RENATA MICHELE CORRÊA UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM UMA EMPRESA PRIVADA

Tamanho: px
Começar a partir da página:

Download "RENATA MICHELE CORRÊA UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM UMA EMPRESA PRIVADA"

Transcrição

1 RENATA MICHELE CORRÊA UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM UMA EMPRESA PRIVADA LAVRAS MG 2014

2 RENATA MICHELE CORRÊA UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM UMA EMPRESA PRIVADA Monografia apresentada ao Colegiado do Curso de Sistemas de Informação, para a obtenção do título de Bacharel em Sistemas de Informação. Área de Concentração: Segurança da Informação Orientador: Prof. Rêmulo Maia Alves LAVRAS - MG 2014

3 RENATA MICHELE CORRÊA UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM UMA EMPRESA PRIVADA Monografia apresentada ao Colegiado do Curso de Sistemas de Informação, para a obtenção do título de Bacharel em Sistemas de Informação. LAVRAS - MG 2014

4 AGRADECIMENTOS À Deus primeiramente, por ter sempre me mostrado claramente os caminhos e me ajudado em todos os aspectos da minha vida, me abençoando sempre. Ao meu orientador Rêmulo Maia Alves, que com seu conhecimento e sabedoria colaborou enormemente durante a elaboração deste trabalho, obrigada por tudo. Ao pessoal do DGTI, que durante toda a minha graduação dividiram comigo suas experiências e me ensinaram muito, o que contribuiu para minha formação pessoal e profissional. Em especial, Clayton Ferreira Santos que colaborou imensamente para este trabalho. À minha irmã Sheila e seu esposo Edgar por acreditarem na minha capacidade me dando a possibilidade da concretização de um sonho, e pela gentileza de ajudar-me em minha pesquisa. À minha família por participar de toda essa caminhada, me apoiando sempre, e me dando força para continuar e não desistir. Em especial a minha mãe, que sempre cuidou e me amou incondicionalmente, estando sempre presente em todos os momentos de minha vida. Ao meu namorado Diego, que esteve cada segundo ao meu lado não me deixando desanimar e me dando todo seu amor. Pela sua paciência e compreensão nos meus momentos difíceis e por partilhar comigo a sua vida. Obrigada meu amor, por tudo. Aos amigos que me acompanharam durante essa caminhada longa e cheia de desafios. Por fim, agradeço a todos que não citei aqui, mas que colaboraram direta ou indiretamente.

5 RESUMO A Segurança da Informação se tornou um ponto crucial para a sobrevivência das empresas no mercado, dado ao aumento no uso da internet e no crescimento desenfreado de novas tecnologias. Este trabalho monográfico apresenta um estudo de caso sobre a Gestão de Segurança da informação em uma empresa privada, onde foram analisados os objetivos de controle e controles relacionados à segurança da informação. Foram coletadas as informações por meio de visitas ao local, e tiradas fotos de falhas de segurança. São apresentados os principais problemas, e sugerem-se soluções para os principais pontos problemáticos encontrados. São feitas análises quanto à conformidade da gestão da segurança da informação da empresa em relação às normas da família ISO 27000, sobretudo as normas ABNT NBR ISO/IEC Sistemas de Gestão de Segurança da Informação Requisitos, ABNT NBR ISO/IEC Código de Prática para a Gestão de Segurança da informação, ABNT NBR ISO/IEC Gestão de risco de segurança da informação e demais modelos e métodos de gestão de risco e segurança da informação. Por fim, foi elaborado um relatório com base na gestão de riscos. Palavras-chave: Segurança da Informação, Gestão da Segurança da Informação, ISO/IEC 27001:2006, ISO/IEC 27002:2005, ISO/IEC 27005:2008.

6 ABSTRACT Information security has become a crucial point for the survival of companies in the market, given the increasing use of the Internet and the rampant growth of new technologies. This monograph presents a case study about the information security management in a private company, the control objectives and controls related to information security were analyzed. Information through site visits was collected and photos were taken from security flaws. The main problems are presented, and it is suggested solutions to the major problematic points found. Analyses are made about the conformity of the company information security management in relation to ISO family standards, particularly ABNT NBR ISO/IEC Information Security Management Systems Requirements, ABNT NBR ISO/IEC Code of Practice for Information Security Management, ABNT NBR ISO/IEC Risk management and information security models, and other risk management and information security methods. Finally, a report was produced based on the risk management. Keywords: Information Security, Information Security Management, ISO/IEC 27001:2006, ISO/IEC 27002:2005, ISO/IEC 27005:2008.

7 LISTA DE FIGURAS Figura 1: Quadro de Ameaças... 8 Figura 2: Composição dos Riscos Figura 3: PDCA Figura 4: Processo de Gestão de Riscos de Segurança da Informação Figura 5: Organograma Geral Figura 6: Organograma TI... 30

8 LISTA DE QUADROS Quadro 1: Análise SWOT Quadro 2: Controles selecionados do COBIT Quadro 3: Controles da Norma ABNT NBR

9 LISTA DE GRÁFICOS Gráfico 1: Distribuição dos Ativos Gráfico 2: Impactos Gráfico 3: Quantidade de Riscos Gráfico 4: Riscos Residuais... 47

10 LISTA DE ABREVIATURAS E SIGLAS ABNT COBIT ERP IEC ISACF ISO ITGI ITIL NBR PDCA SGSI TI Associação Brasileira de Normas Técnicas Control Objectives for Information and Related Technology Enterprise Resource Planning International Electrotechnical Comission Information Systems Audit and Control Foundation International Organization for Standardization The IT Governance Institute Information Technology Infrastructure Library Norma Brasileira Planejamento, Execução, Controle e Ação Sistema de Gestão de Segurança da Informação Tecnologia da Informação

11 SUMÁRIO 1 INTRODUÇÃO Motivação Objetivos Estrutura do Trabalho SEGURANÇA DA INFORMAÇÃO Considerações iniciais Visão Geral Princípios da Segurança da Informação Vulnerabilidades Ameaças à Segurança da Informação Tipos de Ameaças Mecanismos de proteção Política de Segurança da Informação Avaliação de Riscos A Segurança física Gestão de Riscos Segurança da Informação e sua importância dentro do ambiente empresarial COBIT (Control Objectives for Information and Related Technology) Os critérios de informação do COBIT Características do COBIT Tipos de Controle Medições Modelo de maturidade do COBIT Normas ABNT NBR ISO/IEC da série Considerações Iniciais ABNT NBR ISO/IEC ABNT NBR ISO/IEC ABNT NBR ISO/IEC Política de Segurança da Informação Características e benefícios da política METODOLOGIA Tipos de Pesquisa Procedimentos Metodológicos Missão Caracterização da empresa Definição do Escopo do projeto Análise SWOT Pontos positivos da empresa... 32

12 3.6.2 Pontos negativos da empresa Fatores críticos Gestão de Riscos RESULTADOS OBTIDOS CONSIDERAÇÕES FINAIS REFERÊNCIAS BIBLIOGRÁFICAS APÊNDICE A: Política de Segurança APÊNDICE B: Relatório Final para a empresa APÊNDICE C: Sugestão de Controles do COBIT APÊNDICE D: Sugestão de Controles da Norma APÊNDICE E: Termo de Aceitação dos Riscos ANEXO A: Fotos ANEXO B: Termo de Confidencialidade

13 1 1. INTRODUÇÃO A Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Definir, alcançar, manter e melhorar a segurança da informação pode ser atividade essencial para assegurar a competitividade da empresa no mercado (ABNT NBR ISO/IEC 27002, 2005). A Segurança da informação se tornou alvo de discussões em todo o mundo. Nas pequenas e médias empresas a Segurança é ainda menor por falta de pessoal qualificado, e falta de adoção de medidas preventivas. A tecnologia está presente em todas as atividades de hoje em dia, e o diferencial das empresas é poder dar ao cliente e fornecedores um nível adequado de Segurança. Segundo CARVALHO (2013), o problema da Segurança está relacionado com as vulnerabilidades não tratadas, ou seja, produtos mal configurados, software desatualizados, profissionais sem treinamento ou com treinamento falho, funcionários sem comprometimento e à falta de uma política de Segurança. É preciso que as empresas se conscientizem que a tecnologia sozinha não vai resolver o problema da segurança, e é preciso qualificar os profissionais e estruturar os processos. As normas mais utilizadas para buscar a eficiência na segurança são as internacionais da ISO (International Organization for Standardization) ou ISO/IEC (International Organization for Standardization/ International Electrotechnical Comission). A empresa na qual se realizou o estudo de caso preferiu não ser identificada, ela restringiu e manteve sigilo a algumas informações. Assim adotou-se como pseudônimo Anonimous Corporation para preservar o objeto de estudo. A justificativa para este trabalho manifesta-se na importância de se

14 2 avaliar como está estabelecida a Gestão de Segurança da informação na empresa Anonimous Corporation. Há 50 anos no mercado, a empresa hoje, encontra-se defasada em relação às outras empresas que estão atentas as novas tecnologias e a importância da segurança de suas informações. Este trabalho tem como principal objetivo auxiliar a empresa nos seus pontos negativos e, colaborar com sugestões de melhoria cabíveis dentro das normas da família NBR ISO/IEC A proposta é tentar entender bem o negócio da organização e suas relações internas e externas, e a partir daí fazer uma Gestão de Riscos. No contexto empresarial, é necessário estar atento à segurança dos dados para evitar o retrabalho e possíveis prejuízos à empresa. Portanto, as organizações devem satisfazer os requisitos de qualidade, guarda e segurança de suas informações, bem como de todos seus bens. Os executivos devem também otimizar o uso dos recursos de TI disponíveis, incluindo os aplicativos, informações, infraestrutura e pessoas. Para cumprir essas responsabilidades, bem como atingir seus objetivos, os executivos devem entender o estágio atual de sua arquitetura de TI e decidir que governança e controle ela deve prover (ITGI, 2007 p. 7).

15 3 1.1 Motivação Pode-se considerar como motivação para a concretização deste trabalho: Entendimento mais aprofundado das normas. Avaliar como está estabelecida a Gestão de Segurança da Informação no setor de TI da empresa Anonimous Corporation. Conscientização dos responsáveis da empresa quanto à importância da Gestão da Informação. Maior conhecimento do ambiente empresarial, principalmente do setor TI. 1.2 Objetivos O objetivo principal deste estudo é apresentar um estudo de caso sobre a Gestão de Segurança da informação no setor de TI em uma empresa privada. Este estudo será realizado com o auxílio das normas ABNT ISO/IEC da série e o COBIT. Como resultado, pretende-se propor um relatório a empresa objeto deste estudo com melhoria nas boas práticas de segurança da informação. Para que isso ocorra, como objetivos específicos, são definidos os seguintes passos: Fazer a análise de Gestão de Risco da empresa; Apresentar a Segurança da Informação e sua importância dentro do ambiente empresarial; Apresentar as características das normas da série 27000; Apresentar as características do COBIT; Observar e analisar os controles de segurança da informação encontrados na organização relativos à política de segurança da informação, tendo como base o disposto nas normas da série 27000;

16 4 Analisar fatores críticos de sucesso à Gestão de Segurança da Informação na empresa, como por exemplo, o apoio da alta administração, a participação de todas as áreas e a conscientização e capacitação em Segurança da Informação; Propor um relatório de melhoria das boas práticas de Gestão de Segurança da informação; 1.3 Estrutura do Trabalho Este trabalho encontra-se organizado em seis capítulos, sendo os próximos descritos a seguir. No Capítulo 1 deste trabalho são apresentados a motivação e os objetivos. No Capítulo 2 é apresentada uma revisão bibliográfica do assunto que será abordado, os Princípios da Segurança da Informação na Seção 2.3, Vulnerabilidades na Seção 2.4, Ameaças a Segurança da Informação na Seção 2.5, mecanismos de proteção na Seção 2.6 e uma breve introdução da Gestão de Riscos e Importância da Segurança no ambiente empresarial na Seção 2.7 e 2.8. Na Seção 2.10 são apresentadas as normas da série 27000, e no Capítulo 3 é feita uma análise da organização. Os resultados obtidos, as considerações finais e sugestões de trabalhos futuros se encontram respectivamente nos Capítulos 4, 5 e 6.

17 5 2. SEGURANÇA DA INFORMAÇÃO 2.1 Considerações Iniciais Neste capítulo, será apresentado o referencial teórico que serviu como base para este estudo. Foram reunidos os conceitos e definições de Segurança da Informação, classificação da informação, a importância da Segurança da Informação no contexto empresarial e os tipos de Segurança. Em seguida, são descritos os princípios, vulnerabilidades, ameaças, tipos de ameaças, os mecanismos de proteção, a segurança física e o controle de acesso. 2.2 Visão Geral Boran (1996) e Abreu (2001) classificam a informação em níveis de prioridade, respeitando a necessidade de cada empresa assim como a importância da classe de informação para a manutenção das atividades da empresa: Pública: Informação que pode vir a público sem maiores consequências ao funcionamento normal da empresa, e cuja integridade não é vital. Interna: O acesso livre a este tipo de informação deve ser evitado, embora as consequências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital. Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo. Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser

18 6 restrito a um número reduzido de pessoas. A segurança desse tipo de informação é vital para a companhia. A Segurança da Informação é a área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. Os ativos são recursos, pessoas, bens e serviços, que a empresa possui e que geram receita (SÊMOLA, 2003). A Segurança da Informação é um ponto importante, pois ela defende um dos principais ativos das organizações, suas informações. Há uma enorme necessidade de garantir a segurança deste ativo. Entretanto, ainda hoje a segurança é tratada de maneira superficial por grande parte das organizações. Não recebendo a devida importância e sem a definição de uma boa estratégia de segurança, são utilizadas técnicas parciais ou incompletas que podem aumentar a vulnerabilidade da organização (NAKAMURA; GEUS, 2007). A mudança e o crescimento da tecnologia dos computadores tomam conta dos ambientes de escritório, quebram o paradigma e chegam a qualquer lugar do mundo, através dos computadores portáteis e da rede mundial de computadores: a Internet (SÊMOLA, 2003). Como a Internet, a segurança da informação também evoluiu. Saiu da área da TI, onde se preocupava em ter um sistema de antivírus, um firewall configurado, para um nível de gestão que precisa investir e desenvolver pessoas e processos. A segurança é um tema amplo e vem sendo discutida por muitos especialistas, e é possível afirmar que nada está totalmente seguro (GABBAY, 2003, p. 14).

19 7 2.3 Princípios da Segurança da Informação Segundo Albuquerque (2002) e Krause (1999) há três princípios básicos para garantir a segurança da informação: Confidencialidade: A informação somente pode ser acessada por pessoas explicitamente autorizadas. É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso. Disponibilidade: A informação deve estar disponível no momento em que a mesma for necessária. Integridade: A informação deve ser recuperada em sua forma original (no momento em que foi armazenada). É a proteção dos dados ou informações contra modificações intencionais ou acidentais não autorizadas. 2.4 Vulnerabilidades Uma vulnerabilidade é um defeito ou fraqueza no design ou na implementação de um sistema de informações (incluindo procedimentos de segurança e controles de segurança associados ao sistema), que pode ser intencionalmente ou acidentalmente explorada, afetando a confidencialidade, integridade ou disponibilidade (ROSS, 2005). A vulnerabilidade precisa de investigação e ser tratada de forma prioritária, pois pode acarretar prejuízos se explorada por terceiros mal intencionados.

20 8 2.5 Ameaças à Segurança da Informação Ameaça são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio de exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, consequentemente, causando impactos aos negócios de uma organização (SÊMOLA, 2003) Tipos de Ameaças As ameaças de segurança podem ser divididas em ameaças humanas e ameaças naturais causadas por desastres da natureza conforme ilustrado na Figura 1. As Ameaças humanas podem ser intencionais, ou seja, provocadas de propósito, e ameaças não intencionais provocados por treinamento falho, por exemplo. Figura 1: Quadro de Ameaças. Fonte: SÊMOLA, 2003.

21 9 2.6 Mecanismos de proteção Política de Segurança da Informação O objetivo da Política de Segurança da informação é fornecer orientação e apoio às ações da Gestão de Segurança da informação sobre os requisitos de negócios e as leis e regulamentos pertinentes. A gerência deve estabelecer uma política clara e de acordo com os objetivos do negócio, e demonstrar seu apoio e comprometimento com a segurança da informação através da publicação e manutenção de uma Política de Segurança da informação para toda a organização (ISO/IEC 27002, 2005, p.12). A Política de Segurança atribui direito e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações nelas armazenadas. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. Uma Política de Segurança também deve prever o que pode ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a Política de Segurança pode ser considerado um incidente de segurança. Na Política de Segurança também são definidas as penalidades as quais estão sujeitos àqueles que não cumprirem a política (CERT.BR, 2005) Avaliação de riscos Riscos é probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impacto nos negócios (SÊMOLA, 2003). As medidas de segurança reduzem esses impactos, protegem o negócio que é baseado em

22 10 informações que estão sujeitas as vulnerabilidades, conforme a Figura 2, que mostra a composição dos riscos. Figura 2: Composição do Risco. Fonte: SÊMOLA, A segurança física A segurança física e do ambiente é manter a área de trabalho segura de interferências, a norma ISO/IEC traz algumas boas práticas que auxiliam nessa segurança. Segundo a norma ISO/IEC 27002, 2005, p.47:

23 11 Para a segurança física e de ambiente, o objetivo é impedir o acesso físico não autorizado, dano ou interferência nas instalações e informações da organização. Os serviços de processamento de informações sensíveis devem ser realizados em áreas seguras e protegidas, em um perímetro de segurança definido por barreiras e controles de entrada adequada. Estas áreas devem ser fisicamente protegidas contra acesso não autorizado, danos e interferências. A proteção fornecida deve ser proporcional aos riscos identificados. Para evitar a perda, dano, roubo ou comprometimento de ativos e interrupção das atividades da organização, os equipamentos devem ser protegidos contra ameaças físicas e ambientais. A proteção dos equipamentos é necessária para reduzir o risco de acesso não autorizado à informação e à proteção contra perda ou roubo. Da mesma forma, deve-se a considerar controles especiais para proteção contra ameaças contra estruturas físicas e a garantia de serviços como eletricidade e infraestrutura local. 2.7 Gestão de Riscos Para identificar o risco é necessário especificar todas as ameaças e vulnerabilidades que podem afetar a segurança dos sistemas de informação em todo o seu ciclo de vida (HAMPSHIRE; TOMIMURA, 2004). A implementação da metodologia de avaliação dos riscos envolve a identificação dos ativos, das ameaças, das vulnerabilidades e dos riscos, avaliando e selecionando medidas de segurança para reduzir os riscos e para implementar medidas que assegurem a segurança (VELLANI, 2006). Com a implementação da metodologia de avaliação de riscos, é possível aumentar a eficiência operacional reduzindo assim as perdas, fraudes, falhas, acidentes, conduzindo a organização à melhoria dos seus processos (MAYER; FAGUNDES, 2008). A avaliação de riscos procura identificar os riscos de segurança envolvidos com a confiança em um sistema definido. Com base no entendimento de alguns fatores como os ativos, as ameaças e as vulnerabilidades são possíveis identificar a exposição a um risco (VELLANI, 2006).

24 Segurança da Informação e sua importância dentro do ambiente empresarial Os incidentes de segurança têm aumentado em todo o mundo, sendo os ataques de hackers não limitados mais as empresas. De acordo com a Pesquisa Global de Segurança de Informação (PWC do Brasil, 2013), a maioria dos executivos de vários setores empresariais no mundo, inclusive no Brasil, se sentem confiantes com relação à segurança. E dizem que, para competir no mercado é preciso alinhamento, liderança e profissionais treinados, além disso, estratégia inteligente, tecnologia apropriada e atenção aos concorrentes. Segundo Netto e Vidal. (2004), à medida que as empresas foram tornando-se dependentes da tecnologia, mais vulneráveis ficaram a crimes e fraudes. Toda organização tem processo produtivo ou serviço, clientes, funcionários, acesso à internet, dados confidenciais e pontos críticos que interessam a agentes mal intencionados ou a terceiros. Algumas questões podem ajudar a esclarecer a importância da segurança da informação: Quanto custa para a empresa um dia de parada? Uma entrega atrasada? Qual o impacto financeiro em perder um cliente responsável por uma linha de produção? Em enviar produção sem laudo da Qualidade? Do fechamento do mês sem apuração do custo de produção? Como produzir sem ordem/controle de produção? Alguns funcionários ainda preocupam-se apenas com aspectos relacionados à segurança dos ativos tecnológicos, quando na verdade a segurança da informação depende também de fatores humanos, de processos. Mesmo sob as constatações acima explicitadas, os funcionários consideram que, ainda que de forma reativa, a segurança da informação na empresa consegue na maioria do tempo manter a integridade, disponibilidade e a confidencialidade das informações organizacionais (GUALBERTO, 2010).

25 COBIT (Control Objectives for Information and Related Technology) A governança de TI pode ser entendida como a autoridade e responsabilidade pelas decisões referentes ao uso de TI. A administração de TI, com seus processos de planejamento, organização, direção e controle, tem como objetivo garantir a realização bem-sucedida dos esforços para o uso de TI, desde a sua definição com o alinhamento estratégico, influenciado pelo contexto, até a mensuração dos seus impactos no desempenho empresarial. Ela não deve ser realizada apenas pelos executivos dessa área, mas como uma responsabilidade organizacional pelos executivos de negócio, que têm participação decisiva no seu sucesso (SCHEIN, 1989). Segundo Fagundes (2004) o COBIT é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation). Inclui recursos tais como, sumário executivo, framework, controle de objetivos, mapas de auditoria, conjunto de ferramentas de implementação e guia com técnicas de gerenciamento. As práticas de gestão do COBIT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados. O COBIT (2007) tem um conjunto de ferramentas eficazes focadas no controle dos processos, dando o diagnóstico do que fazer, mas não como fazer, questão que terá de ser resolvida com a ajuda das melhores práticas de outras metodologias. É um modelo abrangente, sua utilização independe da plataforma de TI utilizada, ou ramo da empresa. O COBIT é um instrumento de apoio para desenhar, melhorar ou auditar processos, dizendo o que o processo deve ter. O COBIT é composto por quatro áreas distintas (Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte, Monitoração e Suporte). Em cada uma destas áreas é definida uma série de processos que visam garantir o controle de todas as etapas. O COBIT possui 34 objetivos de controle

26 14 de alto nível e 215 objetivos de controle detalhados (processos), sendo atualmente o framework mais completo para Governança de TI. O COBIT também orienta sobre as melhores práticas de gestão para cada área da organização de TI. Entretanto, o COBIT não descreve detalhadamente os procedimentos, mesmo porque cada organização tem suas próprias características. (ITGI, 2007) Os critérios de informação do COBIT: Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles, aos quais o COBIT denomina necessidades de informação da empresa. Baseado em abrangentes requisitos de qualidade, guarda e segurança, sete critérios de informação distintos e sobrepostos são definidos. Os critérios de informação são efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade, confiabilidade (COBIT, 2007). Efetividade: a informação deve ser entregue de forma correta, consistente e em formato útil. Eficiência: a informação deve ser provida por meio do uso otimizado dos recursos. Confidencialidade: informação deve ser protegida contra acesso não autorizado. Integridade: precisão e completude de informações. Disponibilidade: informações disponíveis sempre que necessário. Conformidade: informação deve obedecer a leis, regulamentos e cláusulas contratuais aos quais os processos de negócio estão sujeitos. Confiabilidade: informações adequadas para que a organização exercite suas atividades de negócio.

27 Características do COBIT: De acordo com o ITGI (2007), as características do COBIT são: Foco no negócio: alinhamento entre objetivos de negócio e objetivos de TI. Orientação a processos: organização das atividades de TI em um modelo de processos. Baseado em controles: definição de objetivos de controle a serem considerados ao gerenciar os processos. Direcionado a medições: uso de indicadores e modelos de maturidade Tipos de Controle Controles gerais devem ser considerados juntamente com os objetivos de controle, para ter uma visão completa dos requisitos de controle para os processos de TI: Controles gerais de processos (Process Controls PCs) Controles gerais de aplicação (Application Controls ACs) Objetivos de controle: Específicos para cada processo (incluindo os detalhados do COBIT). Práticas de controle (implantação de objetivos de controle): mecanismos de controle que suportam o alcance dos objetivos de controle, por meio do uso responsável de recursos, gerenciamento adequado dos riscos e alinhamento da TI aos objetivos de negócio (ITGI, 2007).

28 Medições De acordo com o ITGI (2007), os níveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelas organizações, esses níveis não estabelece patamares evolutivos, onde não se pode alcançar um nível superior sem antes passar pelos inferiores. A partir dos níveis de maturidade descritos para cada um dos 34 processos, é possível identificar: O desempenho real da organização (onde se encontra a organização atualmente) A situação atual de organizações similares Os avanços possibilitados pelos padrões e modelos disponíveis no mercado A meta para melhoria do processo da organização (onde gostaria de chegar) Modelo de maturidade do COBIT De acordo com o ITGI (2007), no COBIT, existe uma forma que auxilia os gestores saber como sua organização se situa no mercado, em relação aos concorrentes, as melhores práticas existentes e identificar o que é necessário para alcançar um nível de gestão adequado para os processos de TI. Para cada processo de TI é relacionado um dos níveis do modelo de maturidade: Não existente: Carência completa de qualquer processo reconhecido. Inicial: À organização reconhece que tem problemas, porém os mesmos são resolvidos pontualmente, sem padronização. Repetido: Os problemas são resolvidos com envolvimento da TI, inclusive o nível de gerência. Porém não existe um processo

29 17 definido, tendo práticas Governança como meta. As informações concentram-se nos indivíduos. Definido: Definido e documentado uma estrutura de processo para supervisão da gerência, baseado nos princípios das boas práticas. Administrado: Nesta etapa são tomadas ações corretivas quando existem desvios dos objetivos. Os processos estão seguindo seu fluxo normal, e podem ocorrer melhorias nestes, quando necessário. Otimizado: Boas práticas de governança são seguidas. Há uma harmonia entre a TI e objetivos da empresa existindo um controle efetivo das estratégias de TI Normas ABNT NBR ISO/IEC da série Considerações Iniciais Este capítulo apresenta características das normas ISO/IEC da série 27000, o que cada norma enfatiza. A ISO/IEC 27001: Sistema de Gestão de Segurança da Informação especifica requerimentos para estabelecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. A norma utiliza o PDCA como princípio da norma e é certificável para empresas, o PDCA (Planejar-Executar-Verificar- Agir, do inglês: PLAN - DO - CHECK - ACT) é um método iterativo de gestão de quatro passos, utilizado para o controle e melhoria contínua de processos e produtos. A ISO/IEC 27002: Código de Melhores Práticas para a Gestão de Segurança da Informação - mostra o caminho de como alcançar os controles certificáveis na ISO Essa ISO é certificável para profissionais e não para empresas. A ISO/IEC 27005: Gestão de Riscos de Segurança da Informação - é responsável por todo ciclo de controle de riscos na organização,

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Governança de TI: O que é COBIT?

Governança de TI: O que é COBIT? Governança de TI: O que é COBIT? Agenda Governança de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências Governança de

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

Carlos Henrique Santos da Silva

Carlos Henrique Santos da Silva GOVERNANÇA DE TI Carlos Henrique Santos da Silva Mestre em Informática em Sistemas de Informação UFRJ/IM Certificado em Project Management Professional (PMP) PMI Certificado em IT Services Management ITIL

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Engenharia de Software Qualidade de Software

Engenharia de Software Qualidade de Software Engenharia de Software Qualidade de Software O termo qualidade assumiu diferentes significados, em engenharia de software, tem o significado de está em conformidade com os requisitos explícitos e implícitos

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY)

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com COBIT Um kit de ferramentas para a excelência na gestão de TI Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Tópicos Especiais. Núcleo de Pós Graduação Pitágoras

Tópicos Especiais. Núcleo de Pós Graduação Pitágoras Núcleo de Pós Graduação Pitágoras Professor: Fernando Zaidan Disciplina: Arquitetura da Informática e Automação MBA Gestão em Tecnologia da Informaçao 1 Tópicos Especiais Novembro - 2008 2 Referências

Leia mais

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 ISO: Organização de Padronização Internacional: ISO 9001 e 14001; IEC: Comissão Eletrotécnica Internacional: IEC 60950-1 (ITE:

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Núcleo de Pós Graduação Pitágoras. Tópicos Especiais

Núcleo de Pós Graduação Pitágoras. Tópicos Especiais Núcleo de Pós Graduação Pitágoras Professor: Fernando Zaidan Disciplina: Arquitetura da Informática e Automação MBA Gestão em Tecnologia da Informaçao Tópicos Especiais Junho - 2008 Referências Acessos

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Surgimento da ISO 9000 Introdução ISO 9000 ISO 9001 serviços 1. ABNT NBR ISO 9000:2000 (já na versão 2005):

Surgimento da ISO 9000 Introdução ISO 9000 ISO 9001 serviços 1. ABNT NBR ISO 9000:2000 (já na versão 2005): Surgimento da ISO 9000 Com o final do conflito, em 1946 representantes de 25 países reuniram-se em Londres e decidiram criar uma nova organização internacional, com o objetivo de "facilitar a coordenação

Leia mais

IMPACTO NA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799 PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM COLÉGIOS: UM ESTUDO DE CASO

IMPACTO NA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799 PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM COLÉGIOS: UM ESTUDO DE CASO ! "#$ " %'&)(*&)+,.- /10.2*&4365879&4/1:.+58;.2*=?5.@A2*3B;.- C)D 5.,.5FE)5.G.+ &4- (IHJ&?,.+ /?=)5.KA:.+5MLN&OHJ5F&4E)2*EOHJ&)(IHJ/)G.- D - ;./);.& IMPACTO NA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Número do Recibo:83500042

Número do Recibo:83500042 1 de 21 06/06/2012 18:25 Número do Recibo:83500042 Data de Preenchimento do Questionário: 06/06/2012. Comitête Gestor de Informática do Judiciário - Recibo de Preenchimento do Questionário: GOVERNANÇA

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

Agenda. Visão Geral Alinhamento Estratégico de TI Princípios de TI Plano de TI Portfolio de TI Operações de Serviços de TI Desempenho da área de TI

Agenda. Visão Geral Alinhamento Estratégico de TI Princípios de TI Plano de TI Portfolio de TI Operações de Serviços de TI Desempenho da área de TI Governança de TI Agenda Visão Geral Alinhamento Estratégico de TI Princípios de TI Plano de TI Portfolio de TI Operações de Serviços de TI Desempenho da área de TI Modelo de Governança de TI Uso do modelo

Leia mais

Governança de TIC. CobiT 4.1

Governança de TIC. CobiT 4.1 Governança de TIC CobiT 4.1 Conceitos Governança: A expressão governar tem origem na expressão navegar... E o que quem navega faz? Ele faz um mapa, dá a direção, faz as regras de convivência. Tomáz de

Leia mais

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit.

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 2 Regras e Instruções: Antes de começar a fazer a avaliação leia as instruções

Leia mais

Vital para a Competitividade da sua Organização

Vital para a Competitividade da sua Organização ISO 27001 Segurança da Informação Vital para a Competitividade da sua Organização Quem Somos? Apresentação do Grupo DECSIS Perfil da Empresa Com origem na DECSIS, Sistemas de Informação, Lda., fundada

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição outubro 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA SUMÁRIO Apresentação ISO 14001 Sistema de Gestão Ambiental Nova ISO 14001 Principais alterações e mudanças na prática Estrutura de alto nível Contexto

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

EXIN IT Service Management Foundation based on ISO/IEC 20000

EXIN IT Service Management Foundation based on ISO/IEC 20000 Exame simulado EXIN IT Service Management Foundation based on ISO/IEC 20000 Edição Novembro 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

IMPLANTAÇÃO DE GOVERNANÇA DE TI

IMPLANTAÇÃO DE GOVERNANÇA DE TI 1 IMPLANTAÇÃO DE GOVERNANÇA DE TI André Luiz Guimarães dos Reis 1 1 João Souza Neto 2 1 Tomas Roberto C. Orlandi 3 1 andrer@correios.com.br szneto@correios.com.br tomasroberto@correios.com.br 1 Empresa

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

NBR ISO 9001/2000 NBR ISO 9004/2000

NBR ISO 9001/2000 NBR ISO 9004/2000 NBR ISO 9001/2000 NBR ISO 9004/2000 2 Prefácio 3 A ABNT Associação Brasileira de Normas Técnicas é o Fórum Nacional de Normatização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês

Leia mais

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Fabio Eder Cardoso 1 Paulo Cesar de Oliveira 2 Faculdade de Tecnologia de Ourinhos - FATEC 1. INTRODUÇÃO A informação é o elemento básico para que a evolução

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição Novembro, 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MODELOS DE MELHORES PRÁTICAS DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MELHORES PRÁTICAS PARA T.I. MODELO DE MELHORES PRÁTICAS COBIT Control Objectives for Information

Leia mais

FÁBIO AMARO OLIVEIRA UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM UMA ORGANIZAÇÃO PÚBLICA

FÁBIO AMARO OLIVEIRA UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM UMA ORGANIZAÇÃO PÚBLICA FÁBIO AMARO OLIVEIRA UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM UMA ORGANIZAÇÃO PÚBLICA LAVRAS MG 2014 1 FÁBIO AMARO OLIVEIRA UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Leia mais

ANEXO X DIAGNÓSTICO GERAL

ANEXO X DIAGNÓSTICO GERAL ANEXO X DIAGNÓSTICO GERAL 1 SUMÁRIO DIAGNÓSTICO GERAL...3 1. PREMISSAS...3 2. CHECKLIST...4 3. ITENS NÃO PREVISTOS NO MODELO DE REFERÊNCIA...11 4. GLOSSÁRIO...13 2 DIAGNÓSTICO GERAL Este diagnóstico é

Leia mais

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Revista F@pciência, Apucarana-PR, ISSN 1984-2333, v.3, n. 9, p. 89 98, 2009. GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Márcia Cristina

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 Conhecimento em Tecnologia da Informação Alinhamento Estratégico A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 2010 Bridge Consulting Apresentação

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

Governança de TI. Professor: Ernesto Junior E-mail: egpjunior@gmail.com

Governança de TI. Professor: Ernesto Junior E-mail: egpjunior@gmail.com Governança de TI Professor: Ernesto Junior E-mail: egpjunior@gmail.com Governança Governar Governança Ato de governar(-se), governo, governação Governar ter mando, direção, dirigir, administrar tratar

Leia mais

A Governança de TI Gestão de TI através de Portfólios

A Governança de TI Gestão de TI através de Portfólios A Governança de TI Gestão de TI através de Portfólios Sandra Sergi Santos, PMP Governança de TI Vamos começar este artigo analisando Governança de TI. A Governança de TI é a área mais crítica de uma governança

Leia mais

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008 Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001 Susana Carias Lisboa, 24 de Outubro de 2008 Agenda Introdução Desafio 1º passo Problemática ISO 27001 ISO 20000 Conclusões 2 Agenda Introdução

Leia mais

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio?

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? A Tecnologia da Informação vem evoluindo constantemente, e as empresas seja qual for seu porte estão cada

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Metodologia para Análise de Maturidade de Governança de TI. Soluções em Gestão e TI que adicionam valor aos negócios

Metodologia para Análise de Maturidade de Governança de TI. Soluções em Gestão e TI que adicionam valor aos negócios Metodologia para Análise de Maturidade de Governança de TI Soluções em Gestão e TI que adicionam valor aos negócios Garanta a eficiência e a competitividade da sua empresa Análise de Maturidade de Governança

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3 Gerenciamento de Serviços de TIC ISO/IEC 20.000 / ITIL V2 e V3 Agenda O que é serviço de TIC? O que é Qualidade de Serviços de TIC? O que é Gerenciamento de Serviços de TIC? ISO IEC/20.000-2005 ITIL versão

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais