GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES

Tamanho: px
Começar a partir da página:

Download "GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES"

Transcrição

1 >> Gestão da Segurança da Informação e Comunicações >> GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES VERSÃO 1 GSIC602 João José Costa Gondim

2 Luiz Inácio Lula da Silva Presidente da República Jorge Armando Félix Ministro do Gabinete de Segurança Institucional Antonio Sergio Geromel Secretário Executivo Raphael Mandarino Junior Diretor do Departamento de Segurança da Informação e Comunicações Reinaldo Silva Simião Coordenador Geral de Gestão da Segurança da Informação e Comunicações Fernando Haddad Ministro da Educação UNIVERSIDADE DE BRASÍLIA José Geraldo de Sousa Junior Reitor João Batista de Sousa Vice-Reitor Pedro Murrieta Santos Neto Decanato de Administração Rachel Nunes da Cunha Decanato de Assuntos Comunitários Márcia Abrahão Moura Decanato de Ensino de Graduação Ouviromar Flores Decanato de Extensão Denise Bomtempo Decanato de Pesquisa e Pós-graduação Noraí Romeu Rocco Instituto de Ciências Exatas Priscila Barreto Departamento de Ciência da Computação CEGSIC Coordenação Jorge Henrique Cabral Fernandes Secretaria Pedagógica Eduardo Loureiro Jr. Odacyr Luiz Timm Ricardo Sampaio Assessoria Técnica Gabriel Velasco Marcelo Felipe Moreira Persegona Secretaria Administrativa Indiara Luna Ferreira Furtado Jucilene Gomes Martha Araújo Equipe de Produção Multimídia Alex Harlen Estéfano Pietragalla Lizane Leite Rodrigo Moraes Equipe de Tecnologia da Informação Douglas Ferlini Osvaldo Corrêa Revisão de Língua Portuguesa Raquel Mendes Texto e ilustrações: João José C. Gondim Capa e projeto gráfico: Alex Harlen Diagramação: Estéfano Pietragalla Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações CEGSIC Este material é distribuído sob a licença creative commons

3 Sumário [4] Currículo resumido do autor [5] 1. Introdução 1.1 Como este módulo se desenvolverá Como este material está organizado...5 [6] 2. Uma visão geral da Gerência de Tecnologia da Informação - GTI 2.1 Definindo GTI Definição Formal Operação Administração Manutenção Provisionamento O contexto em que se insere a GTI Revendo a definição Definindo GOC...10 [12] 3. Seção 10 da Subseções da seção Subseção Procedimentos e responsabilidades operacionais Subseção Gerenciamento de serviços terceirizados Subseção Planejamento e aceitação de sistemas Subseção Proteção contra códigos maliciosos e códigos móveis Subseção Gerenciamento da segurança em redes Subseção Manuseio de mídias Subseção Troca de informações Subseção Serviços de comércio eletrônico Subseção Monitoramento...16 [18] 4. Comentários [19] 5. Conclusão [20] Atividades Atividade Atividade [23] Bibliografia 3

4 CURRÍCULO RESUMIDO DO AUTOR João José Costa Gondim Possui graduação em Engenharia Elétrica pela Universidade Federal de Pernambuco (1984) e mestrado em Master Of Science In Computer Science pela University of London (1987). Atualmente é Professor da Universidade de Brasília. 4

5 1. Introdução O foco desse texto é o gerenciamento de operações e comunicações tendo como base a seção 10 da norma ABNT NBR ISO/IEC 17799:2005 (doravante referida como 17799). O texto assume que o leitor terá em mãos o texto da seção específica da norma. Essa norma, também conhecida simplesmente pelo número 17799, diz respeito à Tecnologia da Informação TI, estabelecendo técnicas de segurança e código prático para a gestão de segurança da informação. A foi lançada em 1995, e posteriormente revisada e ampliada, servindo de base para as normas ABNT NBR ISO/IEC e (doravante referidas simplesmente como e 27002), que definem respectivamente os requisitos de um sistema de gestão de segurança da informação e o código de práticas. Apesar da disponibilidade dessas novas normas, o texto base terá por referência principal a 17799, sem perda de generalidade ou aplicabilidade. Atualmente, a seção 10 da faz parte da Como este módulo se desenvolverá O objetivo principal do texto é desenvolver o espírito investigador e reflexivo acerca do Gerenciamento de Operações e Comunicações GOC. Especificamente, os objetivos são: a. apresentar os principais aspectos do GOC, principalmente segundo a norma 17799; b. levar o leitor a avaliar a abrangência e a efetividade da implementação do GOC nas organizações onde atuam; e c. fomentar reflexão acerca da adequação e da efetividade dos controles propostos na norma Como este material está organizado Há várias formas de se abordar o temo GOC. A escolhida foi iniciar pelo contexto maior em que o GOC se insere, para então abordar as questões específicas da norma. Inicialmente, o texto aborda o contexto da GTI - Gerência de Tecnologia da Informação. Apresenta sua definição, escopo, além de esboçar as atividades e processos envolvidos. E desse ponto deriva para o GOC em si. Na sequência, apresentamos uma visão geral da norma. Ao final são apresentados comentários e algumas conclusões. 5

6 2. Uma visão geral da Gerência de Tecnologia da Informação - GTI Nesta seção, antes de entrar nos aspectos dos controles de segurança dentro do GOC e, em especial, no estudo da seção 10 da norma 17799, são abordados aspectos gerais do GOC. A abordagem tem por base a gerência de TI e em especial os aspectos de gerência de redes, de onde virão os principais exemplos. O objetivo principal é prover uma visão geral da GTI, descrevendo o contexto em que se insere. O texto apresenta uma definição geral da GTI, descreve sua importância, os atores envolvidos e motiva a complexidade das questões a ela atribuídas. 2.1 Definindo GTI De uma maneira informal e quase intuitiva, pode-se dizer que a GTI compreende as atividades relativas à operação da infraestrutura de TI, juntamente com a tecnologia necessária para a consecução da operação. Na maior parte do tempo, essas atividades resumem-se à monitoração e à tentativa de entender o que está acontecendo (ou não) na infraestrutura de TI. Entretanto, isso é apenas parte do problema. Considere algumas analogias. Analogia 1: GTI = UTI Uma primeira analogia que pode ser feita é de que a GTI é como tratar de um paciente que está na UTI. Uma das atividades da UTI que imediatamente salta aos olhos é o monitoramento: tanto o monitoramento constante dos sinais vitais do paciente por exemplo, pulso e respiração como o monitoramento periódico de outros sinais por exemplo, pressão arterial e temperatura. As medições das grandezas monitoradas normalmente são apresentadas em gráficos, nos quais se pode não só observar a evolução das grandezas no tempo, mas também identificar tendências. Sempre que ocorram desvios em relação ao comportamento esperado, ou detectem tendências de que tais desvios possam vir a ocorrer, pode-se demandar que exames ou procedimentos mais caros, mais complexos ou mais invasivos venham a ser realizados. No caso de aplicação de medicação, que é não só parte do tratamento mas também possível confirmação do diagnóstico, pode-se avaliar sua efetividade e realizar o ajuste das dosagens e possivelmente de todo o tratamento. Analogia 2: GTI é uma grande festa Outra analogia possível é de que a GTI é como quando você vai dar uma grande festa. Para que a festa aconteça, há uma série de questões que precisam ser respondidas. Primeiro, há que se definir todo o planejamento da festa: quem será convidado; o custo que se estima para a realização da festa; se há provisões para cobrir tais custos. Depois, existem questões de organização. Em que local será a festa? Na sua casa? Em um barco? Você vai alugar um espaço? A festa será de dia ou à noite? O que será servido? Comida? Bebida? Alcoólica também? Vinho? Cerveja? Whisky? E ainda temos questões de implementação da festa em si: você vai gerenciar tudo sozinho ou será contratado um cerimonial, pois você quer aproveitar um pouco da festa também. 6

7 Analogia 3: GTI é uma orquestra Como última analogia, pode-se comparar a GTI com uma orquestra, que engloba os aspectos das duas analogias anteriores. Durante a apresentação, executando a obra para o público, o maestro monitora e, dentro de estreitos limites, atua e pontua aspectos da peça (como exemplo, vide Entretanto, para que a apresentação possa acontecer, além de todo o planejamento, toda uma preparação é necessária. Ainda que os componentes envolvidos sejam competentes e brilhantes, é necessário coordená-los, dar-lhes diretrizes e delegar responsabilidades. Isto é o que acontece no ensaio (como exemplo, vide Destas analogias, depreende-se que a GTI envolve bem mais que a monitoração. Claramente, pode-se identificar também a necessidade de acompanhamento, planejamento, coordenação, entre outros. Neste ponto, já se pode enunciar uma definição formal para GTI. 2.2 Definição Formal Uma definição formal para GTI seria: A Gerência da Tecnologia da Informação diz respeito às atividades, métodos, procedimentos e ferramentas pertinentes à operação, administração, manutenção e provisionamento de serviços e sistemas de informação e também da tecnologia que os suporta. Esta definição está baseada em outros conceitos que também precisam ser definidos Operação A Operação trata de manter os serviços e sistemas de informação e também da tecnologia que os suporta, funcionando dentro dos parâmetros esperados. A operação inclui a monitoração constante para detectar e identificar problemas, o mais rápido possível. Idealmente, antes que os usuários sejam afetados Administração A administração envolve o acompanhamento do estado dos recursos dos serviços e sistemas de informação, da tecnologia que os suporta e como estes estão sendo usados. O contexto da administração diz respeito às tarefas necessárias para ter tudo sob controle Manutenção A Manutenção se ocupa com a execução de reparos e atualizações dos serviços e sistemas de informação da tecnologia que os suporta. A manutenção também envolve medidas corretivas reativas e preventivas proativas, como ajuste de parâmetros de configuração, normalmente intervindo para que serviços e sistemas de informação da tecnologia que os suporta funcionem melhor. 7

8 2.2.4 Provisionamento O Provisionamento diz respeito à configuração dos recursos da infraestrutura para suportar um dado serviço ou sistema de informação. Um exemplo de provisionamento seria configurar a rede para que um usuário possa usar VoIP. 2.3 O contexto em que se insere a GTI O texto e figuras a seguir ilustram o papel da GTI no contexto da organização. A Figura 1 mostra as tarefas que uma organização que disponibiliza e monitora sistemas, serviços e infraestrutura de TI precisa realizar. A disponibilização de tais serviços, sistemas e infraestrutura tanto pode ser o objetivo fim da organização ou mais um recurso para consecução de suas atividades fins. Em ambos os casos, o emprego da TI deve estar alinhado com a missão da organização. Figura 1: Uma organização e sua rede. 8

9 A figura 2 mostra com a GTI encaixa-se nas organizações que utilizam sistemas, serviços e infraestrutura de TI. O papel da GTI é mediar as necessidades da organização, na forma dos seus usuários, nos seus diferentes níveis, e a disponibilização de sistemas, serviços e infraestrutura de TI, de forma a satisfazer tais necessidades. Figura 2: O papel da gerência de redes. A figura 3 mostra o que está envolvido na GTI, i.e. os sistemas e aplicações, tanto os que disponibilizam serviços aos usuários, quanto os utilizados para gerenciar a TI. Além disso, temos as atividades e procedimentos operacionais que suportam estes sistemas, serviços e infraestrutura. Figura 3: De que se constitui o gerenciamento de redes. 9

10 2.4 Revendo a definição De forma mais restrita, a definição de GTI acima poderia ficar circunscrita simplesmente a sistemas de comunicação e a infraestrutura que a suporta. (se verá adiante que esta forma restrita é a que está na norma 17799). É comum encontrar uma distinção no gerenciamento de TI. Temos várias camadas: o gerenciamento das aplicações, que dependem dos sistemas; o gerenciamento dos sistemas, que se conectam às redes; e o gerenciamento da rede em si. Estas camadas, estão ilustradas na Figura 4 Figura 4: Elementos de gerenciamento na GTI. Deve-se lembrar que redes (infraestrutura), sistemas e aplicações podem estar envolvidos no provimento de um serviço. Pode-se assim pensar em uma camada de gerenciamento de serviços que tanto pode estar acima quanto transversal às três citadas anteriormente. E ainda abaixo de todas, pode-se pensar no gerenciamento de comunicações, provendo a base para a construção da rede. Apesar destes termos terem suas particularidades e especificidades, vamos nos referir a seu conjunto como gerência de TI. 2.5 Definindo GOC Como visto anteriormente, a GTI tem em sua definição um componente relacionada à operação. Quando da definição, a operação foi definida como responsável por manter serviços, sistemas e infraestrutura que os suporta funcionando. Assim, o foco principal da operação é a disponibilização dos serviços e sistemas, juntamente com a infraestrutura. Entretanto, a disponibilização deve satisfazer requisitos mínimos de qualidade que devem refletir as necessidades da organização para consecução de seus objetivos. Estes requisitos são traduzidos em termos de acordos de níveis de serviço. 10

11 Assim, uma definição possível de GOC seria: O Gerenciamento de Operações e Comunicações diz respeito a atividades, processos procedimentos e recursos que visam disponibilizar e manter serviços, sistemas e infraestrutura que os suporta, satisfazendo os acordos de níveis de serviço. 11

12 3. Seção 10 da A é uma norma de gestão de TI, em particular a Gestão de Segurança da Informação GSI. De forma geral, ela define os requisitos de um Sistema de Gestão de Segurança da Informação - SGSI e os controles referentes a um código de práticas. A seção 10 diz respeito ao GOC, consistindo no conjunto de medidas de controle de execução das ações relativas ao processamento, armazenamento e movimentação de informação; na disponibilização e monitoramento dos serviços providos pela infraestrutura de TI que suporta a execução das ações atendendo os níveis de serviço acordados; na disponibilização e monitoramento dos serviços providos pela infraestrutura de comunicações, incluídos os serviços que servem de base para os serviços de TI, atendendo aos níveis de serviço acordados que é o principal objetivo do GOC. No caso de nosso interesse, aqueles acordos referentes aos requisitos de segurança: confidencialidade, integridade, disponibilidade e autenticidade. Com relação à definição de GOC acima, cabe uma explicação. Pode-se argumentar que a definição acima é redundante, uma vez que as comunicações já estariam incluídas na movimentação de informação. Entretanto, a menção explícita dos serviços de comunicação justifica-se por ser tratada como uma infraestrutura de per si, normalmente preexistente à de TI, com sua tecnologia própria e sobre a qual vários serviços de TI organizam-se. 3.1 Subseções da seção 10 Doravante o leitor é fortemente encorajado a ter em mãos a seção específica da norma, para referência e estudo, quando da leitura deste item. A seção 10 é constituída de 10 subseções. Cada uma delas apresenta um objetivo e dividese nos controles específicos para a consecução do objetivo. Por sua vez, cada controle tem suas diretrizes de implementação definidas. Este texto não entrará nos detalhes das diretrizes, que são aprofundadas na leitura da norma, bem como por meio da prática durante seus estudos, lembrando que este documento não pretende substituir sua leitura pelo estudo da norma. As dez subseções são descritas a seguir e abordam: Procedimentos e responsabilidades operacionais; Gerenciamento de serviços terceirizados; Planejamento e aceitação de sistemas; Proteção contra códigos maliciosos e códigos móveis; Cópias de segurança; Gerenciamento da segurança em redes; Manuseio de mídias; Troca de informações; Serviços de comércio eletrônico; e Monitoramento. 12

13 3.1.1 Subseção Procedimentos e responsabilidades operacionais Procedimentos e responsabilidades operacionais têm por objetivo garantir uma operação segura e correta dos recursos de processamento, armazenamento e movimentação da informação. Este objetivo deve ser atingido observando dois princípios: Divulgação: Os procedimentos e responsabilidades em relação à gestão e operação de todos os recursos de processamento da informação quando divulgados no âmbito da organização evitam diversos problemas no ambiente. Segregação de funções: Quando aplicada adequadamente, contribui para a redução de riscos, tanto por mau uso quanto por uso doloso dos sistemas. A justificativa para estes princípios é que se todos conhecem os procedimentos e suas responsabilidades, a chance de tudo ocorrer sem erros aumenta; por outro lado, a segregação de funções contribui para a contenção de efeitos e redução de impactos no caso de algo de errado vir a acontecer. Os procedimentos e responsabilidades operacionais se dividem nos seguintes controles: Documentação dos procedimentos de operação: este controle visa viabilizar a disseminação e padronização dos procedimentos de operação; Gestão de mudanças: tem por finalidade controlar as modificações em recursos e sistemas; Segregação de funções: visa reduzir a probabilidade de mudança ou uso indevido, não autorizado ou não intencional de ativos; Separação dos recursos de desenvolvimento, teste e de produção: tem por objetivo reduzir o risco de acessos ou modificações não autorizadas a sistemas Subseção Gerenciamento de serviços terceirizados O gerenciamento de serviços terceirizados tem por objetivo atingir e manter o nível de segurança da informação e de entrega de serviços, respeitando os acordos de nível de entrega de serviços terceirizados. Este objetivo deve ser alcançado verificando-se a implementação dos acordos, monitorando a conformidade com estes e gerenciando mudanças para garantir atendimento aos requisitos acordados com terceiros. Os controles sugeridos são: Entrega de serviços: diz respeito a garantir que os controles de segurança, as definições de serviço e os níveis de entrega de serviços terceirizados sejam efetivamente implementados, executados e mantidos pelo terceiro; Monitoramento e análise crítica de serviços terceirizados: recomenda que se regularmente, monitore e analise relatórios e registros, além da realização de auditorias; Gerenciamento de mudanças para serviços terceirizados: relaciona-se ao controle de mudanças, tanto no provisionamento de serviços quanto nas políticas de segurança, procedimentos e controles existentes; o controle deve levar em conta a criticidade de sistemas e processos de negócio e possível reanálise e reavaliação de riscos. 13

14 3.1.3 Subseção Planejamento e aceitação de sistemas O objetivo do Planejamento e aceitação de sistemas é reduzir o risco de falha no sistema. Esta redução de risco deve ser atingida com planejamento e preparação antecipados. Pode-se dimensionar adequadamente recursos e capacidades para assim se obter a disponibilidade e desempenho desejados aos sistemas. Em complemento, é preciso que os requisitos de capacidade antecipem demandas futuras para evitar risco de sobrecarga. Além disso, que os requisitos operacionais de novos sistemas sejam estabelecidos, documentados e testados antes da aceitação e uso. Os controles propostos para o Planejamento e aceitação de sistemas são: Gestão de capacidade: a utilização de recursos deve ser monitorada, juntamente com a realização de projeções de necessidades de capacidade futura que possibilitam garantir o desempenho requerido dos sistemas; Aceitação de sistemas: deve-se estabelecer critérios de aceitação para novos sistemas, atualizações e novas versões, efetuando-se testes apropriados tanto durante o desenvolvimento quanto antes de sua aceitação Subseção Proteção contra códigos maliciosos e códigos móveis A Proteção contra códigos maliciosos e códigos móveis diz respeito à proteção da integridade do software e da informação. Códigos maliciosos são vírus, worms, trojans e similares, enquanto códigos móveis são applets, scripts servidos pela rede, agentes móveis etc. São necessárias medidas para prevenir, detectar e remover códigos maliciosos e móveis não autorizados onde necessário. Além disso, são necessárias medidas de precaução, principalmente por parte dos usuários. Os controles recomendados para a Proteção contra códigos maliciosos e códigos móveis são: Controles contra códigos maliciosos: além da conscientização dos usuários, devem-se empregar controles para detecção, prevenção e recuperação contra códigos maliciosos; Controles contra códigos móveis: onde o uso de código móvel for autorizado, deve-se garantir que sua execução se dá em conformidade com a política de segurança; no caso de código móvel não autorizado, a execução deve ser impedida Subseção Cópias de segurança As cópias de segurança são um elemento chave para manter a integridade e a disponibilidade da informação e dos recursos de processamento da informação. Deve-se estabelecer procedimentos de rotina para implementar a geração de cópias de segurança dos dados, possibilitando sua recuperação em tempo aceitável. Há apenas um controle proposto que recomenda que se gere e teste as cópias de segurança segundo a política de geração de cópias de segurança. 14

15 3.1.6 Subseção Gerenciamento da segurança em redes O conjunto de controles proposto nesta subseção de Gerenciamento da segurança em redes visa garantir a proteção das informações em trânsito em redes, bem como a proteção da infraestrutura que as suporta. Vale salientar que o gerenciamento seguro de redes pode ir além dos limites da organização e requer considerações relacionadas ao fluxo de dados, implicações legais monitoramento e proteção. Ocasionalmente, controles adicionais podem ser necessários para proteger informações sensíveis trafegando sobre redes públicas. Dois conjuntos de controles são sugeridos: Controles de redes: as redes devem ser adequadamente controladas e gerenciadas para que se possa protegê-las contra ameaças e manter a segurança de sistemas e aplicações que as utilizam, inclusive dados em trânsito; Segurança dos serviços de redes: os acordos de níveis de serviço de redes, ou providos internamente ou terceirizados, devem incluir as características de segurança, níveis de serviço e requisitos de gerenciamento de serviços de redes Subseção Manuseio de mídias Para o Gerenciamento de Operações e Comunicações, as mídias devem ser controladas e fisicamente protegidas. Também deve-se proteger documentos, mídias, dados de entradas e saída, e documentação dos sistemas contra divulgação não autorizada, modificação, remoção e destruição. Assim é possível prevenir a divulgação não autorizada, modificação, remoção ou destruição de ativos, principalmente informacionais, e também a interrupção das atividades do negócio. São sugeridos os seguintes controles para o manuseio de mídias: Gerenciamento de mídias removíveis: os procedimentos para gerenciamento de mídias removíveis devem ser definidos e implementados; Descarte de mídias: quando não mais necessárias ou usáveis, as mídias devem ser descartadas de forma segura e protegida; Procedimentos para tratamento de informação: os procedimentos para tratamento e armazenamento de informações devem ser definidos, de forma a proteger tais informações contra a divulgação não autorizada ou uso indevido. Segurança da documentação dos sistemas: a documentação dos sistemas deve ser protegida contra acessos não autorizados Subseção Troca de informações As trocas de informações e software entre organizações devem ser reguladas por uma política formal específica, efetivada a partir de acordos entre as partes e em conformidade com toda a legislação vigente. Devem também ser estabelecidos procedimentos e normas para proteger a informação e a mídia física que a contem, quando em trânsito. Temos cinco controles para troca de informações: Políticas e procedimentos para troca de informações: a troca de informações em todos os tipos de recursos de comunicação deve ter suas políticas, procedimentos e controles estabelecidos e formalizados; Acordos para troca de informações: os acordos para troca de informações e softwares entre a organização e entidades externas devem ser estabelecidos; 15

16 Mídias em trânsito: durante o transporte externo aos limites da organização, mídias contendo informações devem ser protegidas contra acesso não autorizado, uso impróprio ou alteração indevida; Mensagens eletrônicas: as informações que trafegam em mensagens eletrônicas devem ser adequadamente protegidas; Sistemas de informações do negócio: a proteção das informações associadas a interconexão de sistemas de informações de negócio deve ter sua política e procedimentos definidos e implementados Subseção Serviços de comércio eletrônico O objetivo do controle dos Serviços de comércio eletrônico é garantir a segurança dos serviços de comércio eletrônico e sua utilização segura. Para obter-se esta garantia, deve-se levar em consideração as implicações de segurança da informação associadas ao uso de serviços de comércio eletrônico, incluindo transações on-line e os requisitos de controle; deve-se também levar em consideração a integridade e a disponibilidade da informação publicada eletronicamente por sistemas publicamente disponíveis. Temos dois controles para Serviços de comércio eletrônico: Comércio eletrônico: as informações envolvidas em comércio eletrônico transitando sobre redes públicas devem estar protegidas de atividades fraudulentas, disputas contratuais e modificações não autorizadas; Transações on-line: as transações on-line devem ser protegidas para evitar transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada Subseção Monitoramento O monitoramento visa detectar atividades não autorizadas de processamento de informação. Para tal, é necessário que os sistemas sejam monitorados e os eventos de segurança da informação registrados. Entre os eventos de relevância, os registros (logs) de operador e de falha devem ser utilizados para assegurar que os problemas de sistemas de informação sejam identificados. Deve-se ressalvar que as atividades de registro e monitoramento executadas pelas organizações devem estar de acordo com todos os requisitos legais relevantes aplicáveis para as atividades de registro e monitoramento. Por fim, o monitoramento do sistema propicia a checagem da eficácia dos controles e a verificação de conformidade com o modelo da política de acesso. Temos os seguintes controles para Monitoramento: Registros de auditoria: os registros (logs) de auditoria contendo atividades de usuários, exceções e outros eventos de segurança da informação devem ser produzidos e mantidos por um tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso; Monitoramento do uso do sistema: os procedimentos para o monitoramento do uso dos recursos de processamento da informação devem ser definidos e os resultados. Em complemento, os resultados das atividades de monitoramento devem ser regularmente analisados de forma crítica; Proteção das informações dos registros (logs): os recursos e informações dos registros devem ser protegidos contra falsificação e acesso não autorizado. Registros (log) de administrador e operador: as atividades de administradores e operadores do sistema devem ser registradas; 16

17 Registros (log) de falhas: as falhas ocorridas devem ser registradas e analisadas para que ações adequadas sejam tomadas; Sincronização de relógios: os relógios de todos os sistemas de processamento da informação relevantes, dentro da organização ou do domínio de segurança, devem estar sincronizados de acordo com alguma hora local. 17

18 4. Comentários Como abordado nesse texto, a seção 10 da prescreve controles para o Gerenciamento de Operações e Comunicações de forma abrangente e exaustiva, cobrindo os principais aspectos da segurança da informação no contexto da TI. Entretanto, dentro da filosofia da norma, apenas em raras ocasiões há indicação dos recursos tecnológicos que podem implementar o controle sugerido - inclusive, um exercício para fixação dos conceitos seria identificar para cada controle quais recursos tecnológicos podem implementá-lo. Assim, cabe a quem for implementar os controles, não só traduzir os requisitos de segurança que emergem das características do negócio, sujeitas a suas particularidades de operação, mas também escolher os recursos tecnológicos apropriados para a implementação. Na verdade, os citados requisitos emergentes são a base para a identificação dos controles que deverão ser implementados. Ainda acerca da abrangência dos controles propostos, pode-se notar que alguns pontos importantes não foram incluídos. Fica a cargo do implementador decidir como complementar os controles, à luz do alinhamento aos objetivos e requisitos de negócio, em especial os referentes à segurança da informação. Outro ponto digno de nota está no enunciado dos objetivos de vários grupos de controles. Não raro, usa-se a expressão garantir, normalmente referindo-se à consecução de algum requisito de segurança. Cabe notar que pode incorrer na situação em que os recursos tecnológicos que podem implementar o controle, mesmo em seu estado da arte e independente dos custos associados, não são capazes de oferecer tal garantia. Assim, tem-se uma situação potencialmente inconsistente em que se tem um controle implementado da melhor forma disponível, porém sem a requerida efetividade. Ou seja, tem-se conformidade, mas a garantia de eficácia do atendimento ao requisito de segurança em questão pode não ser atingida. Vale ressaltar que o caso do garantir é o que mais facilmente salta aos olhos, porém mesmo para objetivos de controle enunciados de forma mais fraca, pode acontecer de haver limitação do recurso tecnológico envolvido levando a restrições na efetividade de implementação do controle. Ainda com relação aos conjuntos de controles que pretendem garantir algo como objetivo, ocorre que nem sempre as justificativas ou os controles, ou ambos, parecem ser suficientes para que se possa esperar tal garantia. Como exemplo, este parece ser o caso dos controles da subseção 10.1: Procedimentos e responsabilidades operacionais. Outro ponto importante é a forma sucinta como a segurança de redes é tratada na norma. De certa forma, algumas das questões pertinentes estão distribuídas em algumas das subseções seguintes. Por exemplo, autenticação para fins de identificação está presente de forma bastante velada na subseção de comércio eletrônico. Entretanto, esta é uma das técnicas usadas na segurança de rede. Estes comentários são apenas exemplos de possíveis pontos de questionamento na norma. Para que se desenvolvam soluções eficazes para segurança é preciso construir esta reflexão crítica. 18

19 5. Conclusão Este texto apresenta uma visão geral da gerência de tecnologia da informação, como contexto para a gerência de operações e comunicações. A partir deste ponto, aborda os controles prescritos na seção 10 da norma Em sequência, são propostas algumas atividades que irão complementar o estudo do Gerenciamento de Operações e Comunicações. 19

20 Atividades Para solução das atividades 1 e 2, o texto de referência é a seção 10 da 17799, que supõese que o leitor tenha em mãos. Atividade 1 Esta atividade tem por finalidade aprofundar o estudo do texto base e em especial da seção 10, sendo mais um roteiro de estudos. Outro ponto importante desta atividade é desenvolver uma percepção das implicações tecnológicas da possível implementação dos controles propostos. Questionário. Responda às questões que abaixo, seguindo o texto base e as referências recomendadas. QUESTÕES 1. Em um pequeno parágrafo, descreva o termo Gerência de Tecnologia da Informação. 2. Em um pequeno parágrafo, descreva o termo Gerência de Operação e Comunicações. 3. No texto, foram descritas três analogias para GTI. Você consegue pensar em áreas da GTI que não estão cobertas por estas analogias? 4. No texto, foram descritas três analogias para GTI. Você consegue pensar em outras analogias? 5. Indique duas formas de como a GTI pode reduzir custos (de TI). 6. Pode-se pensar nos acordos de níveis de serviços como fatores de qualidade. Como seria uma GTI focada em gerência de qualidade de serviços? 7. Um famoso requisito de disponibilidade são os cinco noves. Isto significa que um dispositivo ou serviço deve estar disponível 99,999 % do tempo. Suponha que um dispositivo tenha disponibilidade de 99,9995 %, e que, devido a um erro de operação, ficou indisponível por cinco minutos. Calculando-se sobre o período de um mês, qual o impacto deste erro operacional na disponibilidade? 8. Identifique, dentre os controles de Gerenciamento de Operações e Comunicações, três deles para os quais o estado da arte dos recursos tecnológicos não consegue atingir uma garantia de eficácia de implementação. Justifique seu argumento sobre esta incapacidade. Atividade 2 Montando uma referência cruzada entre os controles e os recursos tecnológicos. O objetivo do primeiro passo desta atividade é montar um glossário dos recursos tecnológicos disponíveis no que diz respeito à implementação dos controles. Você deverá indicar, para cada controle proposto, um recurso tecnológico ou conjunto de recursos que pode implementá-lo. O recurso pode ser um software, um hardware, um procedimento, um processo, uma técnica etc. 20

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Segurança da Informação

Segurança da Informação 1 Segurança da Informação Gerenciamento das Operações e Comunicações Prof. Anderson Oliveira da Silva D. Sc. Ciências em Informática Engenheiro de Computação anderson@inf.puc-rio.br Departamento de Informática

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas comunicações Responsabilidades e procedimentos operacionais Assegurar que as informações

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos DEZ 2005 Projeto 21:204.01-012 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos Sede: Rio de Janeiro

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

Baseline de Segurança da Informação

Baseline de Segurança da Informação Diretoria de Segurança Corporativa Superintendência de Segurança da Informação Baseline de Segurança da Informação Avaliação de Fornecedor E-mail Marketing SUMÁRIO: 1. SEGURANÇA DA REDE:... 3 2. PATCHES

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Política de Interconexão de Recursos de TI

Política de Interconexão de Recursos de TI Política de Interconexão de Recursos de TI Dezembro 2006 Política de Interconexão Rede 1.0 8-12/2006-2 - Índice 1.Objetivo... 4 2.Abrangência... 4 3.Vigência... 4 4.Documentação Complementar... 4 4.1.

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

Plano de Segurança da Informação

Plano de Segurança da Informação Governança de Tecnologia da Informação LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS TATIANE ROCHA GTI V Matutino Prof.: Marcelo Faustino Sumário 1. OBJETIVO... 2 2. DESCRIÇÃO DO SERVIÇO... 2 3. ETAPAS

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Empresa FIREWALLS. IDS x IPS. http://www.firewalls.com.br. Matriz: Bauru/SP Filial 1: Florianopolis/SC

Empresa FIREWALLS. IDS x IPS. http://www.firewalls.com.br. Matriz: Bauru/SP Filial 1: Florianopolis/SC Empresa FIREWALLS IDS x IPS Matriz: Bauru/SP Filial 1: Florianopolis/SC O que é a Firewalls? - Empresa Especializada em Segurança; - Profissionais Certificados; - Atenta a Padrões Internacionais; - Parceira

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Programa de Nível de Serviço do Ariba Cloud Services. Garantia de Acesso ao Serviço Segurança Diversos

Programa de Nível de Serviço do Ariba Cloud Services. Garantia de Acesso ao Serviço Segurança Diversos Programa de Nível de Serviço do Ariba Cloud Services Garantia de Acesso ao Serviço Segurança Diversos 1. Garantia de Acesso ao Serviço a. Aplicabilidade. A Garantia de Acesso ao Serviço cobre a Solução

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO 1 OBJETIVOS 1. Por que sistemas de informação são tão vulneráveis a destruição, erro, uso indevido e problemas de qualidade de sistemas? 2. Que tipos de controles

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA TECNOLOGIA DA INFORMAÇÃO ICA 7-19 PRECEITOS DE SEGURANÇA DA INFORMAÇÃO PARA O DEPARTAMENTO DE CONTROLE DO ESPAÇO AÉREO 2012 MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

2 NBR ISO 10005:1997. 1 Objetivo. 3 Definições. 2 Referência normativa

2 NBR ISO 10005:1997. 1 Objetivo. 3 Definições. 2 Referência normativa 2 NBR ISO 10005:1997 1 Objetivo 1.1 Esta Norma fornece diretrizes para auxiliar os fornecedores na preparação, análise crítica, aprovação e revisão de planos da qualidade. Ela pode ser utilizada em duas

Leia mais

MINISTÉRIO DA EDUCAÇÃO CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DE RIO VERDE NORMATIZAÇÃO DE USO DOS RECURSOS COMPUTACIONAIS DO CEFET RIO VERDE

MINISTÉRIO DA EDUCAÇÃO CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DE RIO VERDE NORMATIZAÇÃO DE USO DOS RECURSOS COMPUTACIONAIS DO CEFET RIO VERDE MINISTÉRIO DA EDUCAÇÃO CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DE RIO VERDE NORMATIZAÇÃO DE USO DOS RECURSOS COMPUTACIONAIS DO CEFET RIO VERDE Capítulo I DAS DEFINIÇÕES Art. 1º Para os fins desta Norma,

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Auditores: Antônio M. D. S. Fortes Diego Protta Casati Leandro Spínola Rodrigues. [ ISO 17799 ] Checklist

Auditores: Antônio M. D. S. Fortes Diego Protta Casati Leandro Spínola Rodrigues. [ ISO 17799 ] Checklist Auditores: Antônio M. D. S. Fortes Diego Protta Casati Leandro Spínola Rodrigues [ ISO 17799 ] Checklist Checklist Padrão Seção Questão de auditoria S N 1 3 Política de segurança 1.1 3.1 Política de segurança

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Segurança da Informação: Conceitos e Modelo de Gestão

Segurança da Informação: Conceitos e Modelo de Gestão : Conceitos e Modelo de Gestão Sérgio Marinho Novembro.2004 Direitos Reservados. Proibida Reprodução. Copyright 2004 Segurança da Informação - 1 Sistemas de Gestão - Evolução Sistema de Gestão da Qualidade

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

Prof. Ravel Silva (https://www.facebook.com/professorravelsilva) SIMULADO 02 ESCRIVÃO PF

Prof. Ravel Silva (https://www.facebook.com/professorravelsilva) SIMULADO 02 ESCRIVÃO PF Orientações aos alunos: 1. Este simulado visa auxiliar os alunos que estão se preparando para o cargo de Policial Rodoviário Federal. 2. O Simulado contém 10 questões estilo CESPE (Certo e Errado) sobre

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações ORIGEM Departamento de Segurança da Informação e Comunicações Número da Norma Complementar

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Estratégias em Tecnologia da Informação. Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar)

Estratégias em Tecnologia da Informação. Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar) Estratégias em Tecnologia da Informação Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar) Material de apoio 2 Esclarecimentos Esse material é de apoio para as aulas da disciplina

Leia mais

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO Capítulo 14 SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO 14.1 2003 by Prentice Hall OBJETIVOS Por que sistemas de informação são tão vulneráveis veis a destruição, erro, uso indevido e problemas de

Leia mais

reputação da empresa.

reputação da empresa. Segurança premiada da mensageria para proteção no recebimento e controle no envio de mensagens Visão geral O oferece segurança para mensagens enviadas e recebidas em sistemas de e-mail e mensagens instantâneas,

Leia mais

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação Segurança da Informação Fundamentos do Modelo de Segurança da Informação A Segurança da Informação no Governo Federal OGoverno Federal, em diversas oportunidades, tem se manifestado no sentido de assegurar

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e regulamentares, e tendo em vista o que consta do Processo

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

Gerência de Redes de Computadores Gerência de Redes de Computadores As redes estão ficando cada vez mais importantes para as empresas Não são mais infra-estrutura dispensável: são de missão crítica, ou

Leia mais

GoodPriv@cy. Regulamento dos Requisitos do Selo de Proteção de Dados

GoodPriv@cy. Regulamento dos Requisitos do Selo de Proteção de Dados GoodPriv@cy Regulamento dos Requisitos do Selo de Proteção de Dados Publicação: Versão 3.0 Janeiro de 2007 Origem: Este documento é equivalente ao GoodPriv@cy Regulations relating to requirements of the

Leia mais

O que temos pra hoje?

O que temos pra hoje? O que temos pra hoje? Temas de Hoje: Firewall Conceito Firewall de Software Firewall de Softwares Pagos Firewall de Softwares Grátis Firewall de Hardware Sistemas para Appliances Grátis UTM: Conceito Mão

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

Serviço HP Foundation Care Exchange

Serviço HP Foundation Care Exchange Informações técnicas Serviço HP Foundation Care Exchange HP Services Visão geral do serviço O serviço HP Foundation Care Exchange é composto de serviços remotos de hardware e software que lhe permitem

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

Novidades do AVG 2013

Novidades do AVG 2013 Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento

Leia mais

Nettion Security & Net View. Mais que um software, gestão em Internet.

Nettion Security & Net View. Mais que um software, gestão em Internet. Nettion Security & Net View Mais que um software, gestão em Internet. Net View & Nettion Security Mais que um software, gestão em Internet. A Net View e a Nettion Security Software se uniram para suprir

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt Santo André, maio de 2012 Roteiro PARTE I Apresentação da Disciplina PARTE II Introdução à Segurança de Redes Apresentação

Leia mais

II- profissional tecnicamente capacitado, com conhecimentos cientificamente

II- profissional tecnicamente capacitado, com conhecimentos cientificamente MINISTÉRIO DA EDUCAÇÃO INSTITUTO NACIONAL DE ESTUDOS E PESQUISAS EDUCACIONAIS ANÍSIO TEIXEIRA PORTARIA Nº 240, DE 2 DE JUNHO DE 2014 O Presidente do Instituto Nacional de Estudos e Pesquisas Educacionais

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC 1786/2015 - Quinta-feira, 06 de Agosto de 2015 Tribunal Regional do Trabalho da 18ª Região 1 FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

SEGURANÇA EM SISTEMAS DE INFORMAÇÃO: um estudo comparativo sobre os programas e sistemas de firewall

SEGURANÇA EM SISTEMAS DE INFORMAÇÃO: um estudo comparativo sobre os programas e sistemas de firewall SEGURANÇA EM SISTEMAS DE INFORMAÇÃO: um estudo comparativo sobre os programas e sistemas de firewall Mônica Gonçalves de Mendonça, Edson Aparecida de Araújo Querido Oliveira, Vilma da Silva Santos, Paulo

Leia mais

O PROXY SQUID E SUAS MELHORIAS NO DESEMPENHO DAS REDES CORPORATIVAS

O PROXY SQUID E SUAS MELHORIAS NO DESEMPENHO DAS REDES CORPORATIVAS O PROXY SQUID E SUAS MELHORIAS NO DESEMPENHO DAS REDES CORPORATIVAS MOREIRA, Davisson Ronaldo (1); DAVID, Felipe Ferraz (1); OLIVEIRA, Ramon Gonçalves de (1); SOUZA, Reinaldo Alessandro de (1); AGOSTINHO,

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Evolução Tecnológica e a Segurança na Rede

Evolução Tecnológica e a Segurança na Rede Evolução Tecnológica e a Segurança na Rede Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasill Núcleo de Informação e Coordenação do Ponto br

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Revisando Qual o objetivo da norma ISO 27002? É possível uma empresa se certificar nesta norma? ABNT NBR ISO/IEC 27002 Organização

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

ISO 9001:2008. Alterações e Adições da nova versão

ISO 9001:2008. Alterações e Adições da nova versão ISO 9001:2008 Alterações e Adições da nova versão Notas sobe esta apresentação Esta apresentação contém as principais alterações e adições promovidas pela edição 2008 da norma de sistema de gestão mais

Leia mais

SEGURANÇA DA INFORMAÇÃO PROF. SÓCRATES FILHO http://socratesfilho.wordpress.com

SEGURANÇA DA INFORMAÇÃO PROF. SÓCRATES FILHO http://socratesfilho.wordpress.com Comentários sobre prova do TRE/PR 2009 (CESPE TRE/PR 2009 Analista Judiciário Especialidade: Análise de Sistemas) A figura acima ilustra como um sistema de gerenciamento de segurança da informação (SGSI)

Leia mais

USO DE CONTROLES CRIPTOGRÁFICOS. 1 OBJETIVO Estabelecer regras sobre o uso efetivo e adequado de criptografia na proteção da informação.

USO DE CONTROLES CRIPTOGRÁFICOS. 1 OBJETIVO Estabelecer regras sobre o uso efetivo e adequado de criptografia na proteção da informação. 1786/2015 - Quinta-feira, 06 de Agosto de 2015 Tribunal Regional do Trabalho da 18ª Região 1 FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia

Leia mais

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica Capítulo 2 Conceitos de Segurança Física e Segurança Lógica 2.1 Introdução 2.2 Segurança Física 2.2.1 Segurança externa e de entrada 2.2.2 Segurança da sala de equipamentos 2.2.3 Segurança dos equipamentos

Leia mais

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança?

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança? TESTE Sua empresa está em conformidade com a ISO 27002? O objetivo do teste tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações de Segurança

Leia mais

Sistema de Gestão da Qualidade

Sistema de Gestão da Qualidade Sistema de Gestão da Qualidade Coordenadora Responsável Mara Luck Mendes, Jaguariúna, SP, mara@cnpma.embrapa.br RESUMO Em abril de 2003 foi lançado oficialmente pela Chefia da Embrapa Meio Ambiente o Cronograma

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

Política de segurança de rede: White Paper de práticas recomendadas

Política de segurança de rede: White Paper de práticas recomendadas Política de segurança de : White Paper de práticas recomendadas Índice Introdução Preparação Criar declarações de política de uso Realizar uma análise de risco Estabelecer uma Estrutura de Equipe de Segurança

Leia mais