A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamanho: px
Começar a partir da página:

Download "A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO"

Transcrição

1 UNIÃO EDUCACIONAL MINAS GERAIS S/C LTDA FACULDADE DE CIÊNCIAS APLICADAS DE MINAS Autorizada pela Portaria no 577/2000 MEC, de 03/05/2000 BACHARELADO EM SISTEMAS DE INFORMAÇÃO A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO EDUARDO EDSON DE ARAUJO UBERLÂNDIA - MG 2005

2 EDUARDO EDSON DE ARAUJO A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO Trabalho de Final de curso submetido à UNIMINAS como parte dos requisitos para a obtenção do grau de Bacharel em Sistemas de Informação. Orientador: Prof. Esp. Flamaryon Guerin Gomes Borges UBERLÂNDIA - MG 2005

3 EDUARDO EDSON DE ARAUJO A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO Trabalho de Final de curso submetido à UNIMINAS como parte dos requisitos para a obtenção do grau de Bacharel em Sistemas de Informação. Orientador: Prof. Esp. Flamaryon Guerin Gomes Borges Banca Examinadora: Uberlândia, 17 de Dezembro de Prof. Esp. Flamaryon Guerin Gomes Borges (Orientador) Prof. Dr. Mauro Hemerly Gazzani Prof. MSc Gilson Marques Silva UBERLÂNDIA - MG 2005

4 ! " # $ % "

5 AGRADECIMENTOS Ao meu orientador, Prof. Esp. Flamaryon braço amigo de todas as etapas deste trabalho (valeu bichão). dessa realização. A toda a minha família, pela confiança, incentivo e motivação ao longo A minha namorada Miriam, pela paciência, a compreensão, amor e principalmente por entender a importância da minha dedicação e esteve presente em todas as etapas desse aprimoramento. Aos amigos que me incentivaram e sempre me deram força para que eu pudesse vencer esse desafio. As minhas funcionárias que sempre acreditaram na minha capacidade e conseguiram abrir os meus olhos para a importância dessa graduação. A todos os professores do curso de Sistemas de Informação que foram fundamentais para o meu aprendizado e formação profissional. A todos os colegas de sala que infelizmente somente no final do curso é que resolveram se unir e curtir esse grande momento que é a formação acadêmica.

6 RESUMO Este trabalho consiste em contribuir para os profissionais que lidam com a Segurança da Informação, principalmente os da área de TI (Tecnologia da Informação) que terão como responsabilidade desenvolver, melhorar ou aplicar uma Política de Segurança da Informação, reforçar principalmente a importância de se ter um programa de conscientização para todos os colaboradores de uma organização e que não há como garantir a Segurança da Informação nas organizações somente investindo em equipamentos e recursos de TI, como firewalls, sistemas de detecção de intrusos, antivírus, etc. Com base em avaliações executadas em um ambiente corporativo e estudos em vários conceitos voltados para a Segurança da Informação, o trabalho apresenta as melhores práticas e recomendações a serem tomadas no desenvolvimento de um programa de conscientização. Para isso o trabalho foi dividido em duas etapas: a pesquisa bibliográfica para um nivelamento de conceitos, definindo o que vem a ser informação e engenharia social e como ela funciona e qual o papel do usuário na segurança da informação, e uma pesquisa nos processos de conscientização e os procedimentos e cuidados utilizados por uma grande Corporação.

7 ABSTRACT This work consists in contributing with the professionals who deals with Security Information principally on IT (Technologic Information) area will have as responsibilities the development, enhancement or application of a Security Information Policy, mainly reinforcing the importance of having an education program for all collaborators of an organization and that there is not a way of guaranteeing the Security of the Information at the organizations by only investing in equipments and IT resources such as firewalls, intruder detector systems, anti-virus etc. Based on experiences executed in a corporative environment and studies in various concepts about Security Information, the work presents the best practices and recommendations to be taken in the development of an educational program. For this, the work was divided into two phases: a bibliographical research to level the concepts, defining what comes to be information Social Engineering and how it works and its role in the Security Information, and a research in the educational process and the procedures and cares taken by a big corporation.

8 LISTA DE FIGURAS Figura 1 - Adequação a Legislação (MODULO, 2003) 2 Figura 2 - Departamentos que interagem no dia-a-dia (MODULO, 2003) 3 Figura 3 - Prejuízos contabilizados (MODULO, 2003) 4 Figura 4 - Ocorrência de ataques e invasões (MODULO, 2003) 4 Figura 5 - Principais ameaças (MODULO, 2003) 5 Figura 6 - Utilização de Política de Segurança (MODULO, 2003) 5 Figura 7 - Principais medidas de segurança adotadas (MODULO, 2003) 6 Figura 8 - PPT - Pessoas, Processos e Tecnologias (MODULO, 2003) 16 Figura 9 - Ambiente sem políticas de Segurança (MODULO, 2003) 23 Figura 10 - Os três pólos da Segurança 24 Figura 11 - Fórmula de Marcos Sêmola 25 Figura 12 - Estrutura de Ataque 42 Figura 13 - Dinâmica de entrega de informações 44 Figura 14 - Os quatro domínios do COBIT (MODULO, 2005) 52 Figura 15 - TI como Habilitador do Negócio (MODULO, 2005) 53 Figura 16 - Gráfico COBIT (MODULO, 2005) 56 Figura 17 - O elo mais fraco (MODULO, 2003) 59 Figura 18 - Certificado do treinamento Security Awareness Training 72

9 LISTA DE ABREVIATURAS E SÍMBOLOS 1 ABNT - Associação Brasileira de Normas Técnicas 2 ISO - International Standartization Organization 3 COBIT - Control Objectives for Information and Related Technology 4 TI - Tecnologia da Informação 5 CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil 6 Malware - Malicious software 7 CAIS - Centro de Atendimento a Incidentes de Segurança 8 CSO - Chief Security Officer 9 COSO - Committee of Sponsoring Organizations 10 ISACF - The Information System Audit and Control Foundation 11 ITIL - The IT Infrastructure Library 12 RH - Recursos Humanos 13 CEO - Chief Executive Officer 14 CD - Compact Disc 15 HD - Hard Disc 16 DVD - Digital Video Player 17 CPD - Centro de Processamento de Dados

10 SUMÁRIO 1 INTRODUÇÃO CENÁRIO DA SEGURANÇA NAS CORPORAÇÕES IDENTIFICAÇÃO DO PROBLEMA OBJETIVOS DO TRABALHO JUSTIFICATIVA PARA A PESQUISA ORGANIZAÇÃO DO TRABALHO A IMPORTÂNCIA DA INFORMAÇÃO DADO, INFORMAÇÃO E CONHECIMENTO A INFORMAÇÃO COMO RECURSO DA ORGANIZAÇÃO CLASSIFICAÇÃO DE INFORMAÇÕES O QUE É SEGURANÇA DA INFORMAÇÃO? As tríplices da Segurança da Informação Objetivos da Segurança de Informação Política de Segurança Desenvolvimento de uma Política de Segurança O QUE É UMA VULNERABILIDADE? Diferenciando Ameaça de Vulnerabilidade Teste com O JOGO DA SEGURANÇA ASPECTOS DA SEGURANÇA Risco de Segurança SECURITY OFFICER ENGENHARIA SOCIAL PERFIL DO ENGENHEIRO SOCIAL As ferramentas do Engenheiro Social A ARTE DO ENGENHEIRO SOCIAL E SUAS TÉCNICAS Informações inofensivas x valiosas Criando a confiança Simplesmente pedindo Técnica do Posso Ajudar? Técnica do Você pode me ajudar?...32

11 3.3 A ENGENHARIA SOCIAL NA INTERNET Internet Banking PONTOS FRACOS EXPLORADOS PELO ENGENHEIRO SOCIAL Checando o lixo ESTRUTURA DIAGRAMÁTICA E OBJETIVA DO PROCESSO DE ATAQUE DO ENGENHEIRO SOCIAL DINÂMICA DE COMO EVITAR OU DIFICULTAR A ENTREGA DE INFORMAÇÕES ENGENHEIRO SOCIAL VERSUS SECURITY OFFICER SEGURANÇA É ADMINISTRAR RISCOS PROPOSTAS DE UM SECURITY OFFICE DIFICULTANDO A VIDA DO ENGENHEIRO SOCIAL O COBIT COMO REFERÊNCIA PARA UMA GESTÃO DE SEGURANÇA O COBIT Modelos e Componentes O COBIT Objetivos e Benefícios O COBIT Público Alvo O COBIT Referências para Auxílio no dia-a-dia Aplicando o COBIT A IMPORTÂNCIA DA CONSCIENTIZAÇÃO PLANO DE TREINAMENTO CONTRA O ENGENHEIRO SOCIAL Exemplos para Reforçar a Conscientização Estudo de Caso: A Conscientização na American Express CONCLUSÕES E TRABALHOS FUTUROS CONCLUSÕES TRABALHOS FUTUROS GLOSSÁRIO REFERÊNCIAS BIBLIOGRÁFICAS...83

12 2 1 INTRODUÇÃO 1.1 Cenário da Segurança nas Corporações Na 9º Pesquisa Nacional de Segurança da Informação realizada no 1º semestre de 2003 (MODULO, 2003), pode-se afirmar que o ano de 2003 foi de grande importância para a Segurança da Informação e pode-se dizer que ele marca o início da fase madura do setor. As equipes de segurança das empresas encontram-se estruturadas ou em fase avançada de estruturação. Um dos mais importantes resultados desta 9º pesquisa é referente à adequação com legislação, regulamentação e normas. Este estudo mostra que por um lado a ISO tem sido adotada fortemente como referência técnica pelas equipes de Segurança, seguida pelo COBIT, muitas vezes em conjunto, mas, por outro lado, cada segmento tem também adotado as regulamentações específicas como, por exemplo, resoluções do Banco Central (conforme Figura 1) e decretos do Governo Federal. Figura 1 - Adequação a Legislação (MODULO, 2003) Esta tendência de uso de normas e regulamentações é fortalecida com o novo Código Civil, que traz maior responsabilidade para os administradores das empresas e autoridades do Governo. Tudo isso têm se destacado como uma grande oportunidade para os profissionais de Segurança da Informação nos

13 3 próximos anos, uma vez que a matéria se aproxima a cada dia da sua atividade principal e dos executivos da organização. Outro aspecto importante da pesquisa mostra que o profissional está interagindo cada vez mais com os departamentos de sua organização e que, a cada dia, deixa de se relacionar apenas com TI e Auditoria, e passa a ser interlocutor de departamentos como Jurídico, RH e Comunicação. Departamentos que interagem no dia a dia: Figura 2 - Departamentos que interagem no dia-a-dia (MODULO, 2003) Em temos técnicos, a pesquisa ratifica os desafios principais de hoje: A preocupação com vírus, funcionários insatisfeitos e senhas como principais ameaças. O aumento do uso da Internet como meio de fraudes e vazamento de informações, acompanhando o desenvolvimento dos negócios eletrônicos. O desafio de conscientizar os executivos, motivar os usuários e capacitar a equipe, assim como demonstrar o retorno sobre o investimento da segurança. A necessidade de realizar análise de riscos e revisar periodicamente a política de segurança. O crescimento dos problemas de segurança a cada ano, acompanhando o crescimento dos ataques, a evolução da tecnologia e o aumento dos investimentos no setor.

14 4 1.2 Identificação do Problema Na 9º Pesquisa Nacional de Segurança da Informação realizada no 1º semestre de 2003 (Modulo, 2003), afirma-se que os ataques deverão aumentar em 2004 e que 42% das empresas tiveram problemas com Segurança da Informação nos seis meses anteriores à pesquisa. Nota-se também que: 35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72% em 2002, para 65%, em Figura 3 - Prejuízos contabilizados (MODULO, 2003) O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em Figura 4 - Ocorrência de ataques e invasões (MODULO, 2003) Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas.

15 5 Figura 5 - Principais ameaças (MODULO, 2003) 60% das empresas indicam a Internet como principal ponto de invasão em seus sistemas. 63,5% dos entrevistados adotam a ISSO como a principal norma que norteia suas empresas. Política de Segurança já é realidade em 68% das organizações. Figura 6 - Utilização de Política de Segurança (MODULO, 2003) Comparando as informações retiradas da 9º Pesquisa Nacional de Segurança da Informação, pode-se afirmar que o fator humano é o principal desafio para se ter uma boa e segura conduta de Segurança da Informação, pois mesmo tendo 68% de empresas que possuem uma Política de Segurança, os ataques continuam subindo comparando 2002 com 2003 e ainda afirmam que os ataques poderiam subir em A parte técnica da segurança da informação nas grandes corporações está em um bom caminho comparando os dados da 9º pesquisa. Softwares de antivírus melhores, instalações de firewall, implementações de Política de Segurança e capacitação técnica se estruturando a cada dia.

16 6 Figura 7 - Principais medidas de segurança adotadas (MODULO, 2003) As cinco principais ameaças à segurança das informações nas empresas estão relacionadas à vulnerabilidade humana. Vale reforçar que o elo mais fraco da segurança é o fator humano. O cientista mais respeitado do mundo no século XX, Albert Einstein, disse certa vez: Apenas duas coisas são infinitas: o universo e a estupidez humana, E eu não tenho certeza se isso é verdadeiro para o primeiro. 1.3 Objetivos do Trabalho Este trabalho propõe a realização de um estudo e de uma pesquisa, analisando de forma exploratória, práticas relacionadas à gestão de conscientização sobre a Segurança da Informação, e fornecendo contribuições ao estudo do assunto, através da caracterização de um cenário sobre o programa de conscientização da American Express do Brasil, localizada em Uberlândia. O objetivo desse trabalho é analisar os modelos para a gestão de conscientização em uso na organização, propondo um modelo mais eficaz e obtendo dicas importantes sobre como conduzir um programa de conscientização. O foco do trabalho é reforçar a importância de se ter um programa de conscientização e as melhores formas de conduzi-lo. Dada à existência de vários arranjos nos programas de conscientização, busca-se também identificar relações que influenciem a escolha de um determinado modelo de gestão. Mais especificamente, considera-se possível a existência de relações

17 7 entre a escolha do modelo de gestão e determinados objetivos estratégicos da organização, assim como também com fatores econômicos da organização, por exemplo, custos de produção e disponibilidade financeira. Por fim, o trabalho também procura identificar determinadas características dos modelos adotados que tiveram uma maior adesão e participação do público alvo, os colaboradores e executivos das organizações. 1.4 Justificativa para a Pesquisa A Segurança da Informação para o ambiente corporativo atual é vital para manter não só a visão como também a missão da mesma, pois no ramo de cartão de crédito toda e qualquer informação pertencente a um associado, deve manter um alto nível de segurança, não só os dados cadastrais como também informações relativas aos gastos dos mesmos. As normas e procedimentos devem fornecer claramente todas as orientações necessárias para a condução segura dos negócios da organização. É importante que elas sejam estruturadas de forma a proteger os ativos de informação. Convém dizer que a definição, os procedimentos e os motivos para cada usuário ou grupo de usuários possuírem qualquer tipo de acesso à informação devem estar especificados no documento corporativo Política de Segurança da Informação. Nele estão definidas, pelo principal executivo da organização, todas as regras de controle de acesso em vigor, treinamento, conscientização e os procedimentos para a classificação das informações (uso interno, pública, ou confidencial). Todo este esforço visa controlar e evitar os acessos não autorizados aos recursos de TI. Os executivos que, pelo menos, contemplarem adequadamente em suas políticas todas as fases do ciclo de vida de uma informação, que vai desde a sua criação e correta classificação até sua definitiva exclusão, podem minimizar os custos com sua proteção. A garantia de que uma organização possuirá um grau de segurança

18 8 razoável está diretamente relacionado ao nível de conscientização de seus colaboradores, ou seja, a segurança somente será eficaz se todos tiverem pleno conhecimento do que lhes é esperado e de suas responsabilidades. Eles devem saber por que são utilizadas diversas medidas de segurança (como portas sempre trancadas e uso de identificadores pessoais) e as devidas sanções caso sejam violadas. É necessário investir na conscientização de todos (colaboradores e executivos) que devem ter em mente que as informações por eles manuseadas têm valor e podem causar grandes prejuízos para a organização em que trabalham, tendo até seus empregos ameaçados devido à impossibilidade da organização realizar seus negócios e se perpetuar no tempo. O treinamento e a conscientização em segurança são considerados controles preventivos. Por meio deste processo, todos tomam ciência de suas responsabilidades em preservar a segurança física e lógica da organização. Não obstante, pode-se dizer que o treinamento e conscientização também são controles detectivos, uma vez que, ele encoraja os colaboradores a identificar e reportar as possíveis violações de segurança. O treinamento deve começar com a orientação do novo colaborador. A constante conscientização (dele e de todos) pode ser alcançada utilizando-se boletins informativos ou campanhas elaboradas pela área de marketing, realizando provas periódicas ou entrevistas para avaliar o grau de conhecimento atingido. Vale lembrar que a comunicação é um fator crítico de sucesso para a correta disseminação das políticas corporativas, já que esta provoca alterações no status quo de praticamente todos os colaboradores. Conseqüentemente obriga a mudança na forma de trabalho e qualquer mudança gera resistência, sendo a comunicação, a melhor maneira de reduzir os conflitos inerentes à mudança. Desse modo este trabalho irá avaliar e demonstrar as grandes dificuldades que as empresas passam no dia a dia com relação à comunicação e a conscientização de seus colaboradores.

19 9 1.5 Organização do Trabalho O capítulo dois apresenta a fundamentação teórica usada para o desenvolvimento do estudo e da pesquisa, baseada em uma revisão da bibliografia existente sobre dado, informação e conhecimento, a informação como recurso da organização, o que é segurança da informação, como a informação pode ser classificada, os objetivos da segurança da informação, política de segurança, como desenvolver uma política de segurança, o que é uma vulnerabilidade, diferenciação entre ameaça e vulnerabilidade, os aspectos da Segurança e seus riscos. Neste capítulo refere-se também os aspectos de como administrar a segurança da informação bem como o papel dos responsáveis pelas normas e Políticas de Segurança. O capítulo três discorre sobre a Engenharia Social, mostrando como ela está presente em nosso cotidiano, com o objetivo de alertar que o elo mais fraco que rege em todas as empresas de qualquer setor é o fator humano. A pesquisa realizada sobre este tema é baseada em uma revisão bibliográfica existente sobre perfil do engenheiro social, as ferramentas do engenheiro social, a arte do engenheiro social e suas técnicas, pontos fracos explorados pelo engenheiro social, checando o lixo e uma dinâmica de como evitar ou dificultar a entrega de informações. No capítulo quatro será feita uma junção da Engenharia Social com a Segurança da Informação, destacando as vulnerabilidades e ameaças existentes que a engenharia social traz consigo, afetando assim a segurança das informações, perante a luta propriamente dita entre Engenharia Social versus Security Office e a utilização do COBIT como uma referência na gestão da Segurança da Informação. O capítulo cinco trata do estudo realizado no modelo de conscientização existente em uma das grandes corporações da Uberlândia: A American Express, com o intuito de levantar algumas oportunidades encontradas para auxiliar a qualquer desenvolvedor de um programa de conscientização, contribuindo para um melhor resultado, tendo o objetivo de atingir os três públicos: auditivo, visual e o sinestésico. Estes diversos assuntos são apresentados e discutidos por serem

20 10 elementos indispensáveis para a criação de um quadro de referência, que permita a compreensão dos vários aspectos envolvendo o problema de pesquisa. Por fim no capítulo seis, será apresentada a conclusão do trabalho desenvolvido.

21 11 2 A IMPORTÂNCIA DA INFORMAÇÃO Desde os tempos primitivos o ato de se comunicar por mais arcaico que fosse, era um meio de transmitir informação. Hoje não há mais a necessidade de olhar nos olhos para transmitir uma informação íntegra confidencial e disponível. Muita coisa mudou e com a acelerada transformação de recursos, idéias e ideais o homem percebeu e está descobrindo cada vez mais que a informação é como o ar que respiramos: essencial. A informação de uma empresa é o seu principal patrimônio. O Código de prática para a gestão da segurança da informação diz que: A informação é um ativo que, como qualquer outro, importante para os negócios, tem um valor para a organização. A segurança da informação da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos ao negócio e maximizar o retorno dos investimentos e as oportunidades de negócios. (NBR ISSO/IEC 17799:2001, pág.2). A informação é mais um dos recursos a serem administrados pela organização. Neste sentido, aborda-se a seguir aspectos relevantes sobre a informação e seu valor para as organizações. 2.1 Dado, Informação e Conhecimento Para definir informação, diversos autores buscam discernir os termos, dado, informação e conhecimento. Esta distinção entre os termos é difícil, mas, mesmo imprecisa, é necessária para a compreensão do tema. Durante anos, as pessoas se referiram a dados como informação; agora vêem-se obrigadas a lançar mão de conhecimento para falar sobre a informação. Em seguida é apresento de modo sintético o significado de cada termo. 1) DADO: Simples observações sobre o estado do mundo, é facilmente estruturado, facilmente obtido por máquinas, freqüentemente quantificado e facilmente transferível. 2) INFORMAÇÃO: Dados dotados de relevância, requer unidade de

22 12 análise, exigem consenso em relação ao significado e exige necessariamente a mediação humana. Informação vem da palavra latina informare, que significa dar forma. Os filósofos antigos usaram esta palavra por acreditar que a mente humana é que dá forma aos dados para criar a informação e o conhecimento. Essa concepção permanece até hoje na cultura ocidental. Convém definir informação como o conjunto de dados aos quais seres humanos deram forma para torná-los significativos e úteis, e conhecimento como o conjunto de ferramentas conceituais e categorias usadas pelos seres humanos para criar, colecionar, armazenar e compartilhar a informação. 3) CONHECIMENTO: Informação valiosa da mente humana. Inclui reflexão, síntese e contexto. De difícil estruturação, difícil captura em máquinas, freqüentemente tácito e de difícil transferência. Observa-se que os conceitos apresentados convergem no sentido de caracterizar os dados como elemento bruto, que precisam da intervenção humana para transformar-se em informação. Ao contrário dos dados, apenas a informação e o conhecimento têm condições de interferir ou modificar o comportamento de uma organização. A nossa sociedade contemporânea, uma sociedade de caráter pósindustrial, refere-se freqüentemente como sendo uma Economia da Informação, ou a uma Era da Informação. Em nível mais simplista, isso significa que, mais e mais, o que as pessoas produzem está ligado à informação do que aos bens físicos (Davenport e Prusak, 2000, p.18). 2.2 A Informação como Recurso da Organização É preciso entender as organizações como sistemas. Os recursos de que a organização dispõe são elementos desse sistema que serão processados e transformados em produtos ou serviços. São eles: recursos financeiros, recursos materiais, recursos humanos e recursos de informação. A informação é um recurso que não se deteriora nem se deprecia; é infinitamente reutilizável e tem seu valor determinado exclusivamente pelo usuário.

23 13 A Informação é o único recurso que não se perde com o uso ou com a disseminação. A informação só se perde quando se torna obsoleta. É um tipo especial de recurso útil às organizações e que precisa ser administrado. O propósito básico da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis, nos quais se inserem pessoas, materiais, equipamentos, tecnologia, dinheiro, além da própria informação. Mediante o quadro crítico que se encontra todo tipo de organização ao tratar suas informações sejam elas confidenciais ou não, torna-se fundamental não tão somente ao profissional da área de Tecnologia da Informação, mas também os demais responsáveis por algum tipo de informação que comprometa a empresa, serem orientados, instruídos e comprometidos ao melhor tratamento e cuidados com as informações. (Rangel, 2003). Na época em que as informações eram armazenadas em papel, a segurança era relativamente simples. Com as mudanças tecnológicas e o uso do mainframe, a estrutura de segurança ficou mais sofisticada, possuindo controles centralizados. Com a chegada dos computadores pessoais e das redes que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade, que há a necessidade do desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerenciamento. Para garantir a segurança da informação de qualquer empresa é necessário que haja Normas e Procedimentos claros, que deverão ser seguidos por todos os usuários da empresa. A maior dificuldade das grandes empresas é garantir que todos os usuários conheçam e sigam as normas e procedimentos da mesma e entendam a sua importância. A utilização de controles de segurança para garantir o adequado acesso a programas, arquivos de dados, aplicações e redes deve ser cuidadosamente tratada pelos gestores de todas as áreas da organização e, principalmente, pela Alta Administração em função das leis em vigor impostas por órgãos regulatórios e políticas internas. Os executivos que, ao menos, contemplarem adequadamente em suas políticas todas as fases do ciclo de vida de uma informação, que vai desde a

24 14 sua criação e correta classificação até sua definitiva exclusão, podem minimizar os custos com sua proteção (Modulo, 2005). 2.3 Classificação de Informações De acordo com POLÍTICA... (2002, p.2)[4], todo tipo de documento de uma corporação deve exibir, de maneira clara, o respectivo grau de acessibilidade, ou seja, seu grau de sigilo, o que requer classificar todas as informações segundo o seu grau de criticidade e âmbito de acesso: 1) Informações Confidenciais: só podem ser disseminadas para empregados previamente nomeados. Empresa. Empresa. 2) Informações Corporativas: sua divulgação restringe-se ao âmbito da 3) Informações Públicas: podem ser disseminadas dentro e fora da Convém que informações e resultados de sistemas que processam dados classificados sejam rotulados de acordo com seu valor e sua sensibilidade para a organização. Também pode ser apropriado rotular a informação em termos quão crítica ela é para a organização como, por exemplo, em termos de integridade e disponibilidade. A informação freqüentemente deixa de ser sensível ou crítica após certo período de tempo, por exemplo, quando a informação se torna pública. Sugere-se que estes aspectos sejam levados em consideração, pois uma classificação, superestimada pode levar à custos adicionais desnecessários. Pede-se que as regras de classificação previnam e alertem para o fato de que um determinado item de informação não tem necessariamente uma classificação fixa, podendo sofrer modificação de acordo com alguma política predeterminada.

25 O que é Segurança da Informação? Segundo alguns conceitos básicos publicados pela Modulo Security e para fundamentação do trabalho, a Segurança da Informação é o conjunto de dados, imagens, textos e outras formas de representação usadas para os valores da Companhia, associados ao seu funcionamento ou manutenção das suas vantagens competitivas. Conforme POLÍTICA... (2002, p. 1-4)[4], os conceitos podem ser definidos como: 1) Recursos de informação: são todos os meios usados para obtenção, geração, armazenamento e transporte das informações. Inclui: os recursos do ambiente de tecnologia da informação (instalações e equipamentos e informática e telecomunicações, sistemas operacionais, aplicativos e sistemas de informações usados nesses equipamentos) e outros recursos convencionais (arquivos, papel, microfilme, mapas, etc.). 2) Sistema de Informação: é um conjunto de processos e recursos do ambiente de tecnologia da informação organizados para prover, de modo sistemático, informações para a Companhia. 3) Órgão Proprietário da Informação: é o órgão da empresa responsável pelas informações de uma determinada área de atividade da Companhia. 4) Proprietário da Informação: empregado, designado pelo Órgão Proprietário da Informação, para responder perante a Companhia pela classificação das informações e definição das suas necessidades de segurança. 5) Comitê de Segurança de Informações: é o comitê constituído pela Diretoria Executiva da empresa com a finalidade de implantar e garantir o cumprimento da Política de Segurança da Informação no âmbito da Companhia. 6) Gerente de Segurança de Informações do Órgão: empregado designado pelo órgão da Companhia, como responsável pelo cumprimento da Política de Segurança de Informações no âmbito do órgão, servindo de interface entre gerentes, proprietários, usuários, custodiantes, Gerência de Tecnologia da

26 16 Informação do Órgão e o Comitê de Segurança de Informações As tríplices da Segurança da Informação A segurança das informações jamais será alcançada se a tríplice PPT - Pessoas, Processos e Tecnologias não for aplicada à estratégia de segurança. A Figura 8 ilustra a forma tridimensional (uma variação) que a estratégia de segurança deve ter para que seja efetiva. Figura 8 - PPT - Pessoas, Processos e Tecnologias (MODULO, 2003) O ponto de equilíbrio mostrado na Figura 8 poderá, ou deverá variar de empresa para empresa, ou até mesmo de um processo de negócio para outro dentro da mesma empresa. O que não deve ser acontecer jamais é este ponto ficar sobre um dos eixos cartesianos, ou tendendo a zero, pois não estaria contemplando uma das partes da tríplice, e consequentemente tornando a estratégia falha. Explorando um pouco mais esta tríplice teremos: 1) Pessoas: educação o que fazer; treinamento como fazer e conscientização por que fazer. Já virou jargão no ramo da segurança: o elo mais fraco da corrente da segurança são as pessoas. É nas pessoas que começa e termina a segurança, basta que uma, na cadeia de processos, não esteja preparada para que o risco de incidente aumente consideravelmente. 2) Processos: estes devem ser flexíveis até o ponto que não afete a segurança das informações, a partir daí devem ser tratados de forma rígida e

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários. $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &RQWUROHVVREUHEDQFRGHGDGRVH PLFURFRPSXWDGRUHV

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC NUCLEO CONSULTORIA EM SEGURANÇA Artigo SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO BRASIL, São Paulo Novembro, 2013 V.1.0 1. RESUMO Este artigo apresenta

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Algumas Leis da Segurança

Algumas Leis da Segurança Algumas Leis da Segurança Marcos Aurelio Pchek Laureano laureano@ppgia.pucpr.br Roteiro Leis Fundamentais Leis Imutáveis Seus significados Sua Importância 2 Algumas Leis da Segurança As leis Fundamentais

Leia mais

Guia De Criptografia

Guia De Criptografia Guia De Criptografia Perguntas e repostas sobre a criptografia da informação pessoal Guia para aprender a criptografar sua informação. 2 O que estamos protegendo? Através da criptografia protegemos fotos,

Leia mais

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura?

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura? Qual a importância da Segurança da Informação para nós? No nosso dia-a-dia todos nós estamos vulneráveis a novas ameaças. Em contrapartida, procuramos sempre usar alguns recursos para diminuir essa vulnerabilidade,

Leia mais

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Aumento dos incidentes de segurança A freqüência de incidentes de segurança continua a aumentar rapidamente 120.000 100.000 80.000 60.000

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais

Segurança da Informação. Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha

Segurança da Informação. Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha Segurança da Informação Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha Cenário Atual Era da Informação e da Globalização: Avanços da Tecnologia da Informação; Avanços

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005 II Semana de Informática - CEUNSP Segurança da Informação Novembro/2005 1 Objetivo Apresentar os principais conceitos sobre Segurança da Informação Foco não é técnico Indicar onde conseguir informações

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

Resposta de pergunta para funcionários

Resposta de pergunta para funcionários Resposta de pergunta para funcionários Sobre a EthicsPoint Geração de Denúncias - Geral Segurança e Confidencialidade da Geração de Denúncias Dicas e Melhores Práticas Sobre a EthicsPoint O que é a EthicsPoint?

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Gestão de SI- seção 4.4 Gestão da segurança da informação 1 Segurança Dados e informações devem estar bem guardadas e cuidadas Vulnerabilidades (externa e interna) Acesso sem autorização

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

Technology and Security Risk Services. Novembro, 2003

Technology and Security Risk Services. Novembro, 2003 Technology and Security Risk Services Novembro, 2003 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas Acesso aos sites financeiros cresceu 199% em dois anos; Os sites

Leia mais

Uso dos computadores e a Tecnologia da informação nas empresas: uma visão geral e introdutória

Uso dos computadores e a Tecnologia da informação nas empresas: uma visão geral e introdutória Uso dos computadores e a Tecnologia da informação nas empresas: uma visão geral e introdutória Não há mais dúvidas de que para as funções da administração - planejamento, organização, liderança e controle

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Software. Bem vindo ao mundo do GED e Tecnologias Digitais. Gerenciamento Eletrônico de Documentos, Softwares, e muito mais...

Software. Bem vindo ao mundo do GED e Tecnologias Digitais. Gerenciamento Eletrônico de Documentos, Softwares, e muito mais... Software www.imagecomnet.com.br Bem vindo ao mundo do GED e Tecnologias Digitais Gerenciamento Eletrônico de Documentos, Softwares, e muito mais... A Empresa A Imagecom, uma empresa conceituada no ramo

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

Ficha técnica do material. Políticas de Backup 1

Ficha técnica do material. Políticas de Backup 1 Ficha técnica do material Autor: Humberto Celeste Innarelli Origem: Apostila Preservação de Documentos Digitais Páginas: 24 a 28 Mês/Ano: 12/2003 Entidade promotora do curso: UNIVERSIDADE ESTADUAL DE CAMPINAS

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

O papel da Auditoria quanto a Segurança da Informação da organização

O papel da Auditoria quanto a Segurança da Informação da organização 22 de julho de 2011 O papel da Auditoria quanto a Segurança da Informação da organização Francisco Fernandes Superintendente Geral de Auditoria de TI Banco Safra Sistema Financeiro Nacional Fonte: Banco

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

Introdução a Segurança da Informação

Introdução a Segurança da Informação Introdução a Segurança da Informação Caio S. Borges 1, Eduardo C. Siqueira 1 1 Faculdade de Informática Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) CEP 90.619-900 Porto Alegre RS Brasil

Leia mais

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit.

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 2 Regras e Instruções: Antes de começar a fazer a avaliação leia as instruções

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

Aspectos Jurídicos no Uso de Dispositivos Pessoais no Ambiente Corporativo. Dra. CRISTINA SLEIMAN. Dra. Cristina Sleiman Diretora Executiva

Aspectos Jurídicos no Uso de Dispositivos Pessoais no Ambiente Corporativo. Dra. CRISTINA SLEIMAN. Dra. Cristina Sleiman Diretora Executiva Comissão de Direito eletrônico E Crimes de Alta Tecnologia Aspectos Jurídicos no Uso de Dispositivos Pessoais no Ambiente Corporativo Dra. CRISTINA SLEIMAN Dra. Cristina Sleiman Diretora Executiva SP,

Leia mais

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica Fundamentos em Segurança de Redes de Computadores Segurança Lógica 1 Segurança Lógica Mecanismos de Controle A Segurança Lógica é aspecto abrangente e complexo, requerendo, consequentemente, um estudo

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Diego Neves http://diegoneves.eti.br diego@mucurilivre.org diego@diegoneves.eti.br fb.com/diegoaceneves @diegoaceneves

Diego Neves http://diegoneves.eti.br diego@mucurilivre.org diego@diegoneves.eti.br fb.com/diegoaceneves @diegoaceneves Hackeando Cérebros O Problema do mundo são as pessoas. Diego Neves http://diegoneves.eti.br diego@mucurilivre.org diego@diegoneves.eti.br fb.com/diegoaceneves @diegoaceneves Sobre mim... Analista de Sistemas.

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ABNT 21:204.01-010 A Política de segurança da informação, na empresa Agiliza Promotora de Vendas, aplica-se a todos os funcionários, prestadores de

Leia mais

FERNANDO BRACALENTE GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM REDE CORPORATIVA LOCAL ANALISANDO VULNERABILIDADES TÉCNICAS E HUMANAS.

FERNANDO BRACALENTE GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM REDE CORPORATIVA LOCAL ANALISANDO VULNERABILIDADES TÉCNICAS E HUMANAS. FERNANDO BRACALENTE GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM REDE CORPORATIVA LOCAL ANALISANDO VULNERABILIDADES TÉCNICAS E HUMANAS. Trabalho apresentado à Faculdade de Vinhedo para a obtenção do grau de Bacharel

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Governança de T.I. Professor: Ernesto Junior E-mail: egpjunior@gmail.com

Governança de T.I. Professor: Ernesto Junior E-mail: egpjunior@gmail.com Governança de T.I Professor: Ernesto Junior E-mail: egpjunior@gmail.com Information Technology Infrastructure Library ITIL ITIL é um acrônimo de Information Technology Infraestruture Library. Criado em

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Segurança da Informação

Segurança da Informação Em parceria com: Segurança da Informação Sua organização se preocupa em proteger as informações? Informação X Segurança DO QUE proteger as informações? ENTENDENDO A AMEAÇA Existem mais de 26.000 produtos

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Página: 1 de 5 1. INTRODUÇÃO A informação é um ativo que possui grande importância para PRÓ-MEMÓRIA, sendo resguardada contra ameaças e riscos. Segurança da informação, segundo a NBR ISO/IEC 27002:2005,

Leia mais

Controle e Monitoramento Inteligente dos processos e regras de negócios utilizando a Plataforma Zabbix

Controle e Monitoramento Inteligente dos processos e regras de negócios utilizando a Plataforma Zabbix 1/7 Controle e Monitoramento Inteligente dos processos e regras de negócios utilizando a Plataforma Zabbix Navegue: 1/7 > www.alertasecurity.com.br +55 11 3105.8655 2/7 PERFIL ALERTA SECURITY SOLUTIONS

Leia mais

Segurança da informação e a natureza humana

Segurança da informação e a natureza humana Segurança da informação e a natureza humana Jefferson de Oliveira Bazana Faculdade Impacta de Tecnologia São Paulo Brasil jbazana@gmail.com Resumo: A importância do fator humano na segurança da informação

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Diretrizes Gerais para uso dos recursos de Tecnologia da Informação

Diretrizes Gerais para uso dos recursos de Tecnologia da Informação DIRETRIZES GERAIS PARA USO DOS RECURSOS DE TECNOLOGIA DA INFORMAÇÃO Data: 17 de dezembro de 2009 Pág. 1 de 6 SUMÁRIO SUMÁRIO 2 1. INTRODUÇÃO 3 2. FINALIDADE 3 3. ÂMBITO DE APLICAÇÃO 3 4. DIRETRIZES GERAIS

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

ACOMPANHAMENTO GERENCIAL SANKHYA

ACOMPANHAMENTO GERENCIAL SANKHYA MANUAL DE VISITA DE ACOMPANHAMENTO GERENCIAL SANKHYA Material exclusivo para uso interno. O QUE LEVA UMA EMPRESA OU GERENTE A INVESTIR EM UM ERP? Implantar um ERP exige tempo, dinheiro e envolve diversos

Leia mais

SI- Sistemas de Informação. Professora: Mariana A. Fuini

SI- Sistemas de Informação. Professora: Mariana A. Fuini SI- Sistemas de Informação Professora: Mariana A. Fuini INTRODUÇÃO A informação é tudo na administração de uma organização. Mas para uma boa informação é necessário existir um conjunto de características

Leia mais

Por que utilizar o modelo ITIL

Por que utilizar o modelo ITIL Por que utilizar o modelo ITIL... O que não é definido não pode ser controlado... O que não é controlado não pode ser medido... O que não é medido não pode ser melhorado Empregado para definir, controlar,

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Via Internet Banking você pode realizar as mesmas ações disponíveis nas agências bancárias, sem enfrentar filas ou ficar restrito aos horários de atendimento Realizar transações

Leia mais

CARTILHA DE SEGURANÇA

CARTILHA DE SEGURANÇA ESTADO DE SERGIPE TRIBUNAL DE CONTAS DO ESTADO CARTILHA DE SEGURANÇA COORDENADORIA DE INFORMÁTICA Sumário O que é informação... 3 Cuidado com a Engenharia Social... 3 Dicas de Senhas... 4 Recomendações

Leia mais

Aula 12 Lista de verificação de segurança para o Windows 7

Aula 12 Lista de verificação de segurança para o Windows 7 Aula 12 Lista de verificação de segurança para o Windows 7 Use esta lista de verificação para ter certeza de que você está aproveitando todas as formas oferecidas pelo Windows para ajudar a manter o seu

Leia mais

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional Gerenciamento do Risco Operacional Controle do documento Data Autor Versão Outubro/2010 Compliance 001 Dezembro/2011 Compliance 002 Dezembro/2012 Compliance 003 Agosto/2014 Compliance 004 Revisão do documento

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Como a automação de marketing pode aumentar suas vendas

Como a automação de marketing pode aumentar suas vendas edição 04 Guia do inbound marketing Como a automação de marketing pode aumentar suas vendas Como a automação de marketing pode aumentar suas vendas Há um tempo atrás o departamento de marketing era conhecido

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA GADE SOLUTION Tatiana Lúcia Santana GADE SOLUTION 1. Conceituação: A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz

Leia mais

Quais tipos de informações nós obteremos para este produto

Quais tipos de informações nós obteremos para este produto Termos de Uso O aplicativo Claro Facilidades faz uso de mensagens de texto (SMS), mensagens publicitárias e de serviços de internet. Nos casos em que houver uso de um serviço tarifado como, por exemplo,

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Processos Técnicos - Aulas 4 e 5

Processos Técnicos - Aulas 4 e 5 Processos Técnicos - Aulas 4 e 5 Trabalho / PEM Tema: Frameworks Públicos Grupo: equipe do TCC Entrega: versão digital, 1ª semana de Abril (de 31/03 a 04/04), no e-mail do professor (rodrigues.yuri@yahoo.com.br)

Leia mais

ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS

ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS CAPÍTULO 1 INTRODUÇÃO ITIL V3 1.1. Introdução ao gerenciamento de serviços. Devemos ressaltar que nos últimos anos, muitos profissionais da

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos.

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos. ITIL V3 Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender o gerenciamento de riscos. Porquê Governança? Porque suas ações e seus requisitos

Leia mais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais Segurança na Internet Disciplina: Informática Prof. Higor Morais 1 Agenda Segurança de Computadores Senhas Engenharia Social Vulnerabilidade Códigos Maliciosos Negação de Serviço 2 Segurança de Computadores

Leia mais