Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações

Tamanho: px
Começar a partir da página:

Download "Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações"

Transcrição

1 Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações ANDREA PATRÍCIA CARDOSO MARTINS Avaliação dos Controles de Acessos Lógicos Adotados em uma Organização Pública sob a Ótica das Normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR Brasília 2011

2 Andrea Patrícia Cardoso Martins Avaliação dos Controles de Acessos Lógicos Adotados em uma Organização Pública sob a Ótica das Normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR Brasília 2011

3 Andrea Patrícia Cardoso Martins Avaliação dos Controles de Acessos Lógicos Adotados em uma Organização Pública sob a Ótica das Normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Me. Luiz Fernando Sirotheau Serique Júnior Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília Novembro de 2011

4 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/ Andrea Patrícia Cardoso Martins. Qualquer parte desta publicação pode ser reproduzida, desde que citada a fonte. Martins, Andrea Patrícia Cardoso Avaliação dos Controles de Acessos Lógicos Adotados em uma Organização Pública sob a Ótica das Normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR / Andrea Patrícia Cardoso Martins. Brasília: O autor, p.; Ilustrado; 25 cm. Monografia (especialização) Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, Inclui Bibliografia. 1. Segurança da Informação. 2. Gerenciamento de Identidades. 3. Controle de Acesso Lógico. I. Título. CDU

5

6 Dedicatória Dedico este trabalho à minha Mãe, que me ensinou o valor do estudo, do trabalho e da honestidade, e por ser uma eterna batalhadora pela aquisição de conhecimento.

7 Agradecimentos À Deus, em primeiro lugar. À Organização Pública em que trabalho, por autorizar a minha participação neste curso de especialização. À Universidade de Brasília, por auxiliar o meu desenvolvimento pessoal e intelectual. Ao meu orientador, pelo apoio e compreensão durante a realização deste trabalho. Aos colegas do CEGSIC, pelas diversas trocas de experiências. A todos os companheiros de profissão que colaboraram com o trabalho. Aos meus pais, pela educação e incentivo que sempre me proporcionaram. À minha família e amigos pelos momentos de convívio que abdiquei para a realização deste trabalho. E finalmente ao meu namorado, pelo carinho, compreensão e incentivos dispensados durante a realização deste curso de especialização.

8 Para se ter sucesso, é necessário amar de verdade o que se faz. Caso contrário, levando em conta apenas o lado racional, você simplesmente desiste. É o que acontece com a maioria das pessoas. Steve Jobs.

9 Lista de Figuras Figura 1: Deficiências na Segurança da Informação (Fonte: TCU, 2008, p. 18) Figura 2: Exemplo de identidade digital (Fonte: SANTOS, 2007, p. 5) Figura 3: Modelo de Auditoria (Fonte: SANTOS, 2007, p. 51) Figura 4: Sistemas/recursos desconectados (Fonte: SANTOS, 2007, p. 3) Figura 5: Esboço Solução de Gerenciamento de Identidades e Acessos (Fonte: CHECCHIA, 2008, p. 14) Figura 6: Arquitetura de Recursos Conectados (Fonte: CHECCHIA, 2008, p. 16) Figura 7: Metadiretório (Fonte: SANTOS, 2007, p. 10) Figura 8: Fluxo de Informação (Fonte: JÚNIOR, 2009, p. 26) Figura 9: Fontes Autoritativas de Cadastros Básicos Alimentando o Metadiretório (Fonte: SANTOS, 2007, p. 7) Figura 10: Dados de Correio Eletrônico Alimentando o Metadiretório (Fonte: SANTOS, 2007, p. 7) Figura 11: Cadastro de Acessos Alimentando o Metadiretório (Fonte: SANTOS, 2007, p. 9) Figura 12: Sincronismo de senhas com o metadiretório e um dos sistemas como autoritativo de troca de senhas (Fonte: SANTOS, 2007, p. 22) Figura 13: Gráfico de Proporção entre internos, estagiários e terceirizados na organização (Fonte: Autor) Figura 14: Gráfico de distribuição das contas no AD da organização

10 Lista de Quadros Quadro 1 Plano de Coleta de Dados e Estimativa de Esforço Quadro 2 Categoria Estrutura Organizacional Quadro 3 Categoria Administração de Usuários Quadro 4 Categoria Controle de Acessos Quadro 5 Categoria Senhas Quadro 6 Categoria Sistemas Quadro 7 Categoria Segurança da Informação Quadro 8 Categoria Auditoria

11 Sumário Ata de Aprovação da Monografia... 3 Dedicatória... 4 Agradecimentos... 5 Lista de Figuras... 7 Lista de Quadros... 8 Sumário... 9 Resumo Abstract Delimitação do Problema Introdução Formulação da situação problema (Questões de pesquisa) Pergunta Central da Pesquisa Questões de Suporte Objetivos e escopo Objetivo Geral Objetivos Específicos Escopo Justificativa Hipóteses Hipótese sobre desprovisionamento Hipótese sobre compartilhamento de contas Hipótese sobre produtividade... 23

12 1.5.4 Hipóteses sobre valorização da capacidade intelectual Hipótese sobre acumulação de perfis de acesso Estrutura Revisão de Literatura e Fundamentos Controles de Acesso Controle de Acesso Lógico Identificação de Usuários Tríade de Controle de Acesso (AAA) Autenticação Autorização Auditoria Gerenciamento de Identidades Recursos Conectados Metadiretório Fontes Autoritativas e Fluxo de Informação Provisionamento de Identidades Kit de Admissão Gerenciamento do Ciclo de Vida de Identidades Limpeza de Dados Gerenciamento de Senhas Metodologia Características da Pesquisa Método de Estudo de Caso Pesquisa de Campo Universo da Pesquisa Coleta de Dados Resultados... 59

13 4.1 O que foi avaliado pelo pesquisador Como se desenvolveu a pesquisa Estrutura Organizacional Administração de Usuários Controle de Acessos Senhas Sistemas Segurança da Informação Auditoria Discussão Análise e Avaliação do Pesquisador Inexistência de sistema para registro de terceirizados Falhas no gerenciamento de usuários e acessos Inexistência de política de controle de acessos Falhas na política e uso de senhas Ausência de procedimentos de segurança para acesso ao sistema operacional Falhas relacionadas ao controle de acesso às aplicações Falhas no monitoramento de atividades dos usuários O que pode ser realizado para beneficiar a gestão da segurança das informações na organização estudada Benefícios da implementação de gerenciamento de identidades e acessos Conclusões e Trabalhos Futuros Conclusões Introdução da necessidade Afirmação dos objetivos, problema e solução Confirmação / Refutação das hipóteses Fechamento do entendimento

14 6.2 Trabalhos Futuros Referências e Fontes Consultadas

15 Resumo Atualmente as aquisições de grandes sistemas corporativos e o crescimento dos sistemas de informação desenvolvidos internamente nas organizações públicas geram diversos repositórios de usuários para realização dos processos de identificação, autenticação e autorização. Dessa forma, é praticamente impossível proteger o ativo de maior importância para as organizações, a informação, sem um controle eficaz e centralizado de quem pode acessá-la. Nesse contexto, este projeto de pesquisa se propõe a realizar a análise e avaliação dos controles de acessos lógicos de uma organização pública, fazendo uso das normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR. Será verificado, após os resultados, se a organização estudada aplica as melhores práticas relacionadas ao controle de acessos lógicos a fim de evitar ou minimizar os incidentes de segurança relacionados a acessos não autorizados. Por fim, será proposto o gerenciamento de identidades e acessos o qual consolida os processos de controle de acessos lógicos e auditoria para uma efetiva gestão da segurança da informação.

16 Abstract At present acquisitions of large corporate systems and the growth of information systems developed internally by public organizations, creation of diverse repositories of users for accomplishment of identifications, authentications and authorization processes take place. In this way, it's practically impossible to protect the most important organization's assets: information, through the lack of an effective and centralized management of who can access it. In this context, the project of research proposes the analysis and evaluation of logical access controls of a public organization, through the use of ISO/IEC 27002:2005 and NC 07/IN01/DSIC/GSIPR norms. A verification will be performed after the results, if the studied enterprise has been using the best practices related to logical access control, envisioning the eviction or minimization of security incidents related to unauthorized access. At last, a management of identities and access operations will be proposed, envisioning consolidation of the administration of logical access process and accountability, for an effective management of information's security.

17 15 1 Delimitação do Problema 1.1 Introdução Toda informação é um ativo que, cada vez mais, tem se tornado imprescindível para as operações de negócio nas organizações e consequentemente necessita ser adequadamente protegida contra as ameaças que podem levar à sua destruição, indisponibilidade temporária, adulteração ou divulgação não autorizada. Segundo definido pela norma ABNT NBR ISO/IEC 27002:2005 (2005, p. x), segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Sendo obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Adriana Beal (2005) afirma que os controles de acesso são fundamentais para estabelecer um nível básico de segurança nas organizações, consistindo na medida mais importante para a proteção da informação, pois impede acessos não autorizados aos ativos de informação e auxilia o alcance dos objetivos de confidencialidade, integridade e disponibilidade da informação. Nesse sentido, Maurício Lyra (2008, p. 220) ressalta que: O controle de acesso é uma das mais importantes ferramentas de apoio à segurança da informação, podendo ser obtido através do design do ambiente, de barreiras de canalização do fluxo para pontos controlados, de sinalização ou identificação, de equipamentos de ação mecânica, de dispositivos eletrônicos, ou simplesmente através da fiscalização humana, que também precisa estar combinada com todas as outras opções. Com a dependência cada vez maior das empresas em relação ao uso do ambiente informatizado, é natural que exista preocupação para implementação de

18 16 dispositivos de controle de acesso que garantam a segurança de suas instalações mais críticas. (FERREIRA, 2003, p. 124). Desta forma, é preciso garantir a segurança dos dados e informações constantes das bases de dados públicas, evitando qualquer ação, intencional ou não, que venha provocar perda, destruição, inclusão, cópia, alteração ou acessos indevidos. Entretanto, levantamento acerca da Governança de Tecnologia da Informação na Administração Pública Federal (APF) realizado pelo Tribunal de Contas da União (2008), verificou em 255 (duzentos e cinquenta e cinco) órgãos públicos nove questões sobre o tratamento dado à segurança das informações: plano de continuidade de negócios (PCN), gestão de mudanças, gestão de capacidade e compatibilidade, classificação da informação, gestão de incidentes, análise de riscos de TI, área específica para tratamento de segurança, política de segurança da informação (PSI) e procedimentos de controle de acesso. As respostas fornecidas por estes órgãos indicam que é preciso mais atenção ao tratamento que é dado à segurança das informações. Conforme pode ser observado na Figura 1: Figura 1: Deficiências na Segurança da Informação (Fonte: TCU, 2008, p. 18).

19 17 Pela figura acima pode-se observar que 48% dos órgãos/entidades públicas analisadas ainda não possuem procedimentos de controle de acesso adequados ao nível de proteção necessário para a informação, o que abre oportunidades de fraudes pelo uso indevido não autorizado aos ativos da organização. Segundo Anderson Ramos (2007, p. 89) os procedimentos de controle de acessos: São um dos principais componentes da arquitetura de segurança dos sistemas. São responsáveis basicamente por definir quais recursos estão disponíveis para acesso, quais são as operações que podem ser executadas nestes recursos e quais são os componentes autorizados a desempenhar tais operações. Fernandes (2010, p. 2) define Controle de Acessos como: O nome dado ao conjunto sistematicamente organizado de barreiras de proteção que são adotadas por uma organização, sejam de natureza física ou lógica, e que visam proteger os ativos organizacionais contra acessos indevidos, bem como permitir acesso aos usuários legítimos desses ativos. Já os controles de acesso lógicos, na definição de Cláudia Dias (2000, p. 84) são: Um conjunto de medidas e procedimentos adotados pela organização ou intrínsecos aos softwares utilizados, cujo objetivo é proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por usuários ou outros programas. Fernando Ferreira (2003, p. 47) ressalta que os controles de acesso lógicos visam assegurar que: Apenas usuários autorizados tenham acesso aos recursos; Os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas atividades; O acesso a recursos críticos seja constantemente monitorado e restrito; Os usuários sejam impedidos de executar transações incompatíveis com a sua função. Adriana Beal (2005, p. 113) destaca ainda que para se administrar o acesso aos recursos computacionais são estabelecidas contas de usuário, às quais são associados a um identificador (ID) para estabelecer a identidade do usuário, um ou mais métodos de autenticação para verificar essa identidade e regras de autorização que limitam o acesso a recursos.

20 18 Acerca desta questão, o autor Leonardo Scudere (2007, p. 155) destaca que: A complexidade da utilização de sistemas de várias gerações (mainframe, cliente-servidor, e internet) fez surgir a necessidade de criação da tecnologia de identidades digitais, que tem por principal objetivo estabelecer uma organização automatizada e dinâmica de alocação de acessos de forma adequada e coerente entre, de um lado, todas as categorias de usuários e, de outro, os recursos tecnológicos que estes necessitam para desempenhar adequadamente suas funções. Observa-se, então, que nas organizações atuais, onde existem diversos repositórios isolados de armazenamento de identidades digitais e grande rotatividade de colaboradores e mudanças interdepartamentais, torna-se muito difícil gerenciar as contas de usuários e permissões de acesso para os processos de autenticação e autorização. Nessa perspectiva, Harris Shon (2008, p. 163, tradução nossa) observa que: O aumento contínuo da complexidade e diversidade de ambientes de rede só aumentou a complexidade de manter o controle de quem pode acessar o que e quando. Organizações possuem diferentes tipos de aplicações, sistemas operacionais de rede, banco de dados, sistemas integrados de gestão empresarial (SIGE), sistemas de gestão de relacionamento com o cliente (GRC), diretórios, mainframes todos utilizados para fins comerciais diferentes. Aliado a isso, organizações têm parceiros, prestadores de serviço, consultores, funcionários e empregados temporários. Usuários normalmente necessitam acessar vários tipos de sistemas diferentes ao longo de suas atividades diárias, o que torna os procedimentos de controle de acesso e concessão de nível de proteção necessária em diferentes tipos de dados difícil e cheio de obstáculos. Essa complexidade geralmente resulta em imprevistos e falhas não identificadas em recursos de proteção, que controlam parcialmente e contraditoriamente, e não estão conforme com políticas e regulamentações 1. Devido à variedade e complexidade dos ambientes informatizados hoje em dia, com processamento centralizado ou distribuído, em diversas plataformas de 1 The continual increase in complexity and diversity of networked environments only increases the complexity of keeping track of who can access what and when. Organizations have different types of applications, network operating systems, databases, enterprise resource management (ERP) systems, customer relationship management (CRM) systems, directories, mainframes all used for different business purposes. Then the organizations have partners, contractors, consultants, employees, and temporary employees. Users usually access several different types of systems throughout their daily tasks, which makes controlling access and providing the necessary level of protection on different data types difficult and full of obstacles. This complexity usually results in unforeseen and unidentified holes in asset protection, overlapping and contradictory controls, and policy and regulation non-compliance.

21 19 hardware e software, a tarefa de segurança e auditoria não é nada fácil. (DIAS, 2000, p. 84). Tendo em vista a complexidade resultante de tantos sistemas e recursos computacionais existentes nas organizações atuais, assim como a multiplicidade de identidades digitais e necessidades de acesso, tem-se como resultado uma administração descentralizada dos usuários e respectivos acessos. Esta administração descentralizada gera diversos pontos de falhas para as organizações, principalmente no que diz respeito à segurança da informação, podendo aumentar acessos não autorizados ou inapropriados às necessidades do negócio. Com base nestas questões, o presente trabalho tem o intuito de realizar a avaliação dos controles de acessos lógicos da organização pública em estudo utilizando-se das normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR e propor a implementação de uma gestão centralizada de usuários e acessos como uma benfeitoria à gestão da segurança das informações e comunicações. 1.2 Formulação da situação problema (Questões de pesquisa) Pergunta Central da Pesquisa A pergunta central desta pesquisa é: Como estão implementados os controles de acessos lógicos em uma organização pública sob a ótica das normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR? Questões de Suporte As questões de suporte da pesquisa são: Como são realizados os processos de identificação, autenticação, autorização de usuários? Como são estabelecidos os mecanismos para o controle de acessos lógicos na organização? Como são realizados os procedimentos para conceder, revogar e rever os direitos e permissões de acesso de usuários aos recursos informatizados da organização? Como é realizada a administração de contas de usuários? Como é realizado o gerenciamento de senhas?

22 20 Como são realizados os processos de monitoramento e auditoria de contas de usuários? 1.3 Objetivos e escopo Objetivo Geral Este trabalho tem como objetivo realizar a avaliação dos controles de acessos lógicos na organização pública em estudo sob a ótica das normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR Objetivos Específicos São Objetivos Específicos da pesquisa: 1. Revisar a literatura sobre segurança da informação, controle de acesso, especificamente o lógico e gerenciamento de identidades, apresentando, de forma condensada, os conceitos adotados; 2. Constatar se a organização pesquisada tem feito uso de melhores práticas relacionadas ao controle de acessos lógicos, a fim de evitar ou minimizar riscos relacionados à segurança da informação; 3. Fazer uso das normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR com o intuito de verificar ações de conformidade aplicadas na organização; 4. Identificar falhas relacionadas à gestão de usuários e ao controle de acessos lógicos; 5. Propor a implementação de gerenciamento de identidades e acessos com a finalidade de melhorar e centralizar as informações relacionadas e usuários e acessos; 6. Relacionar os benefícios do gerenciamento de identidades e acessos Escopo Este trabalho será analisado dentro do contexto de uma organização pública, presente em todos os Estados brasileiros. Será realizada, em especial, na área de Tecnologia da Informação da mesma, onde os dados para a pesquisa serão coletados, abrangendo pessoas, processos de negócios, estrutura organizacional, sistemas, equipamentos, políticas e procedimentos de segurança da informação, gestão de usuários e controle de acesso lógico.

23 Justificativa Na Administração Pública Federal, muitas organizações ainda não possuem procedimentos definidos para o controle de acessos. Esta problemática foi constatada por recente pesquisa do Tribunal de Contas da União, publicada no Acórdão 1603 (TCU, 2008) onde evidencia a inexistência de procedimentos para disciplinar o controle de acesso a recursos computacionais em 48% das organizações analisadas. Como a definição de procedimentos para o controle de acesso aos recursos computacionais é um dos primeiros passos para o tratamento e reconhecimento da importância da segurança da informação em organizações, o resultado desta pesquisa é um indício de que as necessidades de controle de acesso lógico em sistemas de informação e sistemas operacionais não estão sendo definidos de forma criteriosa, gerando riscos decorrentes de concessões, manutenções e revogações de acesso a recursos em desconformidade com as reais necessidades de acesso. Da observação deste cenário e diante o exposto, verificou-se que a organização pública em estudo esta entre as organizações analisadas que não possuem definição de normativos para o controle de acesso lógico. Desta forma, deve seguir recomendação manifestada no subitem 9.2 do referido Acórdão (1603/2008): 9.2. recomendar ao Gabinete de Segurança Institucional da Presidência da República GSI/PR que oriente os órgãos/entidades da Administração Pública Federal, direta e indireta, sobre a importância do gerenciamento de segurança da informação, promovendo, inclusive mediante orientação normativa, ações que visem estabelecer e/ou aperfeiçoar a gestão de continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área especifica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso (grifo nosso). Ainda, conforme mencionado no Acórdão 1603 (TCU, 2008): A definição de normativos para o controle de acesso é fundamental para sincronizar o controle de acesso às informações com as reais necessidades de acesso dos usuários, garantir o acesso mínimo e necessário a cada informação, isto é, que só tenha acesso a uma informação quem realmente precisa dela, e que toda informação realmente necessária esteja disponível para acesso.

24 22 Neste contexto, constitui-se como justificativa primordial deste trabalho o fato de que é praticamente impossível proteger as informações da organização sem um controle eficaz e centralizado de quem pode acessá-las. A administração descentralizada de identidades digitais dos usuários e acessos gera diversos pontos de falhas, devido ao grande número de empregados existentes em todo o Brasil e à alta rotatividade e mudanças departamentais dos mesmos. Dessa forma, usuários que deveriam estar inativados em diversos sistemas, recursos ou aplicativos, após serem desligados da organização, podem continuar com o acesso ativo em uma ou mais aplicações, o que abriria oportunidade de fraude. Esta questão evidencia a necessidade de busca de solução que minimize os riscos operacionais na organização em estudo. Para isso, irá propor a implementação de gerenciamento de identidade e acesso como a alternativa mais viável para garantir a segurança das informações, dado a grande quantidade de sistemas de informação que necessitam realizar os procedimentos de autenticação e autorização, o que dificulta o estabelecimento e implementação de política de controle de acesso para cada recurso computacional específico. Conforme mencionado no Acórdão 1603 (TCU, 2008), a alínea a apresenta um dos critérios utilizados para auditar as questões relacionadas à ausência de procedimentos de controle de acesso em vigor nas organizações públicas: a) Cobit 4.1 DS5.3 Identity Management (Gerência de Identidade Garantir que todos usuários (internos, externos e temporários) e sua atividade em sistemas de TI (aplicações do negócio, sistema operacional, desenvolvimento e manutenção) devem ser unicamente identificáveis. Direitos de acesso do usuário a sistemas e dados devem estar alinhados com as necessidades do negócio e requisitos do cargo definidos e documentados. Direitos de acesso do usuário são requisitados pelo gerente do usuário, aprovados pelo proprietário do sistema e implementados pelo responsável pela segurança. Identidades e direitos de acesso do usuário são mantidos num repositório central. Medidas técnicas e procedimentais são alocadas e mantidas correntes para estabelecer identificação do usuário, implementar autenticação e conceder direitos de acesso). Sendo, a avaliação dos controles de acessos lógicos da organização pública em estudo com base nas normas ABNT NBR ISO/IEC 27002:2005 e NC 07/IN01/DSIC/GSIPR o grande motivador para a elaboração deste trabalho, a intenção é apresentar que uma solução como esta trará diversos benefícios à

25 23 organização através de uma melhor gestão de usuários e acessos, garantindo assim uma melhoria nos processos relacionados à segurança da informação. 1.5 Hipóteses Esta seção identifica as hipóteses da pesquisa Hipótese sobre desprovisionamento Colaboradores desligados da organização continuam com acessos ativos Hipótese sobre compartilhamento de contas Existe compartilhamento de contas de usuário na organização Hipótese sobre produtividade A produtividade de novos colaboradores é perdida pela demora de criação de contas de usuário Hipóteses sobre valorização da capacidade intelectual A valorização da capacidade intelectual de administradores é subutilizada pelas atividades relacionadas à gestão de contas de usuários e acessos Hipótese sobre acumulação de perfis de acesso Os colaboradores acumulam diversos direitos de acesso ao longo de vários anos de trabalho na organização. 1.6 Estrutura Este projeto de pesquisa trata de aspectos muito importantes em segurança da informação, a gestão de usuários e os controles de acessos lógicos, os quais são chave para garantir que não ocorram acessos indevidos em aplicações e recursos computacionais nas organizações e que, se mal gerenciados, podem causar grandes prejuízos. Nesse sentido, o segundo capítulo trata sobre a revisão de literatura e fundamentos encontrados na literatura especializada acerca do tema segurança da informação, controle de acessos, mais especificamente os lógicos e os processos de gerenciamento de identidades digitais. No terceiro capítulo o assunto tratado é a metodologia empregada neste trabalho, baseada em estudo de caso. Serão relacionados os seguintes tópicos: forma de coleta dos dados na pesquisa de campo, fontes de evidências utilizadas na

26 24 pesquisa, plano de coleta de dados, estimativa de esforço para a realização da pesquisa e uma prévia de como os dados coletados serão analisados. No quarto capítulo o resultado da coleta de dados é o foco, onde serão descritas as principais evidências do estudo de caso realizado na organização. No quinto capítulo são apresentadas as análises e avaliações dos dados coletados na pesquisa com base no referencial teórico e verificação de conformidade com as normas ABNT NBR ISO/IEC 27002:2005 e norma complementar 07/IN01/DSIC/GSIPR e também serão tratadas as verificações das hipóteses inicialmente apresentadas para este estudo, com o intuito de responder a pergunta da pesquisa. O sexto capítulo apresentará uma conclusão para este projeto de pesquisa, onde serão reafirmados os objetivos, problema da pesquisa e solução deste trabalho, realizando o fechamento do entendimento sobre a questão de pesquisa e onde também serão apresentadas recomendações para trabalhos futuros decorrentes da pesquisa.

27 25 2 Revisão de Literatura e Fundamentos 2.1 Controles de Acesso Os controles de acesso, segundo Adriana Beal (2005, p. 111), consistem na medida mais importante para a proteção da informação, impedindo acessos não autorizados aos ativos de informação. Jorge Fernandes (2010, p. 2) define que o controle de acessos: É o nome dado ao conjunto sistematicamente organizado de barreiras de proteção que são adotadas por uma organização, sejam as de natureza física ou lógica, e que visam proteger os ativos organizacionais contra acessos indevidos, bem como permitir acesso aos usuários legítimos desses ativos. Conforme a Norma Complementar 07/IN01/DSIC/GSIPR, de 6 de maio de 2010 (DSIC, 2010), controle de acessos é o conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear acesso. Já Anderson Ramos (2008, p. 89) destaca que as tecnologias de controle de acesso são responsáveis basicamente por definir quais recursos estão disponíveis para acesso, quais são as operações que podem ser executadas nestes recursos e quais são os componentes autorizados a desempenhar tais operações. Segundo a Cartilha de Boas Práticas em Segurança da Informação (TCU, 2008, p. 9), os controles de acesso, físicos ou lógicos, têm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não autorizada. Adriana Beal (2005, p. 111) destaca exemplos de como o controle de acesso colabora para o alcance dos objetivos de segurança:

28 26 Objetivo de confidencialidade: o controle de acesso evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos de negócio e protegendo a privacidade de dados pessoais. Objetivo da integridade: o controle de acesso evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. Objetivo da disponibilidade: o controle de acesso permite identificar os usuários legítimos da informação para que lhes possa ser liberado o acesso quando solicitado. O item 11 da norma ABNT NBR ISO/IEC (ABNT, 2005) é inteiramente dedicado às questões de controle de acesso, recomendando que os seguintes controles devem ser implementados pelas organizações: Requisitos de negócio para controle de acesso; Gerenciamento de acesso do usuário; Responsabilidades dos usuários; Controle de acesso à rede; Controle de acesso ao sistema operacional; Controle de acesso à aplicação e à informação; Computação móvel e trabalho remoto. A Cartilha de Boas Práticas em Segurança da Informação (TCU, 2008, p. 11) destaca que o controle de acesso pode ser traduzido, então, em termos de funções de identificação e autenticação de usuários; alocação, gerência e monitoramento de privilégios; limitação, monitoramento e desabilitação de acessos; e prevenção de acessos não autorizados. Fernandes (2010, p. 4) sugere que para que o sistema de controle de acesso funcione é necessário que procedimentos operacionais, bem como ações táticas e estratégicas sejam adotadas pela organização. Fernandes (2010, p. 4) também destaca os procedimentos para o controle de acesso: Um dos procedimentos preliminares é a emissão da credencial usada pelo usuário, que deve ser baseada na necessidade de conhecer do usuário. Outros procedimentos são concernentes à geração dos dados de permissões que correspondem ao equivalente lógico da permissão física. Esses dados de permissões são mantidos em um banco de dados de controle de acessos, que pode conter várias outras informações relacionadas aos controles físicos e lógicos. Por fim, há que se destacar a

29 Controle de Acesso Lógico necessidade de contabilização dos acessos efetuados pelo usuário, sejam eles feitos de forma física ou lógica. Para tal é criado um log ou registro de acessos, por meio de dados produzidos pelo vigilante ou pelo controle de acessos técnicos propriamente dito. Há, por fim, a necessidade de formular políticas de controle de acessos que expressem as decisões estratégicas adotadas pela organização acerca desse tema sensível. De acordo com a Cartilha de Boas Práticas em Segurança da Informação (TCU, 2008, p. 9), os controles de acesso lógico são um conjunto de procedimentos e medidas com o objetivo de proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por pessoas ou por outros programas de computador. Além disso, pode ser encarado de duas formas diferentes: a partir do recurso computacional que se quer proteger e a partir do usuário a quem serão concedidos certos privilégios e acessos aos recursos. Salienta ainda que: A proteção aos recursos computacionais baseia-se nas necessidades de acesso de cada usuário, enquanto que a identificação e autenticação do usuário (confirmação de que o usuário realmente é quem ele diz ser) é feita normalmente por meio de um identificador de usuário (ID) e por uma senha durante o processo de logon no sistema. A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até o próprio sistema operacional. Adriana Beal (2005, p. 112) apresenta os recursos a serem protegidos por mecanismos de controle lógico de acesso: Sistemas corporativos, sistemas de gerenciamento de banco de dados e aplicações. Programas fonte e objeto (o acesso ao código fonte de aplicativos precisa ser protegido para evitar ameaças como alteração indevida das funções e da lógica do programa com o propósito de sabotagem ou fraude). Arquivos de dados (bases de dados, arquivos com configurações de sistema, etc. devem ser protegidos para evitar que dados sejam destruídos ou alterados sem autorização). Sistema operacional e utilitários (todos os componentes do sistema operacional e também editores, compiladores, software de manutenção, monitoração e diagnóstico devem ter seu acesso bastante controlado por serem alvos visados, que podem ser usados para comprometer a segurança do conjunto de aplicativos e arquivos do sistema).

30 28 Arquivos de log (fontes de informações para a auditoria a serem preservadas contra a destruição ou alteração indevida para impedir que ações criminosas ou indevidas deixem de ser registradas). A Cartilha de Boas Práticas em Segurança da Informação (TCU, 2008, p. 11) ainda destaca que a implantação dos controles de acesso lógico visa garantir que: Apenas usuários autorizados tenham acesso aos recursos; Os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas; O acesso a recursos críticos seja bem monitorado e restrito a poucas pessoas; Os usuários estejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades. A Norma Complementar 07/IN01/DSIC/GSIPR, de 6 de maio de 2010 (DSIC, 2010), estabelece que para implementar o controle de acesso lógico na APF é necessário criar e administrar contas de acesso de usuários, as quais, segundo esta norma são permissões concedidas por autoridade competente após o processo de credenciamento, que habilitam determinada pessoa, sistema ou organização ao acesso. André Campos (2005, p. 147) ressalta também que o mecanismo de controle de acesso deve registrar o acesso a cada parte do sistema, identificando o usuário, a data e a hora e a área do sistema acessada. Sem isto, não será possível auditar o sistema. 2.3 Identificação de Usuários Segundo Anderson Ramos (2008, p. 92): Quase todas as tecnologias de controle de acesso dependem de um elemento básico para que possam funcionar de maneira adequada: utilizar mecanismos que permitam aos usuários informarem aos sistemas quem eles são, além de métodos para provar que eles realmente são o que dizem ser. Adriana Beal (2005, p. 113) salienta que: Para administrar o acesso aos recursos computacionais são estabelecidas contas de usuários, às quais são associados um identificador (ID) para estabelecer a identidade do usuário, um ou mais métodos de autenticação para verificar essa identidade e regras de autorização que limitam o acesso a recursos.

31 29 De acordo com Alfredo Santos (2007, p. 5), uma identidade é a representação digital de uma pessoa. Esta representação digital normalmente é composta por um identificador único e outros dados (atributos) como documentos, nome, etc. Como pode ser visto na Figura 2: Figura 2: Exemplo de identidade digital (Fonte: SANTOS, 2007, p. 5). Segundo Fernando Ferreira (2003, p. 48): A identificação do usuário, ou User ID, deve ser único, isto é, cada usuário deve ter uma identificação própria. Todos os usuários autorizados devem possuir um código de usuário, quer seja um código de caracteres, cartão inteligente ou outro meio de identificação. Essa unicidade de identificação permite um controle das ações praticadas pelos usuários através dos log s de acesso e atividade dos sistemas operacionais e aplicativos. A identificação tem como objetivo informar para o ambiente computacional quem é a pessoa que está acessando este ambiente. É o campo que ficará armazenado, registrando ações do usuário e participando da trilha de auditoria. (FONTES, 2000). De acordo com Anderson Ramos (2008, p ) os elementos mais comuns usados para identificação são: Nome de usuário; Biometria (pode ser usada tanto para identificação como para autenticação); Cartões magnéticos ou de aproximação; Crachás. Alfredo Santos (2008, p ) ressalta que: O conceito de ID universal é a criação de um identificador único para uso nas identidades, de preferência que seja sequencial e que não seja um código falante. Este identificador único deve preferencialmente ser utilizado

32 30 nas demais aplicações da empresa para que o mesmo seja utilizado como vínculo entre metadiretório e aplicações, evitando que o vínculo seja por outro identificador. Wilson Oliveira (2001, p.112) ainda ressalta que a organização deverá definir critérios para as contas de administrador em sua política de segurança e que o uso destas contas deverão ser controladas e auditadas periodicamente. 2.4 Tríade de Controle de Acesso (AAA) Autenticação Segundo Alfredo Santos (2008, p. 30), autenticação é o ato do usuário se identificar utilizando diversos mecanismos, como login, senha, biometria, token, etc. Pode ser utilizada para acesso lógico (computadores e sistemas) ou físico (catracas e portas). Salienta ainda que a autenticação pode ser reforçada com a inclusão do conceito de multifator, que segundo ele é o processo de solicitação de mais de um método de autenticação, podendo este conjunto de métodos ser obrigatório ou seguir regras. Segundo Fernando Ferreira (2003, p. 48) o processo de logon é usado para obter acesso aos dados e aplicativos em um sistema informatizado. Normalmente esse processo envolve a utilização de um User ID e uma senha. Adriana Beal (2005, p. 113) acrescenta que os sistemas de autenticação por senha oferecem um grau de proteção menor do que se costuma atribuir-lhes. André Campos (2005, p. 146) destaca que: O processo de logon deve ser simples, mas sem ajuda para o usuário, que poderia ser alguém tentando realizar um acesso indevido. É apropriado que o número de tentativas seja limitado, e que sejam registrados os casos de sucesso e de insucesso, possibilitando auditorias posteriores. Fernando Ferreira (2003, p. 125) ainda ressalta que: O sistema deve limitar a entrada de determinada pessoa até que seja efetuada a saída correspondente, de forma a evitar o uso da mesma identificação por várias pessoas e pelo mesmo motivo, deve permitir que somente uma pessoa entre com acesso válido. Acerca dos mecanismos de autenticação, Marcos Sêmola (2007, p. 118) observa que os mesmos são: Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e agentes em geral, [...] mostram-se fundamentais para os atuais padrões de informatização, automação e compartilhamento

33 31 de informações. Sem identificar a origem de um acesso e seu agente, tornase praticamente inviável realizar autorizações condizentes com os direitos de acesso, podendo levar a empresa a compartilhar informações valiosas sem controle. De acordo com Adriana Beal (2005, p. 114), os métodos de autenticação costumam ser divididos em três grupos, de acordo com a técnica utilizada: O que você sabe: utiliza senhas de acesso. O que você tem: é feita com tokens dispositivos físicos que podem ser entregues a um usuário para diferenciá-lo de outros e habilitá-lo a acessar algum objeto. O que você é: baseia-se em características físicas (reconhecimento facial, de digitais, voz, padrões de íris e retina etc.) para identificar pessoas Single Sign-on (SSO) Segundo Alfredo Santos (2007, p. 37), single sign-on é o processo de login único para N aplicações onde o usuário é desafiado apenas na primeira necessidade de autenticação, não necessitando repetir a autenticação novamente na mesma sessão de trabalho. Nesta linha de raciocínio, Anderson Ramos (2008, p. 105) destaca que as tecnologias de SSO (single sign-on) buscam a simplificação do processo de logon dos usuários, permitindo que, após uma única autenticação, o usuário possa acessar todos os recursos que tem direito sem a necessidade de repetir o processo. Segundo este autor, os principais tipos de SSO são: Enterprise SSO (também chamado Legacy): autenticam o usuário, normalmente em um serviço de diretório, e interceptam pedidos de autenticação de outras aplicações, repassando credenciais que ficam armazenadas neste mesmo diretório; WAN (Web Access Management) ou Web-SSO: permitem que o usuário acesse diversos aplicativos Web com apenas uma autenticação. As tecnologias mais empregadas costumam utilizar cookies de sessão; Federation: novo padrão aberto proposto por um conjunto de empresas (OASIS Organization for the Advancement of Structured Information Standards) que permite a uma aplicação validar a identidade de um usuário para outra. Exemplos de tecnologias suportando esta nova

34 32 abordagem são o SAML (Security Assertion Markup Language) e o WSS (Web Services Security). A tecnologia é destinada a fazer Web-SSO; Kerberos: protocolo de autenticação em rede que permite a autenticação de usuários usando meios inseguros de comunicação, prevenindo problemas como a interceptação e os ataques do tipo replay Autorização Autorização é o processo de controlar (após logado) o que o usuário pode fazer em um ou mais sistemas. (SANTOS, 2007, p. 44) Segundo André Campos (2005, p. 143): O acesso à informação deve ser controlado em algum nível, sempre de acordo com os requisitos de segurança e contribuindo de alguma forma com o negócio da organização. Para garantir que essas premissas estejam presentes nas medidas de controle de acesso, deve-se elaborar uma política de controle de acesso, que apontará para os requisitos de negócio e para as regras de controle de acesso. A Cartilha de Boas Práticas para Segurança da Informação (TCU, 2008, p. 21), enfatiza que: As regras de controle e direitos de acesso para cada usuário ou grupo devem estar claramente definidas no documento da política de controle de acesso da instituição, o qual deverá ser fornecido aos usuários e provedores de serviço para que tomem conhecimento dos requisitos de segurança estabelecidos pela gerência. André Campos (2005, p. 143) relaciona os temas que uma política de acesso deve controlar: 1. Requisitos de segurança de cada aplicativo utilizado no negócio da organização; 2. Identificação de toda informação de entrada e de saída desses aplicativos; 3. Políticas para a distribuição da informação, inclusive dos níveis de acesso e das classificações a serem aplicadas nas informações; 4. Harmonia entre as políticas de controle de acesso e as políticas de classificação da informação; 5. Menção a qualquer legislação aplicável e obrigações contratuais referentes ao controle de acesso às informações; 6. Definição de perfis de acesso de usuários padronizados segundo as categorias de atividades comuns; 7. Gestão contínua dos direitos de acesso em um ambiente de rede.

35 33 De acordo com o princípio do menor privilégio, na visão de Wilson Oliveira (2001, p. 112), todos os elementos existentes (usuários, administradores, programas, sistemas, etc.) deveriam apenas ter os privilégios e direitos de acesso necessários para que eles executem suas funções. Este autor (2001, p. 112) ressalta também que a aplicação deste princípio não elimina os riscos ou impede os ataques, mas reduz uma série de ataques que são possíveis por erros de configuração no perfil de acesso de usuários e programas. André Campos (2005, p. 147) destaca ainda que: O ideal é que haja um sistema de acesso baseado em menus, que apresentem apenas as opções a que o usuário tenha direito, impedindo que tome conhecimento de outras opções. Do contrário, isto poderia constituir um estímulo para a busca por informações não-autorizadas a esse colaborador Modelos de Controle de Acesso a) Controles Baseados em Regras Gerais ou Obrigatórias (Mandatory Access Control MAC) É usado para controlar acesso a arquivos ou recursos associando security labels ou classificações para recursos do sistema e comparando isto ao nível de sensibilidade com que um usuário está operando. Com MAC, uma pessoa pode atribuir um nível de segurança a cada usuário e certificar-se de que todos os usuários têm somente o acesso aos dados de um isolamento. (SANTOS, 2007, p. 45) b) Controles Baseados em Identidade ou Discricionários (Discretionary Access Control DAC) É usado para controlar acesso a arquivos ou recursos, colocando restrições no acesso do usuário aos recursos. O propósito principal é limitar o acesso de usuários a um arquivo. O dono do arquivo controla acessos ao arquivo por outros usuários. (SANTOS, 2007, p. 45) c) Controles Baseados em Papéis (Role Based Access Control RBAC) É um método de controlar acesso a um computador ou recursos de rede baseados nas funções (roles) de usuários individuais em uma empresa. Neste contexto, acesso é a habilidade de um usuário individual executar uma tarefa específica, como ler, criar ou modificar um arquivo. Roles são definidas de acordo

36 34 com a competência, autoridade e responsabilidade de trabalho em uma empresa. (SANTOS, 2007, p. 47) Auditoria A grande meta do gerenciamento de identidade, além de garantir o sincronismo de usuários, segurança e aplicar políticas de senha de forma global, é prover a informação necessária para auditorias periódicas, informações do tipo: Criação de usuários; Alteração de usuários; Exclusão de usuários. Para fornecer estas informações, as ferramentas trabalham com bases externas de auditoria e agentes de instrumentação para colher os dados de auditoria. (SANTOS, 2007, p ) Figura 3: Modelo de Auditoria (Fonte: SANTOS, 2007, p. 51). De acordo com a Cartilha de Boas Práticas para Segurança da Informação (TCU, 2008, p. 20), o monitoramento dos sistemas de informação é feito, normalmente, pelos registros de log, trilhas de auditoria ou mesmo mecanismos capazes de detectar invasões. Ainda segundo a Cartilha (2008), na ocorrência de uma invasão, falha do sistema ou atividade não autorizada, é imprescindível reunir evidências suficientes

37 35 para que possam ser tomadas medidas corretivas necessárias ao restabelecimento do sistema às suas condições normais, assim como medidas administrativas e/ou judiciais para investigar e punir os invasores. Maurício Lyra (2008, p. 46) ressalta que: É importante que todos os sistemas possuam registro das atividades realizadas pelos seus usuários. Esses mecanismos, ou log s, como são conhecidos, devem registrar data e hora, tipo de atividade e preferencialmente, registro de eventuais alterações (valor antigo / valor novo) para que seja possível auditoria em caso de violação de integridade da informação. Esses log s devem ser projetados para proteger as transações e informações mais importantes, pois claramente introduzem uma baixa de performance no sistema. Fernando Ferreira (2003, p. 57) destaca considerações referentes ao monitoramento de logs: Os logs devem ser revisados periodicamente. Os sistemas muito críticos ou que geram muita informação podem precisar ter seus logs analisados com maior frequência; As causas de qualquer registro que pareça incorreto devem ser investigadas; O padrão de comportamento normal dos sistemas deve ser identificado para poder encontrar eventuais anomalias com maior rapidez. 2.5 Gerenciamento de Identidades A aquisição de sistemas corporativos como ERP, CRM, sistemas operacionais junto com diversos sistemas desenvolvidos internamente em uma corporação geram diversos repositórios de usuários para autenticação e autorização. (SANTOS, 2007, p. 3) Esta administração descentralizada, conforme Figura 4 é bastante suscetível a erros, como explica o autor Alfredo Santos (2007, p. 4): usuários que deveriam estar inativados em N sistemas, recursos ou aplicativos após serem demitidos podem continuar com o acesso ativo em uma aplicação, o que abriria oportunidade de fraude.

38 36 Figura 4: Sistemas/recursos desconectados (Fonte: SANTOS, 2007, p. 3). O autor Harris Shon (2008, p. 163, tradução nossa), reafirma a tese de Alfredo Santos: Organizações possuem diferentes tipos de aplicações, sistemas operacionais de rede, banco de dados, sistemas integrados de gestão empresarial (SIGE), sistemas de gestão de relacionamento com o cliente (GRC), diretórios, mainframes todos utilizados para fins comerciais diferentes. Aliado a isso, organizações têm parceiros, prestadores de serviço, consultores, funcionários e empregados temporários. Usuários normalmente necessitam acessar vários tipos de sistemas diferentes ao longo de suas atividades diárias, o que torna os procedimentos de controle de acesso e concessão de nível de proteção necessária em diferentes tipos de dados difícil e cheio de obstáculos. Essa complexidade geralmente resulta em imprevistos e falhas não identificadas em recursos de proteção, que controlam parcialmente e contraditoriamente, e não estão conforme com políticas e regulamentações 2. 2 Organizations have different types of applications, network operating systems, databases, enterprise resource management (ERP) systems, customer relationship management (CRM) systems, directories, mainframes all used for different business purposes. Then organizations have partners, contractors, consultants, employees, and temporary employees. Users usually access several different types of systems throughout their daily tasks, which makes controlling access and providing the necessary level of protection on different data types difficult and full of obstacles. This complexity usually results in unforeseen and unidentified holes in asset protection, overlapping and contradictory controls, and policy and regulation non-compliance.

39 37 Neste sentido, verificou-se a necessidade de acabar com a administração descentralizada de usuários. Então, a fim de viabilizar tal necessidade, foram desenvolvidas as tecnologias de gerenciamento de identidades, que segundo SANTOS (2007, p. 3) são um conjunto de processos e tecnologias voltadas para o tratamento e manipulação de identidades de usuários desde o nascimento dos dados em sistemas de RH e cadastros de terceiros até as aplicações gerenciadas. Ainda segundo o autor Alfredo Santos (2007, p. 4) visa: Uma administração centralizada e automática tecnicamente, ou seja, uma única interface administrativa, com um repositório central de usuários (Metadiretório), que automaticamente envia aprovações de workflow, replica (provisionamento) dados de usuários para demais bases de autenticação utilizadas pelos recursos conectados. Já Harris Shon (2008, p. 162, tradução nossa), define gerenciamento de identidade como um termo bastante amplo que engloba o uso de produtos diferentes para identificar, autenticar e autorizar através de meios automatizados 3. Segundo Paul Pannell (2002, p. 2, tradução nossa): Gerenciamento de identidades é o conceito de controlar de forma centralizada o provisionamento de recursos e acesso aos sistemas. Apoiando os sistemas de recursos humanos, diretórios corporativos e servidores centralizados, provê meios para automaticamente alocar e desalocar recursos físicos e de computação para usuários. O gerenciamento de identidades fraco ou inexistente pode abrir várias brechas de segurança e este tipo de solução, combinada com políticas eficazes, promete mitigar estas vulnerabilidades 4. Leonardo Scudere (2007, p. 155) ressalta que: Estabelecer a organização desse sistema de acessos, direta e automaticamente, também formaliza as respectivas exclusões parciais ou totais de grupos de indivíduos a certos segmentos dos ativos digitais. Na ânsia por oferecer mais proteção e reduzir ataques diversos a invasão de privacidade, esses mecanismos tendem a buscar o caminho de excessiva precisão, tornando-os ainda mais complexos de medição de efetividade, à 3 Identity management is a broad and loaded term that encompasses the use of different products to identify, authenticate, and authorize users through automated means. 4 Identity management is the concept of centralizing the control of resource provisioning and system access. Leveraging human resources software, corporate directories, and centralized servers, it provides large enterprises with the means to initiate workflow for automatically allocating and deallocating physical and computing resources to users. Poor or no identity management can open many security holes and this class of software, combined with effective policy, promises to counter these vulnerabilities.

40 38 medida que contínuas alterações no contexto social e corporativo irão demandar também alterações das regras que estruturaram modelos iniciais. Paul Pannell (2002, p. 3, tradução nossa) também destaca que há um retorno real dos investimentos associados a um projeto de gerenciamento de identidades: Além de uma redução de custos relacionados à segurança, a automação de tarefas diminui as despesas necessárias com administradores de sistema. Em alguns casos, ao permitir aos usuários a realização de auto-manutenção de seus recursos, também pode minimizar o custo do pessoal do serviço de atendimento ao cliente 5. O gerenciamento de identidade também deve normatizar e automatizar o gerenciamento de acesso, que segundo Alfredo Santos (2007, p. 4) refere-se ao processo de controlar e conceder acesso para satisfazer às solicitações de recursos. Geralmente, este processo é realizado utilizando-se uma sequencia de ações de autenticação, autorização e auditoria. Abaixo, na Figura 5, pode-se verificar um esboço de uma solução de gerenciamento de identidade e acesso: Figura 5: Esboço Solução de Gerenciamento de Identidades e Acessos (Fonte: CHECCHIA, 2008, p. 14). 5 Aside from a reduction in security related costs, the automation of tasks decreases the expenditures necessary for system administrators. In some cases, allowing users to perform self-maintenance of their resources can also minimize the cost of help desk personnel.

41 Recursos Conectados De acordo com Alfredo Santos (2007, p. 6), recursos conectados são todos os ambientes destino que possuem um repositório de usuários que possa ser gerenciado recebendo leituras, inserções, exclusões, alterações etc.. Como exemplo de recursos conectados, o autor cita: Correio eletrônico. Bancos de dados JDBC. Mainframe. Unix. LDAP. Arquivos texto. Acesso físico (catracas, portas etc). Servidores de mensagem. Sistemas de help-desk. A Figura 6 apresenta arquitetura de recursos conectados ao Gerenciamento de Identidades ou Identity Manager (IDM): Figura 6: Arquitetura de Recursos Conectados (Fonte: CHECCHIA, 2008, p. 16).

42 Metadiretório Metadiretório é o repositório central de identidades e acesso, responsável por ser o intermediário entre as fontes autoritativas e os recursos conectados. O armazenamento de dados pode ser em banco de dados relacional ou em diretórios hierárquicos como, por exemplo, LDAP compatíveis, mas alguns dados não ficam armazenados no metadiretório, apenas trafegam pelo gerenciamento de identidade, porque só interessam para um ou outro recurso. (SANTOS, 2007, p. 9). Anderson Ramos (2008, p. 105) afirma que: Os serviços de diretório são repositórios de informações sobre diversos ativos, geralmente de TI, armazenadas de maneira centralizada com o propósito de permitir o seu compartilhamento. Normalmente, pode-se armazenar dentro de um diretório contas de usuários, permitindo alterações no formato deste armazenamento que suportem as aplicações atuais e futuras. A Figura 7 apresenta esboço do metadiretório: Figura 7: Metadiretório (Fonte: SANTOS, 2007, p. 10) Fontes Autoritativas e Fluxo de Informação Alfredo Santos (2007, p. 6) define fontes autoritativas como sendo os repositórios de origem de dados cadastrais de usuários.

43 41 Na Figura 8 pode-se ver o fluxo da informação em um ambiente fictício onde o RH é a fonte autoritativa de dados pessoais e o repositório de identidades é a fonte autoritativa de perfis e senhas: Figura 8: Fluxo de Informação (Fonte: JÚNIOR, 2009, p. 26). Alfredo Santos (2007, p. 6) divide as fontes autoritativas em categorias: Cadastros básicos. . Autorização de Acesso. a) Cadastros Básicos Segundo Alfredo Santos (2007, p. 6) são responsáveis por prover os dados básicos de um usuário, como nome, departamento, localidade. Devem conter dados confiáveis, sendo o primeiro local a saber que um usuário mudou de departamento, de unidade na empresa, saiu de férias ou foi demitido. Exemplos: Sistemas de RH. Cadastros de terceiros. Cargas periódicas de dados.

44 42 Figura 9: Fontes Autoritativas de Cadastros Básicos Alimentando o Metadiretório (Fonte: SANTOS, 2007, p. 7). b) Correio Eletrônico Segundo Santos (2007, p. 7), são responsáveis por prover o atualizado do usuário. Tradicionalmente, esta informação é gerenciada pelo administrador de correio eletrônico e a mesma é propagada aos demais recursos conectados. Observe a Figura 10, que representa esta integração: Figura 10: Dados de Correio Eletrônico Alimentando o Metadiretório (Fonte: SANTOS, 2007, p. 7).

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Introdução ao Oracle Identity Management

Introdução ao Oracle Identity Management Introdução ao Oracle Identity Management White Paper Oracle Junho de 2008 Introdução ao Oracle Identity Management página 1 Introdução ao Oracle Identity Management INTRODUÇÃO A suíte Oracle Identity Management

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

como posso obter gerenciamento de identidades e acesso como um serviço na nuvem?

como posso obter gerenciamento de identidades e acesso como um serviço na nuvem? RESUMO DA SOLUÇÃO CA CloudMinder como posso obter gerenciamento de identidades e acesso como um serviço na nuvem? agility made possible O CA CloudMinder fornece recursos de gerenciamento de identidades

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

a identidade como o novo perímetro: adotando a nuvem, a plataforma móvel e a mídia social com segurança agility made possible

a identidade como o novo perímetro: adotando a nuvem, a plataforma móvel e a mídia social com segurança agility made possible a identidade como o novo perímetro: adotando a nuvem, a plataforma móvel e a mídia social com segurança agility made possible A transformação da TI e as identidades em evolução Diversas tendências da tecnologia,

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 4 Introdução aos Sistemas Biométricos 1. Identificação, Autenticação e Controle

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

expandindo o logon único da web para ambientes de dispositivos móveis e na nuvem agility made possible

expandindo o logon único da web para ambientes de dispositivos móveis e na nuvem agility made possible expandindo o logon único da web para ambientes de dispositivos móveis e na nuvem agility made possible o mundo de negócios online está evoluindo rapidamente... Em anos anteriores, os clientes caminhavam

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Avaliação da Segurança da Informação no âmbito da APF

Avaliação da Segurança da Informação no âmbito da APF Avaliação da Segurança da Informação no âmbito da APF Pedro Coutinho Filho Sefti Brasília, 17 de maio de 2013 www.tcu.gov.br/fiscalizacaoti 2 da TI o Levantamento IGovTI o Objetivos Agenda o Principais

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós!

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós! Prezado Colaborador, O conteúdo desta cartilha tem como objetivo compartilhar alguns conceitos relacionados ao tema Segurança da Informação. Além de dicas de como tratar os recursos e as informações corporativas

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Atual gestor de TI do COREN-SP, com atuação em desenvolvimento de sistemas, infraestrutura de TI, suporte técnico e digitalização.

Atual gestor de TI do COREN-SP, com atuação em desenvolvimento de sistemas, infraestrutura de TI, suporte técnico e digitalização. 28/06/2013 André Luís Coutinho Bacharel em Sistemas de Informações pela Faculdade Politécnica de Jundiaí Pós-graduado em Gestão Estratégica da Tecnologia da Informação pelo IBTA MBA em Gestão Executiva

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES SETEMBRO 2013 Sumário 1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES DO MINISTÉRIO

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto José Geraldo Loureiro Rodrigues Orientador: João Souza Neto Análise dos três níveis: Governança Corporativa Governança de TI Gerenciamento da Área de TI ORGANIZAÇÃO Governança Corporativa Governança

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo )

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) A Política de segurança da informação, na A EMPRESA, aplica-se a todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados

Leia mais

PORTARIA N. 8.604, de 05 de novembro de 2013.

PORTARIA N. 8.604, de 05 de novembro de 2013. PORTARIA N. 8.604, de 05 de novembro de 2013. Altera a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE DO, no uso de suas atribuições legais e

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO:

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO: SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicações da Universidade Federal

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

NORMA ESTRATÉGICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)

NORMA ESTRATÉGICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) NORMA ESTRATÉGICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) gestora do normativo Comitê de responsável pela conformidade Secretaria Geral - SEGER Coordenação de Processos e Conformidade - COPEC Numeração

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

POLÍTICA DE CONTROLE DE ACESSO

POLÍTICA DE CONTROLE DE ACESSO 1700/2015 - Segunda-feira, 06 de Abril de 2015 Tribunal Regional do Trabalho da 18ª Região 1 FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Como posso permitir um acesso conveniente e seguro ao Microsoft SharePoint?

Como posso permitir um acesso conveniente e seguro ao Microsoft SharePoint? RESUMO DA SOLUÇÃO Solução de segurança do SharePoint da CA Technologies Como posso permitir um acesso conveniente e seguro ao Microsoft SharePoint? agility made possible A solução de segurança do SharePoint

Leia mais

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação ORIGEM e Comunicações Departamento de Segurança da Informação e

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

PORTARIA Nº 1.063, DE 04 DE MARÇO DE 2016.

PORTARIA Nº 1.063, DE 04 DE MARÇO DE 2016. PORTARIA Nº 1.063, DE 04 DE MARÇO DE 2016. Altera os Anexos 1 e 3 da Portaria nº 4.772/2008, a qual institui a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região.

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Avaliação de um Sistema de Gestão de Identidade e Acesso em uma Organização Pública Federal

Avaliação de um Sistema de Gestão de Identidade e Acesso em uma Organização Pública Federal Avaliação de um Sistema de Gestão de Identidade e Acesso em uma Organização Pública Federal Yuri Feitosa Negócio 1, Felipe P. de Assumpção Santiago 1, Laerte Peotta de Melo 2 1 Empresa de Tecnologia e

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO ANEXO ÚNICO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SECRETARIA DE ESTADO DE PLANEJAMENTO E ORÇAMENTO DO DISTRITO FEDERAL (PoSIC/SEPLAN) Sumário OBJETIVO... 2 DO ESCOPO DA POLÍTICA... 2 DOS CONCEITOS

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Orientações para contratação de SIGAD e serviços correlatos

Orientações para contratação de SIGAD e serviços correlatos Conselho Nacional de Arquivos Câmara Técnica de Documentos Eletrônicos Orientação Técnica n.º 1 Abril / 2011 Orientações para contratação de SIGAD e serviços correlatos Este documento tem por objetivo

Leia mais

FERNANDO BRACALENTE GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM REDE CORPORATIVA LOCAL ANALISANDO VULNERABILIDADES TÉCNICAS E HUMANAS.

FERNANDO BRACALENTE GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM REDE CORPORATIVA LOCAL ANALISANDO VULNERABILIDADES TÉCNICAS E HUMANAS. FERNANDO BRACALENTE GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM REDE CORPORATIVA LOCAL ANALISANDO VULNERABILIDADES TÉCNICAS E HUMANAS. Trabalho apresentado à Faculdade de Vinhedo para a obtenção do grau de Bacharel

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17.

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17. REGULAMENTO INTERNO DO USO E ADMINISTRAÇÃO DOS RECURSOS COMPUTACIONAIS E DA REDE DA FACULDADE PROCESSUS CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Este ato tem como objetivo definir o uso e administração

Leia mais

Crescendo e Inovando com um Parceiro Confiável de Suporte

Crescendo e Inovando com um Parceiro Confiável de Suporte IBM Global Technology Services Manutenção e suporte técnico Crescendo e Inovando com um Parceiro Confiável de Suporte Uma abordagem inovadora em suporte técnico 2 Crescendo e Inovando com um Parceiro Confiável

Leia mais

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP Título : Política institucional de segurança da informação. Capítulo : Índice Seção : Capítulo Seção Item Descrição 3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor Gestão e Governança de TI Modelo de Governança em TI Prof. Marcel Santos Silva PMI (2013), a gestão de portfólio é: uma coleção de projetos e/ou programas e outros trabalhos que são agrupados para facilitar

Leia mais

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL 15/IN01/DSIC/GSIPR 00 11/JUN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

igovti e Classificação da Informação

igovti e Classificação da Informação igovti e Classificação da Informação André Luiz Furtado Pacheco, CISA Secretaria de Fiscalização de TI/TCU Brasília, 2 de outubro de 2014 Agenda 1. igovti 2. Classificação da Informação 3. Conclusão 2

Leia mais

Os dispositivos e sistemas computacionais não podem ser facilmente controlados com dispositivos físicos como alarmes, guardas, etc...

Os dispositivos e sistemas computacionais não podem ser facilmente controlados com dispositivos físicos como alarmes, guardas, etc... $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &RQWUROHGH$FHVVR

Leia mais

$XGLWRULDé uma atividade que engloba o exame das operações, processos,

$XGLWRULDé uma atividade que engloba o exame das operações, processos, $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Como posso obter o gerenciamento de identidades e acesso como um serviço na nuvem?

Como posso obter o gerenciamento de identidades e acesso como um serviço na nuvem? RESUMO DA SOLUÇÃO CA CloudMinder Como posso obter o gerenciamento de identidades e acesso como um serviço na nuvem? agility made possible O CA CloudMinder fornece recursos de gerenciamento de identidades

Leia mais

Auditoria de Sistemas. UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima

Auditoria de Sistemas. UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima Auditoria de Sistemas UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima Auditoria É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Soluções da CA Technologies para conformidade da segurança de informações de justiça criminal

Soluções da CA Technologies para conformidade da segurança de informações de justiça criminal DOCUMENTAÇÃO TÉCNICA outubro de 2014 Soluções da CA Technologies para conformidade da segurança de informações de justiça criminal William Harrod Consultor de estratégia de segurança cibernética do setor

Leia mais

ANEXO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DE AUTORIDADE PÚBLICA OLÍMPICA

ANEXO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DE AUTORIDADE PÚBLICA OLÍMPICA ANEXO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DE AUTORIDADE PÚBLICA OLÍMPICA 1. Escopo 1.1 A Política de Segurança da Informação e Comunicações da Autoridade Pública Olímpica (POSIC/APO) é uma

Leia mais

Evolução dos Sistemas de Informação nas Organizações

Evolução dos Sistemas de Informação nas Organizações Evolução dos Sistemas de Informação nas Organizações Cristiane Mello 1, Maria F. Marinho 1, Antônio Luiz S. Cardoso 1,2 1 Escola de Administração Universidade Federal da Bahia (UFBA) 41.100-903 Salvador

Leia mais

Segurança do SharePoint em ação: melhores práticas orientam a colaboração segura. agility made possible

Segurança do SharePoint em ação: melhores práticas orientam a colaboração segura. agility made possible Segurança do SharePoint em ação: melhores práticas orientam a colaboração segura agility made possible Um dos aplicativos mais amplamente implantados em uso atualmente, o Microsoft SharePoint Server, conquistou

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ABNT 21:204.01-010 A Política de segurança da informação, na FK EQUIPAMENTOS, aplica-se a todos os funcionários, prestadores de serviços, sistemas e

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais