesse capítulo), devendo ocorrer principalmente de forma contínua.

29 29 CAPÍTULO III POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A Política de Segurança da Informação (PSI) serve como base ao estabelecimento de normas e procedimentos que garantem a segurança da informação, bem como determina as responsabilidades relativas à segurança dentro da empresa segundo (Beal, 2008). Muito importante para a política de segurança da informação é ter uma visão abrangente em relação a segurança, seja tecnológico, físico ou humano, e os tratando de forma homogênea. Atualmente não podemos mais restringir os aspectos de segurança às ações de hackers. Devemos observar a segurança física das instalações, o comportamento dos funcionários, além de uma política expressa que além de amplamente divulgada aos colaboradores gere uma cultura favorável a segurança. A política de segurança tem como principal objetivo doutrinar toda a equipe de uma organização, seus usuários e gerentes quanto as suas obrigações para a preservação da tecnologia e o acesso à informação. As ferramentas necessárias para o êxito nesses requisitos têm que estar muito bem especificados na política de segurança da informação. Recomenda-se a instalação de um ponto de referência onde se possa adquiri, auditar e configurar sistemas computacionais e redes, para que possam ser adequados aos supramencionados requisitos. A política de segurança da informação também tem como fundamento gerar informação e orientação aliados ao foco do negócio, com as leis e regulamentações existentes. Segundo a (ISO/IEC 17799:2005) Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização.

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE GESTÃO DE SEGURANÇA DA INFORMAÇÃO UM DESAFIO NA ERA DO CONHECIMENTO Por: Cosme Martins Nunes Orientador Prof. Fabiane Muniz

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial Maicom Rafael Victor Simch Tiago Squinzani Tonetto E-mail:tiago-tonetto@hotmail.com, maravisi@hotmail.com Resumo Neste trabalho é proposta

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Porto Alegre, abril de 2015 Versão 4.0 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS PERTENCENTES AO GRUPO HOSPITALAR CONCEIÇÃO 1. INTRODUÇÃO A informação é o dado

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

UNIVERSIDADE FEDERAL DO PARANÁ AMANDA CRISTINA MOSCHEN

UNIVERSIDADE FEDERAL DO PARANÁ AMANDA CRISTINA MOSCHEN UNIVERSIDADE FEDERAL DO PARANÁ AMANDA CRISTINA MOSCHEN Proposta de implantação ABNT ISO/IEC 27001 Sistemas de gestão de segurança da informação em uma empresa de seguros de vida. CURITIBA 2014 1 AMANDA

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC MINISTÉRIO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO GABINETE DO MINISTRO PORTARIA Nº 795, DE 5 DE SETEMBRO DE 2012 O MINISTRO DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO, no uso de suas atribuições

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 Dispõe sobre a Política de Segurança da Informação e

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI Profa. Gislaine Stachissini Unidade III GOVERNANÇA DE TI Information Technology Infrastructure Library ITIL Criado pelo governo do Reino Unido, tem como objetivo a criação de um guia com as melhores práticas

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS P á g i n a 1 / 13 MINISTÉRIO DA EDUCAÇÃO FUNDAÇÃO UNIVERSIDADE FEDERAL DA GRANDE DOURADOS COORDENADORIA DE DESENVOLVIMENTO DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Classificação das Informações 5/5/2015 Confidencial [ ] Uso Interno [ X ] Uso Público ÍNDICE 1 OBJETIVO... 3 2 ABRANGÊNCIA... 3 3 CONCEITOS... 3 4 ESTRUTURA NORMATIVA...

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil Sumário executivo CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO.

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

Proposta. ISO 20.000 / 2011 Fundamentos. Apresentação Executiva. ISO 20.000 / 2011 - Fundamentos

Proposta. ISO 20.000 / 2011 Fundamentos. Apresentação Executiva. ISO 20.000 / 2011 - Fundamentos ISO 20.000 / 2011 Fundamentos Apresentação Executiva 1 O treinamento de ISO 20.000 Foundation tem como premissa fornecer uma visão geral da publicação da norma ISO/IEC 20000 capacitando o aluno a entender

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, IMPORTANTE INSTRUMENTO DA GESTÃO CORPORATIVA Por: Paulo Eduardo Rangel Orientador Prof.

Leia mais

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Dispõe sobre a criação do Plano de Contingência e Política de Segurança da Informação e Comunicações do Instituto Federal Farroupilha

Leia mais

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio?

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? A Tecnologia da Informação vem evoluindo constantemente, e as empresas seja qual for seu porte estão cada

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 5. Política de Segurança da Informação 1 Roteiro (1/1) Objetivo Documento Orientações Mínimas para o Documento Análise Crítica e Avaliações 2 Objetivo

Leia mais

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 229/2013 Aprova a Norma Complementar de Criação da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais