A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO

Tamanho: px
Começar a partir da página:

Download "A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO"

Transcrição

1 UNIÃO EDUCACIONAL MINAS GERAIS S/C LTDA FACULDADE DE CIÊNCIAS APLICADAS DE MINAS Autorizada pela Portaria no 577/2000 MEC, de 03/05/2000 BACHARELADO EM SISTEMAS DE INFORMAÇÃO A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO EDUARDO EDSON DE ARAUJO UBERLÂNDIA - MG 2005

2 EDUARDO EDSON DE ARAUJO A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO Trabalho de Final de curso submetido à UNIMINAS como parte dos requisitos para a obtenção do grau de Bacharel em Sistemas de Informação. Orientador: Prof. Esp. Flamaryon Guerin Gomes Borges UBERLÂNDIA - MG 2005

3 EDUARDO EDSON DE ARAUJO A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO Trabalho de Final de curso submetido à UNIMINAS como parte dos requisitos para a obtenção do grau de Bacharel em Sistemas de Informação. Orientador: Prof. Esp. Flamaryon Guerin Gomes Borges Banca Examinadora: Uberlândia, 17 de Dezembro de Prof. Esp. Flamaryon Guerin Gomes Borges (Orientador) Prof. Dr. Mauro Hemerly Gazzani Prof. MSc Gilson Marques Silva UBERLÂNDIA - MG 2005

4 ! " # $ % "

5 AGRADECIMENTOS Ao meu orientador, Prof. Esp. Flamaryon braço amigo de todas as etapas deste trabalho (valeu bichão). dessa realização. A toda a minha família, pela confiança, incentivo e motivação ao longo A minha namorada Miriam, pela paciência, a compreensão, amor e principalmente por entender a importância da minha dedicação e esteve presente em todas as etapas desse aprimoramento. Aos amigos que me incentivaram e sempre me deram força para que eu pudesse vencer esse desafio. As minhas funcionárias que sempre acreditaram na minha capacidade e conseguiram abrir os meus olhos para a importância dessa graduação. A todos os professores do curso de Sistemas de Informação que foram fundamentais para o meu aprendizado e formação profissional. A todos os colegas de sala que infelizmente somente no final do curso é que resolveram se unir e curtir esse grande momento que é a formação acadêmica.

6 RESUMO Este trabalho consiste em contribuir para os profissionais que lidam com a Segurança da Informação, principalmente os da área de TI (Tecnologia da Informação) que terão como responsabilidade desenvolver, melhorar ou aplicar uma Política de Segurança da Informação, reforçar principalmente a importância de se ter um programa de conscientização para todos os colaboradores de uma organização e que não há como garantir a Segurança da Informação nas organizações somente investindo em equipamentos e recursos de TI, como firewalls, sistemas de detecção de intrusos, antivírus, etc. Com base em avaliações executadas em um ambiente corporativo e estudos em vários conceitos voltados para a Segurança da Informação, o trabalho apresenta as melhores práticas e recomendações a serem tomadas no desenvolvimento de um programa de conscientização. Para isso o trabalho foi dividido em duas etapas: a pesquisa bibliográfica para um nivelamento de conceitos, definindo o que vem a ser informação e engenharia social e como ela funciona e qual o papel do usuário na segurança da informação, e uma pesquisa nos processos de conscientização e os procedimentos e cuidados utilizados por uma grande Corporação.

7 ABSTRACT This work consists in contributing with the professionals who deals with Security Information principally on IT (Technologic Information) area will have as responsibilities the development, enhancement or application of a Security Information Policy, mainly reinforcing the importance of having an education program for all collaborators of an organization and that there is not a way of guaranteeing the Security of the Information at the organizations by only investing in equipments and IT resources such as firewalls, intruder detector systems, anti-virus etc. Based on experiences executed in a corporative environment and studies in various concepts about Security Information, the work presents the best practices and recommendations to be taken in the development of an educational program. For this, the work was divided into two phases: a bibliographical research to level the concepts, defining what comes to be information Social Engineering and how it works and its role in the Security Information, and a research in the educational process and the procedures and cares taken by a big corporation.

8 LISTA DE FIGURAS Figura 1 - Adequação a Legislação (MODULO, 2003) 2 Figura 2 - Departamentos que interagem no dia-a-dia (MODULO, 2003) 3 Figura 3 - Prejuízos contabilizados (MODULO, 2003) 4 Figura 4 - Ocorrência de ataques e invasões (MODULO, 2003) 4 Figura 5 - Principais ameaças (MODULO, 2003) 5 Figura 6 - Utilização de Política de Segurança (MODULO, 2003) 5 Figura 7 - Principais medidas de segurança adotadas (MODULO, 2003) 6 Figura 8 - PPT - Pessoas, Processos e Tecnologias (MODULO, 2003) 16 Figura 9 - Ambiente sem políticas de Segurança (MODULO, 2003) 23 Figura 10 - Os três pólos da Segurança 24 Figura 11 - Fórmula de Marcos Sêmola 25 Figura 12 - Estrutura de Ataque 42 Figura 13 - Dinâmica de entrega de informações 44 Figura 14 - Os quatro domínios do COBIT (MODULO, 2005) 52 Figura 15 - TI como Habilitador do Negócio (MODULO, 2005) 53 Figura 16 - Gráfico COBIT (MODULO, 2005) 56 Figura 17 - O elo mais fraco (MODULO, 2003) 59 Figura 18 - Certificado do treinamento Security Awareness Training 72

9 LISTA DE ABREVIATURAS E SÍMBOLOS 1 ABNT - Associação Brasileira de Normas Técnicas 2 ISO - International Standartization Organization 3 COBIT - Control Objectives for Information and Related Technology 4 TI - Tecnologia da Informação 5 CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil 6 Malware - Malicious software 7 CAIS - Centro de Atendimento a Incidentes de Segurança 8 CSO - Chief Security Officer 9 COSO - Committee of Sponsoring Organizations 10 ISACF - The Information System Audit and Control Foundation 11 ITIL - The IT Infrastructure Library 12 RH - Recursos Humanos 13 CEO - Chief Executive Officer 14 CD - Compact Disc 15 HD - Hard Disc 16 DVD - Digital Video Player 17 CPD - Centro de Processamento de Dados

10 SUMÁRIO 1 INTRODUÇÃO CENÁRIO DA SEGURANÇA NAS CORPORAÇÕES IDENTIFICAÇÃO DO PROBLEMA OBJETIVOS DO TRABALHO JUSTIFICATIVA PARA A PESQUISA ORGANIZAÇÃO DO TRABALHO A IMPORTÂNCIA DA INFORMAÇÃO DADO, INFORMAÇÃO E CONHECIMENTO A INFORMAÇÃO COMO RECURSO DA ORGANIZAÇÃO CLASSIFICAÇÃO DE INFORMAÇÕES O QUE É SEGURANÇA DA INFORMAÇÃO? As tríplices da Segurança da Informação Objetivos da Segurança de Informação Política de Segurança Desenvolvimento de uma Política de Segurança O QUE É UMA VULNERABILIDADE? Diferenciando Ameaça de Vulnerabilidade Teste com O JOGO DA SEGURANÇA ASPECTOS DA SEGURANÇA Risco de Segurança SECURITY OFFICER ENGENHARIA SOCIAL PERFIL DO ENGENHEIRO SOCIAL As ferramentas do Engenheiro Social A ARTE DO ENGENHEIRO SOCIAL E SUAS TÉCNICAS Informações inofensivas x valiosas Criando a confiança Simplesmente pedindo Técnica do Posso Ajudar? Técnica do Você pode me ajudar?...32

11 3.3 A ENGENHARIA SOCIAL NA INTERNET Internet Banking PONTOS FRACOS EXPLORADOS PELO ENGENHEIRO SOCIAL Checando o lixo ESTRUTURA DIAGRAMÁTICA E OBJETIVA DO PROCESSO DE ATAQUE DO ENGENHEIRO SOCIAL DINÂMICA DE COMO EVITAR OU DIFICULTAR A ENTREGA DE INFORMAÇÕES ENGENHEIRO SOCIAL VERSUS SECURITY OFFICER SEGURANÇA É ADMINISTRAR RISCOS PROPOSTAS DE UM SECURITY OFFICE DIFICULTANDO A VIDA DO ENGENHEIRO SOCIAL O COBIT COMO REFERÊNCIA PARA UMA GESTÃO DE SEGURANÇA O COBIT Modelos e Componentes O COBIT Objetivos e Benefícios O COBIT Público Alvo O COBIT Referências para Auxílio no dia-a-dia Aplicando o COBIT A IMPORTÂNCIA DA CONSCIENTIZAÇÃO PLANO DE TREINAMENTO CONTRA O ENGENHEIRO SOCIAL Exemplos para Reforçar a Conscientização Estudo de Caso: A Conscientização na American Express CONCLUSÕES E TRABALHOS FUTUROS CONCLUSÕES TRABALHOS FUTUROS GLOSSÁRIO REFERÊNCIAS BIBLIOGRÁFICAS...83

12 2 1 INTRODUÇÃO 1.1 Cenário da Segurança nas Corporações Na 9º Pesquisa Nacional de Segurança da Informação realizada no 1º semestre de 2003 (MODULO, 2003), pode-se afirmar que o ano de 2003 foi de grande importância para a Segurança da Informação e pode-se dizer que ele marca o início da fase madura do setor. As equipes de segurança das empresas encontram-se estruturadas ou em fase avançada de estruturação. Um dos mais importantes resultados desta 9º pesquisa é referente à adequação com legislação, regulamentação e normas. Este estudo mostra que por um lado a ISO tem sido adotada fortemente como referência técnica pelas equipes de Segurança, seguida pelo COBIT, muitas vezes em conjunto, mas, por outro lado, cada segmento tem também adotado as regulamentações específicas como, por exemplo, resoluções do Banco Central (conforme Figura 1) e decretos do Governo Federal. Figura 1 - Adequação a Legislação (MODULO, 2003) Esta tendência de uso de normas e regulamentações é fortalecida com o novo Código Civil, que traz maior responsabilidade para os administradores das empresas e autoridades do Governo. Tudo isso têm se destacado como uma grande oportunidade para os profissionais de Segurança da Informação nos

13 3 próximos anos, uma vez que a matéria se aproxima a cada dia da sua atividade principal e dos executivos da organização. Outro aspecto importante da pesquisa mostra que o profissional está interagindo cada vez mais com os departamentos de sua organização e que, a cada dia, deixa de se relacionar apenas com TI e Auditoria, e passa a ser interlocutor de departamentos como Jurídico, RH e Comunicação. Departamentos que interagem no dia a dia: Figura 2 - Departamentos que interagem no dia-a-dia (MODULO, 2003) Em temos técnicos, a pesquisa ratifica os desafios principais de hoje: A preocupação com vírus, funcionários insatisfeitos e senhas como principais ameaças. O aumento do uso da Internet como meio de fraudes e vazamento de informações, acompanhando o desenvolvimento dos negócios eletrônicos. O desafio de conscientizar os executivos, motivar os usuários e capacitar a equipe, assim como demonstrar o retorno sobre o investimento da segurança. A necessidade de realizar análise de riscos e revisar periodicamente a política de segurança. O crescimento dos problemas de segurança a cada ano, acompanhando o crescimento dos ataques, a evolução da tecnologia e o aumento dos investimentos no setor.

14 4 1.2 Identificação do Problema Na 9º Pesquisa Nacional de Segurança da Informação realizada no 1º semestre de 2003 (Modulo, 2003), afirma-se que os ataques deverão aumentar em 2004 e que 42% das empresas tiveram problemas com Segurança da Informação nos seis meses anteriores à pesquisa. Nota-se também que: 35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72% em 2002, para 65%, em Figura 3 - Prejuízos contabilizados (MODULO, 2003) O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em Figura 4 - Ocorrência de ataques e invasões (MODULO, 2003) Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas.

15 5 Figura 5 - Principais ameaças (MODULO, 2003) 60% das empresas indicam a Internet como principal ponto de invasão em seus sistemas. 63,5% dos entrevistados adotam a ISSO como a principal norma que norteia suas empresas. Política de Segurança já é realidade em 68% das organizações. Figura 6 - Utilização de Política de Segurança (MODULO, 2003) Comparando as informações retiradas da 9º Pesquisa Nacional de Segurança da Informação, pode-se afirmar que o fator humano é o principal desafio para se ter uma boa e segura conduta de Segurança da Informação, pois mesmo tendo 68% de empresas que possuem uma Política de Segurança, os ataques continuam subindo comparando 2002 com 2003 e ainda afirmam que os ataques poderiam subir em A parte técnica da segurança da informação nas grandes corporações está em um bom caminho comparando os dados da 9º pesquisa. Softwares de antivírus melhores, instalações de firewall, implementações de Política de Segurança e capacitação técnica se estruturando a cada dia.

16 6 Figura 7 - Principais medidas de segurança adotadas (MODULO, 2003) As cinco principais ameaças à segurança das informações nas empresas estão relacionadas à vulnerabilidade humana. Vale reforçar que o elo mais fraco da segurança é o fator humano. O cientista mais respeitado do mundo no século XX, Albert Einstein, disse certa vez: Apenas duas coisas são infinitas: o universo e a estupidez humana, E eu não tenho certeza se isso é verdadeiro para o primeiro. 1.3 Objetivos do Trabalho Este trabalho propõe a realização de um estudo e de uma pesquisa, analisando de forma exploratória, práticas relacionadas à gestão de conscientização sobre a Segurança da Informação, e fornecendo contribuições ao estudo do assunto, através da caracterização de um cenário sobre o programa de conscientização da American Express do Brasil, localizada em Uberlândia. O objetivo desse trabalho é analisar os modelos para a gestão de conscientização em uso na organização, propondo um modelo mais eficaz e obtendo dicas importantes sobre como conduzir um programa de conscientização. O foco do trabalho é reforçar a importância de se ter um programa de conscientização e as melhores formas de conduzi-lo. Dada à existência de vários arranjos nos programas de conscientização, busca-se também identificar relações que influenciem a escolha de um determinado modelo de gestão. Mais especificamente, considera-se possível a existência de relações

17 7 entre a escolha do modelo de gestão e determinados objetivos estratégicos da organização, assim como também com fatores econômicos da organização, por exemplo, custos de produção e disponibilidade financeira. Por fim, o trabalho também procura identificar determinadas características dos modelos adotados que tiveram uma maior adesão e participação do público alvo, os colaboradores e executivos das organizações. 1.4 Justificativa para a Pesquisa A Segurança da Informação para o ambiente corporativo atual é vital para manter não só a visão como também a missão da mesma, pois no ramo de cartão de crédito toda e qualquer informação pertencente a um associado, deve manter um alto nível de segurança, não só os dados cadastrais como também informações relativas aos gastos dos mesmos. As normas e procedimentos devem fornecer claramente todas as orientações necessárias para a condução segura dos negócios da organização. É importante que elas sejam estruturadas de forma a proteger os ativos de informação. Convém dizer que a definição, os procedimentos e os motivos para cada usuário ou grupo de usuários possuírem qualquer tipo de acesso à informação devem estar especificados no documento corporativo Política de Segurança da Informação. Nele estão definidas, pelo principal executivo da organização, todas as regras de controle de acesso em vigor, treinamento, conscientização e os procedimentos para a classificação das informações (uso interno, pública, ou confidencial). Todo este esforço visa controlar e evitar os acessos não autorizados aos recursos de TI. Os executivos que, pelo menos, contemplarem adequadamente em suas políticas todas as fases do ciclo de vida de uma informação, que vai desde a sua criação e correta classificação até sua definitiva exclusão, podem minimizar os custos com sua proteção. A garantia de que uma organização possuirá um grau de segurança

18 8 razoável está diretamente relacionado ao nível de conscientização de seus colaboradores, ou seja, a segurança somente será eficaz se todos tiverem pleno conhecimento do que lhes é esperado e de suas responsabilidades. Eles devem saber por que são utilizadas diversas medidas de segurança (como portas sempre trancadas e uso de identificadores pessoais) e as devidas sanções caso sejam violadas. É necessário investir na conscientização de todos (colaboradores e executivos) que devem ter em mente que as informações por eles manuseadas têm valor e podem causar grandes prejuízos para a organização em que trabalham, tendo até seus empregos ameaçados devido à impossibilidade da organização realizar seus negócios e se perpetuar no tempo. O treinamento e a conscientização em segurança são considerados controles preventivos. Por meio deste processo, todos tomam ciência de suas responsabilidades em preservar a segurança física e lógica da organização. Não obstante, pode-se dizer que o treinamento e conscientização também são controles detectivos, uma vez que, ele encoraja os colaboradores a identificar e reportar as possíveis violações de segurança. O treinamento deve começar com a orientação do novo colaborador. A constante conscientização (dele e de todos) pode ser alcançada utilizando-se boletins informativos ou campanhas elaboradas pela área de marketing, realizando provas periódicas ou entrevistas para avaliar o grau de conhecimento atingido. Vale lembrar que a comunicação é um fator crítico de sucesso para a correta disseminação das políticas corporativas, já que esta provoca alterações no status quo de praticamente todos os colaboradores. Conseqüentemente obriga a mudança na forma de trabalho e qualquer mudança gera resistência, sendo a comunicação, a melhor maneira de reduzir os conflitos inerentes à mudança. Desse modo este trabalho irá avaliar e demonstrar as grandes dificuldades que as empresas passam no dia a dia com relação à comunicação e a conscientização de seus colaboradores.

19 9 1.5 Organização do Trabalho O capítulo dois apresenta a fundamentação teórica usada para o desenvolvimento do estudo e da pesquisa, baseada em uma revisão da bibliografia existente sobre dado, informação e conhecimento, a informação como recurso da organização, o que é segurança da informação, como a informação pode ser classificada, os objetivos da segurança da informação, política de segurança, como desenvolver uma política de segurança, o que é uma vulnerabilidade, diferenciação entre ameaça e vulnerabilidade, os aspectos da Segurança e seus riscos. Neste capítulo refere-se também os aspectos de como administrar a segurança da informação bem como o papel dos responsáveis pelas normas e Políticas de Segurança. O capítulo três discorre sobre a Engenharia Social, mostrando como ela está presente em nosso cotidiano, com o objetivo de alertar que o elo mais fraco que rege em todas as empresas de qualquer setor é o fator humano. A pesquisa realizada sobre este tema é baseada em uma revisão bibliográfica existente sobre perfil do engenheiro social, as ferramentas do engenheiro social, a arte do engenheiro social e suas técnicas, pontos fracos explorados pelo engenheiro social, checando o lixo e uma dinâmica de como evitar ou dificultar a entrega de informações. No capítulo quatro será feita uma junção da Engenharia Social com a Segurança da Informação, destacando as vulnerabilidades e ameaças existentes que a engenharia social traz consigo, afetando assim a segurança das informações, perante a luta propriamente dita entre Engenharia Social versus Security Office e a utilização do COBIT como uma referência na gestão da Segurança da Informação. O capítulo cinco trata do estudo realizado no modelo de conscientização existente em uma das grandes corporações da Uberlândia: A American Express, com o intuito de levantar algumas oportunidades encontradas para auxiliar a qualquer desenvolvedor de um programa de conscientização, contribuindo para um melhor resultado, tendo o objetivo de atingir os três públicos: auditivo, visual e o sinestésico. Estes diversos assuntos são apresentados e discutidos por serem

20 10 elementos indispensáveis para a criação de um quadro de referência, que permita a compreensão dos vários aspectos envolvendo o problema de pesquisa. Por fim no capítulo seis, será apresentada a conclusão do trabalho desenvolvido.

21 11 2 A IMPORTÂNCIA DA INFORMAÇÃO Desde os tempos primitivos o ato de se comunicar por mais arcaico que fosse, era um meio de transmitir informação. Hoje não há mais a necessidade de olhar nos olhos para transmitir uma informação íntegra confidencial e disponível. Muita coisa mudou e com a acelerada transformação de recursos, idéias e ideais o homem percebeu e está descobrindo cada vez mais que a informação é como o ar que respiramos: essencial. A informação de uma empresa é o seu principal patrimônio. O Código de prática para a gestão da segurança da informação diz que: A informação é um ativo que, como qualquer outro, importante para os negócios, tem um valor para a organização. A segurança da informação da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos ao negócio e maximizar o retorno dos investimentos e as oportunidades de negócios. (NBR ISSO/IEC 17799:2001, pág.2). A informação é mais um dos recursos a serem administrados pela organização. Neste sentido, aborda-se a seguir aspectos relevantes sobre a informação e seu valor para as organizações. 2.1 Dado, Informação e Conhecimento Para definir informação, diversos autores buscam discernir os termos, dado, informação e conhecimento. Esta distinção entre os termos é difícil, mas, mesmo imprecisa, é necessária para a compreensão do tema. Durante anos, as pessoas se referiram a dados como informação; agora vêem-se obrigadas a lançar mão de conhecimento para falar sobre a informação. Em seguida é apresento de modo sintético o significado de cada termo. 1) DADO: Simples observações sobre o estado do mundo, é facilmente estruturado, facilmente obtido por máquinas, freqüentemente quantificado e facilmente transferível. 2) INFORMAÇÃO: Dados dotados de relevância, requer unidade de

22 12 análise, exigem consenso em relação ao significado e exige necessariamente a mediação humana. Informação vem da palavra latina informare, que significa dar forma. Os filósofos antigos usaram esta palavra por acreditar que a mente humana é que dá forma aos dados para criar a informação e o conhecimento. Essa concepção permanece até hoje na cultura ocidental. Convém definir informação como o conjunto de dados aos quais seres humanos deram forma para torná-los significativos e úteis, e conhecimento como o conjunto de ferramentas conceituais e categorias usadas pelos seres humanos para criar, colecionar, armazenar e compartilhar a informação. 3) CONHECIMENTO: Informação valiosa da mente humana. Inclui reflexão, síntese e contexto. De difícil estruturação, difícil captura em máquinas, freqüentemente tácito e de difícil transferência. Observa-se que os conceitos apresentados convergem no sentido de caracterizar os dados como elemento bruto, que precisam da intervenção humana para transformar-se em informação. Ao contrário dos dados, apenas a informação e o conhecimento têm condições de interferir ou modificar o comportamento de uma organização. A nossa sociedade contemporânea, uma sociedade de caráter pósindustrial, refere-se freqüentemente como sendo uma Economia da Informação, ou a uma Era da Informação. Em nível mais simplista, isso significa que, mais e mais, o que as pessoas produzem está ligado à informação do que aos bens físicos (Davenport e Prusak, 2000, p.18). 2.2 A Informação como Recurso da Organização É preciso entender as organizações como sistemas. Os recursos de que a organização dispõe são elementos desse sistema que serão processados e transformados em produtos ou serviços. São eles: recursos financeiros, recursos materiais, recursos humanos e recursos de informação. A informação é um recurso que não se deteriora nem se deprecia; é infinitamente reutilizável e tem seu valor determinado exclusivamente pelo usuário.

23 13 A Informação é o único recurso que não se perde com o uso ou com a disseminação. A informação só se perde quando se torna obsoleta. É um tipo especial de recurso útil às organizações e que precisa ser administrado. O propósito básico da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis, nos quais se inserem pessoas, materiais, equipamentos, tecnologia, dinheiro, além da própria informação. Mediante o quadro crítico que se encontra todo tipo de organização ao tratar suas informações sejam elas confidenciais ou não, torna-se fundamental não tão somente ao profissional da área de Tecnologia da Informação, mas também os demais responsáveis por algum tipo de informação que comprometa a empresa, serem orientados, instruídos e comprometidos ao melhor tratamento e cuidados com as informações. (Rangel, 2003). Na época em que as informações eram armazenadas em papel, a segurança era relativamente simples. Com as mudanças tecnológicas e o uso do mainframe, a estrutura de segurança ficou mais sofisticada, possuindo controles centralizados. Com a chegada dos computadores pessoais e das redes que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade, que há a necessidade do desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerenciamento. Para garantir a segurança da informação de qualquer empresa é necessário que haja Normas e Procedimentos claros, que deverão ser seguidos por todos os usuários da empresa. A maior dificuldade das grandes empresas é garantir que todos os usuários conheçam e sigam as normas e procedimentos da mesma e entendam a sua importância. A utilização de controles de segurança para garantir o adequado acesso a programas, arquivos de dados, aplicações e redes deve ser cuidadosamente tratada pelos gestores de todas as áreas da organização e, principalmente, pela Alta Administração em função das leis em vigor impostas por órgãos regulatórios e políticas internas. Os executivos que, ao menos, contemplarem adequadamente em suas políticas todas as fases do ciclo de vida de uma informação, que vai desde a

24 14 sua criação e correta classificação até sua definitiva exclusão, podem minimizar os custos com sua proteção (Modulo, 2005). 2.3 Classificação de Informações De acordo com POLÍTICA... (2002, p.2)[4], todo tipo de documento de uma corporação deve exibir, de maneira clara, o respectivo grau de acessibilidade, ou seja, seu grau de sigilo, o que requer classificar todas as informações segundo o seu grau de criticidade e âmbito de acesso: 1) Informações Confidenciais: só podem ser disseminadas para empregados previamente nomeados. Empresa. Empresa. 2) Informações Corporativas: sua divulgação restringe-se ao âmbito da 3) Informações Públicas: podem ser disseminadas dentro e fora da Convém que informações e resultados de sistemas que processam dados classificados sejam rotulados de acordo com seu valor e sua sensibilidade para a organização. Também pode ser apropriado rotular a informação em termos quão crítica ela é para a organização como, por exemplo, em termos de integridade e disponibilidade. A informação freqüentemente deixa de ser sensível ou crítica após certo período de tempo, por exemplo, quando a informação se torna pública. Sugere-se que estes aspectos sejam levados em consideração, pois uma classificação, superestimada pode levar à custos adicionais desnecessários. Pede-se que as regras de classificação previnam e alertem para o fato de que um determinado item de informação não tem necessariamente uma classificação fixa, podendo sofrer modificação de acordo com alguma política predeterminada.

25 O que é Segurança da Informação? Segundo alguns conceitos básicos publicados pela Modulo Security e para fundamentação do trabalho, a Segurança da Informação é o conjunto de dados, imagens, textos e outras formas de representação usadas para os valores da Companhia, associados ao seu funcionamento ou manutenção das suas vantagens competitivas. Conforme POLÍTICA... (2002, p. 1-4)[4], os conceitos podem ser definidos como: 1) Recursos de informação: são todos os meios usados para obtenção, geração, armazenamento e transporte das informações. Inclui: os recursos do ambiente de tecnologia da informação (instalações e equipamentos e informática e telecomunicações, sistemas operacionais, aplicativos e sistemas de informações usados nesses equipamentos) e outros recursos convencionais (arquivos, papel, microfilme, mapas, etc.). 2) Sistema de Informação: é um conjunto de processos e recursos do ambiente de tecnologia da informação organizados para prover, de modo sistemático, informações para a Companhia. 3) Órgão Proprietário da Informação: é o órgão da empresa responsável pelas informações de uma determinada área de atividade da Companhia. 4) Proprietário da Informação: empregado, designado pelo Órgão Proprietário da Informação, para responder perante a Companhia pela classificação das informações e definição das suas necessidades de segurança. 5) Comitê de Segurança de Informações: é o comitê constituído pela Diretoria Executiva da empresa com a finalidade de implantar e garantir o cumprimento da Política de Segurança da Informação no âmbito da Companhia. 6) Gerente de Segurança de Informações do Órgão: empregado designado pelo órgão da Companhia, como responsável pelo cumprimento da Política de Segurança de Informações no âmbito do órgão, servindo de interface entre gerentes, proprietários, usuários, custodiantes, Gerência de Tecnologia da

26 16 Informação do Órgão e o Comitê de Segurança de Informações As tríplices da Segurança da Informação A segurança das informações jamais será alcançada se a tríplice PPT - Pessoas, Processos e Tecnologias não for aplicada à estratégia de segurança. A Figura 8 ilustra a forma tridimensional (uma variação) que a estratégia de segurança deve ter para que seja efetiva. Figura 8 - PPT - Pessoas, Processos e Tecnologias (MODULO, 2003) O ponto de equilíbrio mostrado na Figura 8 poderá, ou deverá variar de empresa para empresa, ou até mesmo de um processo de negócio para outro dentro da mesma empresa. O que não deve ser acontecer jamais é este ponto ficar sobre um dos eixos cartesianos, ou tendendo a zero, pois não estaria contemplando uma das partes da tríplice, e consequentemente tornando a estratégia falha. Explorando um pouco mais esta tríplice teremos: 1) Pessoas: educação o que fazer; treinamento como fazer e conscientização por que fazer. Já virou jargão no ramo da segurança: o elo mais fraco da corrente da segurança são as pessoas. É nas pessoas que começa e termina a segurança, basta que uma, na cadeia de processos, não esteja preparada para que o risco de incidente aumente consideravelmente. 2) Processos: estes devem ser flexíveis até o ponto que não afete a segurança das informações, a partir daí devem ser tratados de forma rígida e

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Aumento dos incidentes de segurança A freqüência de incidentes de segurança continua a aumentar rapidamente 120.000 100.000 80.000 60.000

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Segurança e Auditoria em Sistemas

Segurança e Auditoria em Sistemas Segurança e Auditoria em Sistemas Curso: Analise e Desenvolvimento de Sistemas Prof.Eduardo Araujo Site:www.professoreduardoaraujo.com O que é Segurança? Confidencialidade Integridade Disponibilidade Jogo

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Políticas de Segurança da Informação e Utilização de Recursos da Rede

Políticas de Segurança da Informação e Utilização de Recursos da Rede Políticas de Segurança da Informação e Utilização de Recursos da Rede Índice 1 Introdução... 3 2 Política de cadastro e senhas... 5 3 Política de Utilização da Internet... 7 4 Política de Utilização de

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

TECNOLOGIA E SISTEMAS DE INFORMAÇÃO UM ESTUDO DE CASO NA EMPRESA POSTO DOURADÃO LTDA RESUMO

TECNOLOGIA E SISTEMAS DE INFORMAÇÃO UM ESTUDO DE CASO NA EMPRESA POSTO DOURADÃO LTDA RESUMO TECNOLOGIA E SISTEMAS DE INFORMAÇÃO UM ESTUDO DE CASO NA EMPRESA POSTO DOURADÃO LTDA Hewerton Luis P. Santiago 1 Matheus Rabelo Costa 2 RESUMO Com o constante avanço tecnológico que vem ocorrendo nessa

Leia mais

[ ossa Missão ] [Workshop de Segurança da Informação]

[ ossa Missão ] [Workshop de Segurança da Informação] [Workshop de Segurança da Informação] [ ossa Missão ] Prover Confidencialidade, Integridade e Disponibilidades para os nossos clientes Proporcionando um diferencial mercadológico para os mesmos. Incidentes

Leia mais

Segurança de Redes e Internet

Segurança de Redes e Internet Segurança de Redes e Internet Prof. MSc Thiago Pirola Ribeiro sg_02 alqbarao@yahoo.com.br 1 Guia Básico para Segurança de uma Rede Identificar o que se está tentando proteger; Identificar contra quem está

Leia mais

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005 II Semana de Informática - CEUNSP Segurança da Informação Novembro/2005 1 Objetivo Apresentar os principais conceitos sobre Segurança da Informação Foco não é técnico Indicar onde conseguir informações

Leia mais

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt Santo André, maio de 2012 Roteiro PARTE I Apresentação da Disciplina PARTE II Introdução à Segurança de Redes Apresentação

Leia mais

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa SEGURANÇA DA INFORMAÇÃO DICAS Aguinaldo Fernandes Rosa Especialista em Segurança da Informação Segurança da Informação Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

PESQUISA GLOBAL DAS PMEs ÍNDICE DE CONFIANÇA EM TI RESULTADOS AMÉRICA LATINA

PESQUISA GLOBAL DAS PMEs ÍNDICE DE CONFIANÇA EM TI RESULTADOS AMÉRICA LATINA PESQUISA GLOBAL DAS PMEs ÍNDICE DE CONFIANÇA EM TI RESULTADOS AMÉRICA LATINA 2013 SUMÁRIO 3 4 5 6 8 11 INTRODUÇÃO METODOLOGIA ÍNDICE DE CONFIANÇA DAS PMEs EM TI CARACTERÍSTICAS DAS PMEs TOP-TIER MELHORES

Leia mais

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários. $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &RQWUROHVVREUHEDQFRGHGDGRVH PLFURFRPSXWDGRUHV

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos. 1 INTERNET BANKING: DICAS DE SEGURANÇA Alexandre Kaspary 1 Alexandre Ramos 2 Leo Andre Blatt 3 William Rohr 4 Fábio Matias Kerber 5 Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

O FATOR HUMANO COMO DESAFIO IMINENTE ÀS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO DENTRO DAS ORGANIZAÇÕES

O FATOR HUMANO COMO DESAFIO IMINENTE ÀS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO DENTRO DAS ORGANIZAÇÕES O FATOR HUMANO COMO DESAFIO IMINENTE ÀS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO DENTRO DAS ORGANIZAÇÕES PEIXOTO - Mário César Pintaudi mariocesar@nanet.com.br 1. RESUMO Inúmeros são os relatos provenientes

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

Segurança Física de acesso aos dados

Segurança Física de acesso aos dados Segurança Física de acesso aos dados Segurança Física de acesso aos dados 1 A Segurança Física tem como objetivos específicos: ü Proteger edificações e equipamentos; ü Prevenir perda, dano ou comprometimento

Leia mais

Algumas Leis da Segurança

Algumas Leis da Segurança Algumas Leis da Segurança Marcos Aurelio Pchek Laureano laureano@ppgia.pucpr.br Roteiro Leis Fundamentais Leis Imutáveis Seus significados Sua Importância 2 Algumas Leis da Segurança As leis Fundamentais

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02 Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE Revisão 02 As informações contidas neste documento são restritas à ALCE, não podendo ser divulgadas a terceiros

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

ENGENHARIA SOCIAL. Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2

ENGENHARIA SOCIAL. Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2 ENGENHARIA SOCIAL Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2 RESUMO: Engenharia Social é o uso da persuasão humana para obtenção de informações

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 2 0 1 3 OBJETIVO O material que chega até você tem o objetivo de dar dicas sobre como manter suas informações pessoais, profissionais e comerciais preservadas. SEGURANÇA DA INFORMAÇÃO,

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

Segurança a da Informação Aula 03. Aula 03

Segurança a da Informação Aula 03. Aula 03 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Riscos envolvendo informações: O maior risco é crer que não há riscos Caruso & Steffen Os riscos agravaram-se após: a centralização da informação

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Via Internet Banking você pode realizar as mesmas ações disponíveis nas agências bancárias, sem enfrentar filas ou ficar restrito aos horários de atendimento Realizar transações

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER.

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. 1. SEGURANÇA DA INFORMAÇÃO A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

Engenharia de Software Qualidade de Software

Engenharia de Software Qualidade de Software Engenharia de Software Qualidade de Software O termo qualidade assumiu diferentes significados, em engenharia de software, tem o significado de está em conformidade com os requisitos explícitos e implícitos

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Avaliação de Vulnerabilidades. O que eu preciso saber?

Avaliação de Vulnerabilidades. O que eu preciso saber? Avaliação de Vulnerabilidades O que eu preciso saber? Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam

Leia mais

Diego Neves http://diegoneves.eti.br diego@mucurilivre.org diego@diegoneves.eti.br fb.com/diegoaceneves @diegoaceneves

Diego Neves http://diegoneves.eti.br diego@mucurilivre.org diego@diegoneves.eti.br fb.com/diegoaceneves @diegoaceneves Hackeando Cérebros O Problema do mundo são as pessoas. Diego Neves http://diegoneves.eti.br diego@mucurilivre.org diego@diegoneves.eti.br fb.com/diegoaceneves @diegoaceneves Sobre mim... Analista de Sistemas.

Leia mais

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil Sumário executivo CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO.

Leia mais

Insider Threats Estamos convidando os inimigos a entrar?

Insider Threats Estamos convidando os inimigos a entrar? Insider Threats Estamos convidando os inimigos a entrar? Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação

Leia mais

Criptografia de Informação. Guia corporativo

Criptografia de Informação. Guia corporativo Criptografia de Informação Guia corporativo A criptografia de dados em empresas 1. Introdução 3 Guia corporativo de criptografia de dados 1. Introdução A informação é um dos ativos mais importantes de

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Riscos, Ameaças e Vulnerabilidades. Aécio Costa

Riscos, Ameaças e Vulnerabilidades. Aécio Costa Riscos, Ameaças e Vulnerabilidades Aécio Costa Riscos, Ameaças e Vulnerabilidades Independente do meio ou forma pela qual a informação é manuseada, armazenada, transmitida e descartada, é recomendável

Leia mais

SEGURANÇA E AUDITORIA DE TI

SEGURANÇA E AUDITORIA DE TI 1 SEGURANÇA E AUDITORIA DE TI Objetivos - Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados

Leia mais

PCI Compliance - Principais desafios na adequação de processos e atualização de sistemas. Armando Linhares Neto Infoglobo

PCI Compliance - Principais desafios na adequação de processos e atualização de sistemas. Armando Linhares Neto Infoglobo PCI Compliance - Principais desafios na adequação de processos e atualização de sistemas Armando Linhares Neto Infoglobo Infoglobo? 1925 1969 1974 1975 1982 Inauguração do Classificados Inauguração do

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Segurança a da Informação Aula 02. Aula 02

Segurança a da Informação Aula 02. Aula 02 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Segurança a da Informação é: Cultura, Cidadania, Desenvolvimento pessoal e social, Competitividade, Influência e poder, Imprescindível para a

Leia mais

POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA GADE SOLUTION Tatiana Lúcia Santana GADE SOLUTION 1. Conceituação: A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Guia de Segurança em Redes Sociais

Guia de Segurança em Redes Sociais Guia de Segurança em Redes Sociais INTRODUÇÃO As redes sociais são parte do cotidiano de navegação dos usuários. A maioria dos internautas utiliza ao menos uma rede social e muitos deles participam ativamente

Leia mais

SOLO NETWORK. Guia de Segurança em Redes Sociais

SOLO NETWORK. Guia de Segurança em Redes Sociais (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971 (48) 4062-6971 (51) 4062-6971 (61) 4062-6971 (71) 4062-7479 Guia de Segurança em Redes Sociais (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41)

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos Prof. Carlos Faria (adaptação) 2011 DESAFIOS ÉTICOS E DE SEGURANÇA Emprego Privacidade Saúde Segurança Ética e Sociedade Crime Individualidade Condições

Leia mais

SOLO NETWORK. Criptografia de Informação. Guia corporativo

SOLO NETWORK. Criptografia de Informação. Guia corporativo (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971 (48) 4062-6971 (51) 4062-6971 (61) 4062-6971 (71) 4062-7479 Criptografia de Informação Guia corporativo (11) 4062-6971 (21) 4062-6971 (31) 4062-6971

Leia mais

Auditoria em Sistemas de Informação Trilhas de Auditoria

Auditoria em Sistemas de Informação Trilhas de Auditoria Cleber dos Santos Garcia, Danilo Dias, Francisco Braz Mendes Júnior e Juliano de Andrade Almeida MBA Gestão de Sistemas de Informação Universidade Católica de Brasília (UCB) SGAN 916 Avenida W5 CEP: 70.790-160

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Evolução dos Problemas de Segurança e Formas de Proteção

Evolução dos Problemas de Segurança e Formas de Proteção Evolução dos Problemas de Segurança e Formas de Proteção Núcleo de Informação e Coordenação do Ponto.br Nic.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Leia mais

7 sinais e meio de que o seu Gerenciamento de documentos precisa de uma revisão

7 sinais e meio de que o seu Gerenciamento de documentos precisa de uma revisão Relatório gratuito 7 sinais e meio de que o seu Gerenciamento de documentos precisa de uma revisão A quantidade de informações disponíveis cresce a uma velocidade alucinante. Sem um gerenciamento de documentos

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais