SEGURANÇA DA INFORMAÇÃO UMA QUESTÃO NÃO APENAS TECNOLÓGICA

Tamanho: px
Começar a partir da página:

Download "SEGURANÇA DA INFORMAÇÃO UMA QUESTÃO NÃO APENAS TECNOLÓGICA"

Transcrição

1 Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações Paulo Cesar Cardoso Rocha SEGURANÇA DA INFORMAÇÃO UMA QUESTÃO NÃO APENAS TECNOLÓGICA Priscila Solís Barreto Professora Orientadora Brasília, dezembro 2008

2 SEGURANÇA DA INFORMAÇÃO UMA QUESTÃO NÃO APENAS TECNOLÓGICA Paulo Cesar Cardoso Rocha Monografia de especialização submetida e aprovada pela Universidade de Brasília como parte do requisito parcial para obtenção do certificado de Especialista em Gestão da Segurança da Informação e Comunicações. Profa. Dra. Priscila Solís Barreto Universidade de Brasília Prof. Dr. Jorge Fernandes Universidade de Brasília Prof. Dr. Pedro Berger Universidade de Brasília Brasília, dezembro 2008

3 AGRADECIMENTOS Agradeço à minha esposa Adriana e às minhas filhas Catarina e Heloísa, pela paciência em meus momentos de ausência.

4 Quem tem conhecimento adequado tem o poder que, antes, a terra, os meios de produção e o capital conferiram às classes dominantes. Jayme Teixeira Filho

5 RESUMO O foco deste trabalho, ao abordar a área de segurança da informação, é discutir razões para o comportamento desapropriado dos funcionários e apresentar soluções para mitigar as vulnerabilidades organizacionais em razão do comportamento humano. De forma específica, busca-se listar e exemplificar condutas comportamentais que tornam o sistema de segurança vulnerável; abordando a padronização de condutas para mitigar o risco. Desta forma, este trabalho pretende salientar a importância do componente comportamental nos processos de Aprendizagem Organizacional nas instituições públicas, assim como a preponderância da mudança comportamental. Os resultados obtidos sugerem um modelo para a formulação de políticas de segurança da informação baseadas em moldes afeitos ao domínio das ciências sociais e construídas com ênfase na observação dos sistemas de informação e no contexto em que se inserem. Palavras Chave: Segurança da informação; políticas de segurança da informação; componente comportamental.

6 ABSTRACT The focus of this work within the information security area is to discuss reasons for the inappropriate behavior of officials and to present organizational solutions to mitigate organizational vulnerabilities due to human behavior. Specifically, it lists and exemplifies behaviors that make the security system vulnerable; addressing the standardization of conducts to mitigate risk. Thus, this paper intends to stress the importance of behavioral processes of organizational learning in public institutions, as well as the preponderance of behavioral change. The results suggest a model for the formulation of information security policies based on social sciences and constructed with emphasis on observation of information systems and in the context in which they operate. Keywords: Information Security; information security policies; behavioral component.

7 SUMÁRIO RESUMO v ABSTRACT vii 1. INTRODUÇÃO Problema de Pesquisa Hipótese Objetivos de Pesquisa Justificativa Metodologia CONCEITOS SOBRE SEGURANÇA DA INFORMAÇÃO Segurança Informação Segurança da Informação O comportamento do usuário Engenharia Social Cultura organizacional Resumo do Capítulo ESTUDO DE CASO Petrobrás INSS DETRAN Fórum Central de Porto Alegre Medidas Necessárias para a melhoria da SI Resumo do Capítulo CONCLUSÕES 56 REFERÊNCIAS BIBLIOGRÁFICAS 60

8 9 1. INTRODUÇÃO Ao se abordar Segurança da Informação, logo se imagina um arsenal de equipamentos e sistemas, todos concebidos para proibir a invasão daquele estereótipo de hacker mal-intencionado que deseja roubar informações da sua organização. Contudo, observa-se na mídia em geral um número razoável de incidentes de segurança que, em princípio, não teriam sido ocasionados por questões tecnológicas e nem por hackers mal-intencionados. Em razão disso, esse trabalho elegeu quatro cases de incidentes de segurança da informação ocorridos na Administração Pública que, a priori, não teriam sido ocasionados por questões tecnológicas. Dessa forma, esse estudo contempla um tema recorrente, mas que se apresenta atual, por ensejar a análise de casos reais de quebra de segurança da informação e propor medidas, buscando focalizar a discussão em questões não tecnológicas relacionadas à Segurança da Informação, apresentando uma visão integrada de cultura organizacional, comportamentos, relações de poder e tecnologia como uma abordagem viável de Segurança da Informação para as organizações. Uma abordagem acerca da Segurança da Informação focando questões não tecnológicas torna-se relevante na medida em que outros fatores poderiam também estar envolvidos na análise de incidentes de segurança. Quando se pensam os problemas relacionados à segurança da informação de uma maneira completa,

9 10 integrada aos negócios e à realidade das organizações, é necessário considerar, além dos aspectos tecnológicos, esses outros aspectos também. É importante ressaltar que, em qualquer sistema de segurança, a corrente costuma romper-se em seu elo mais fraco. Sendo assim, eleva-se a importância de um equilíbrio de forças entre os todos os fatores que poderão impactar na Segurança da Informação. 1.1 Problema de pesquisa Nos dias atuais, mesmo com razoáveis investimentos em tecnologia, as organizações continuam vulneráveis, pois empregados despreparados, desinformados e mal intencionados, a ausência de políticas claras, normas e procedimentos bem definidos, ou a inadequação dos mesmos, e instalações impróprias tornam-se a porta de saída para informações estratégicas. A pesquisa busca problematizar a seguinte questão: Por que as organizações sofrem incidentes de segurança da informação mesmo investindo em Tecnologia? 1.2 Hipótese Dentro desse contexto, o presente trabalho levanta a seguinte hipótese: a tecnologia não é o único fator determinante para as falhas na Segurança da Informação. Então, para orientar a análise dos cases reais neste trabalho são listados onze fatores que podem impactar na Gestão da Segurança da Informação.

10 11 Esses fatores estão relacionados com os objetivos de controle e controles listados nas Normas ABNT NBR ISO 27002:2005 e 27001:2006: a) Política de Segurança A Política de Segurança da Informação proporciona uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentos relevante. A Política necessita ser clara, alinhada com os objetivos do negócio, demonstrar apoio e comprometimento com a segurança da informação e abranger toda a organização. b) Organização da Segurança da Informação A Segurança da Informação necessita de uma estrutura de gerenciamento para iniciar e controlar a implementação da Segurança da Informação dentro da organização. c) Gestão de Ativos Os ativos indispensáveis à Segurança da Informação necessitam ser inventariados e ter um proprietário responsável. A Gestão de Ativos inclui a Classificação da Informação, pois, a informação possui vários níveis de sensibilidade e criticidade, sendo assim, alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. d) Recursos Humanos A organização necessita assegurar que os funcionários, terceirizados e fornecedores entendam suas responsabilidades e

11 12 estejam de acordo com os seus papéis. Alguns cuidados precisam ser tomados durante a seleção, no dia-a-dia e na desmobilização. e) Segurança Física e do Ambiente Os ambientes que contém informações sensíveis da organização, ou que processam as mesmas, precisam estar devidamente protegidos contra acessos não autorizados. Devem conter barreiras de segurança, controles de acessos e possuir perímetros seguros. f) Gerenciamento das operações e comunicações Os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações precisam estar definidos. Isso inclui a segregação de funções e áreas; o monitoramento e análise crítica de serviços terceirizados; o planejamento e aceitação dos sistemas; a proteção contra códigos maliciosos e códigos móveis; a geração de cópias de segurança; o gerenciamento da segurança em redes; o manuseio, controle e proteção das mídias; a troca de informações entre organizações e internamente; e o monitoramento, o registro e a auditoria. g) Controle de Acesso A organização necessita controlar o acesso à informação, aos recursos de processamento das informações e aos processos de negócio. Isso inclui a política de controle de acesso; o registro dos usuários; o gerenciamento de privilégios; a concessão de senhas; a análise crítica dos direitos de acesso; a seleção e uso adequado de senhas; o controle de acesso à rede; o controle de acesso ao

12 13 sistema operacional, o controle de acesso à aplicação e à informação; e o controle do uso da computação móvel e dos recursos de trabalho remoto. h) Aquisição, desenvolvimento e manutenção de Sistemas de Informação Esse fator inclui os requisitos de segurança dos sistemas operacionais, da infra-estrutura, das aplicações de negócios, dos produtos de prateleira, dos serviços e das aplicações desenvolvidas pelos usuários; o processamento correto nas aplicações; o uso dos controles criptográficos; o acesso aos arquivos de sistema e aos programas de código fonte; a segurança e controle dos ambientes de projeto e de suporte; e a gestão das vulnerabilidades técnicas. i) Gestão de Incidentes de Segurança da Informação Esse fator inclui o estabelecimento de procedimentos formais de registro e escalonamento dos incidentes; e a definição de responsabilidades e procedimentos para o manuseio efetivo de eventos de segurança e fragilidades, incluindo um processo de melhoria contínua. j) Gestão da Continuidade do Negócio A Gestão da Continuidade de Negócios tem por objetivo não permitir a interrupção das atividades do negócio; proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo real hábil, se for o caso; minimizar um impacto sobre a organização; e recuperar perdas de

13 14 ativos de informação a um nível aceitável através da combinação de ações de prevenção e recuperação. k) Conformidade A Conformidade tem por objetivo evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentos ou obrigações contratuais e de qualquer requisito de segurança da informação; garantir a conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação; e maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação. Observa-se dentre os fatores listados acima, que há dentre eles alguns fatores que não estão diretamente relacionados com a parte tecnológica. Os demais fatores estão ligados aos aspectos tecnológicos, alguns com maior ênfase e outros com menor. Poderíamos listar como fatores não relacionados aos aspectos tecnológicos os fatores: política de segurança, organização da Segurança da Informação, gestão de ativos, recursos humanos, segurança física e do ambiente, e conformidade. Na verdade, em determinado grau, todos os fatores estão relacionados uns com os outros, pois fazem parte de um modelo de gestão de um sistema de segurança da informação. A discriminação dos fatores em tecnológicos ou não é puramente didática para demonstrar, através dos casos práticos, que fatores não tecnológicos também são determinantes para as falhas na Segurança da Informação.

14 Objetivos de Pesquisa Objetivo Geral Analisar cases reais de vazamento ou perda de informações, identificar os prováveis fatores ocasionadores das falhas de segurança e relacioná-los com os grupos apresentados na seção 1.2. A análise dos referidos cases permitirá a apresentação de recomendações para mitigar as vulnerabilidades organizacionais em razão da classificação dos fatores. A partir da análise de casos de alguns órgãos da Administração Pública, pretende-se ressignificar a discussão em torno da Segurança da Informação, incorporando elementos não tecnológicos à análise, de forma a extrair recomendações amplas e contribuir para a formulação de políticas de segurança da informação dentro de uma visão integrada de cultura organizacional, comportamentos, relações de poder e tecnologia. Não se pretende, aqui, criar um manual ou fórmula a ser seguida, pois algumas particularidades sempre deverão ser respeitadas; mas evidenciar que medidas básicas de segurança devem aplicar-se a todos os órgãos, independentemente de tamanho ou missão.

15 Objetivos Específicos Analisar cases reais em que fatores não tecnológicos ocasionaram quebras de segurança da informação; Identificar os fatores não tecnológicos que devem ser considerados na análise de situações de quebra de segurança da informação; Apresentar recomendações de condutas que visem à mitigação dos riscos, com base em um conjunto de fatores pré-definidos. 1.4 Justificativa A motivação inicial deste trabalho partiu da observação e reflexão em torno do contexto organizacional do Banco Central do Brasil, instituição que foi alvo de ação criminosa, trazendo à tona questões de segurança - especialmente, segurança da informação (QUADRILHA, 2008). O Banco Central do Brasil, autarquia federal vinculada ao Ministério da Fazenda, tem, segundo seu Regimento Interno (BANCO CENTRAL, 2008), por finalidade, dentre outras, a formulação, a execução, o acompanhamento e o controle das políticas monetária, cambial, de crédito e de relações financeiras com o exterior; disciplinar a fiscalização do Sistema Financeiro Nacional; a gestão do Sistema de Pagamento Brasileiro e dos serviços do Meio Circulante. É indiscutível a relevância dos ativos que devem ser protegidos, de forma a garantir totalmente a

16 17 disponibilidade, integridade e confidencialidade das informações organizacionais dessa entidade. Chamou a atenção o assalto ocorrido ao Banco Central, em agosto de 2005, evento que expôs, em escala internacional, a vulnerabilidade da instituição nas questões de segurança. Apesar dos assaltantes do Banco Central terem como objetivo ativos monetários, para que uma operação daquela natureza pudesse ter êxito, presume-se que muitas informações foram necessárias para a fase de planejamento da ação criminosa. O êxito da ação nos faz presumir que essas informações não estavam protegidas devidamente. Não seria possível um crime dessa natureza sem informações detalhadas sobre as rotinas de segurança, os sistemas de alarmes existentes, a localização precisa da caixa-forte e dos bens existentes em seu interior. Dessa forma, pode-se dizer que, antes do crime patrimonial ser consumado, o que ocorreu foi roubo de informações valiosas para o planejamento do crime. Provavelmente, nesse aspecto, a realidade vivida pelo Banco Central não difere dos demais órgãos da Administração Pública. Se considerar-se que as vulnerabilidades e falhas relacionadas à segurança da informação podem replicar-se por quase todos os órgãos, de uma maneira ou de outra, com poucas variações, então, pelo mesmo raciocínio, as medidas necessárias poderão ser muito semelhantes. A consideração em torno dos riscos para uma organização, diante de uma eventual vulnerabilidade na Segurança da Informação, levou à reflexão sobre os fatores envolvidos nessa temática e à definição do objeto desta pesquisa a preocupação com segurança da informação para além das questões tecnológicas.

17 Metodologia Pesquisa Bibliográfica Escolheu-se para a realização deste trabalho uma pesquisa bibliográfica que permitiu um aprofundamento sobre os conceitos envolvidos no tema, a descrição de casos e suas respectivas análises e a apresentação de medidas para mitigar as vulnerabilidades organizacionais, em razão de questões não tecnológicas. A pesquisa está fundamentada em trabalhos científicos, em documentos técnicos e internet, além de outros trabalhos apresentados em congressos ou revistas especializadas, o que denota a relevância atribuída ao estudo do tema. Para tanto, procedeu-se a uma aprofundada coleta de artigos e trabalhos nas áreas tanto da segurança da informação quanto da formulação e implementação de políticas de caráter público e organizacional. Restringiu-se esta pesquisa ao universo conceitual espelhado no referencial teórico e na análise de cases ocorridos dentro da Administração Pública, não sendo implementado nenhuma pesquisa exploratória, tratando os dados dentro de uma premissa de realidade e atualidade. Não fizeram parte do objeto desta pesquisa os demais processos envolvidos no sistema de informação e nem outras variáveis, pois estas seriam uma ampliação do foco em questão, o que nos remeteria a outros tipos de estudos, que não estariam no bojo dos objetivos deste, pelo menos a princípio.

18 Coleta de cases A coleta de cases foi escolhida em razão da existência de inúmeros incidentes de segurança da informação que ocorrem na Administração Pública em geral, onde informações são roubadas ou perdidas, que se tornam cases de sucesso, pela ampla divulgação na mídia, mas em nada são aproveitados para a criação de experiências ou de dados estatísticos para os demais órgãos. Foram selecionados quatro cases, todos de ampla divulgação na mídia. Dentre os quatro cases, dois são da esfera estadual e dois da federal; três do Poder Executivo e um do Judiciário; e, três da administração direta e um da indireta (nesse caso uma sociedade de economia mista). Dessa forma, buscou-se, também, mesclar o universo de cada case Estrutura do trabalho Este trabalho está estruturado da seguinte forma: No capítulo 2 serão apresentados conceitos que fundamentarão a análise dos outros capítulos. No capítulo 3 serão apresentadas as descrições de quatro cases de incidentes de segurança, na Administração Pública, suas respectivas análises relacionadas com os fatores comportamentais, normativos e físicos, e a apresentação de aspectos genéricos necessários à melhoria da Segurança da Informação.

19 20 No capítulo 4 são apresentadas as conclusões e considerações finais a partir da análise realizada.

20 21 2. CONCEITOS SOBRE SEGURANÇA DA INFORMAÇÃO Neste capítulo serão abordados os conceitos de segurança, segurança organizacional, informação, segurança da informação, comportamento do usuário, engenharia social, cultura organizacional e, por fim, será feita uma relação entre os conceitos de cultura organizacional com a gestão da segurança da informação. Todos esses conceitos têm por objetivo levar o leitor a um melhor esclarecimento a respeito desses temas e facilitar o entendimento de como esses conceitos são necessários para a compreensão de ocorrências de falhas de segurança da informação nas organizações. 2.1 Segurança De acordo com HOUAISS (2001, p. 2536), segurança é o estado, qualidade ou condição de uma pessoa ou coisa que está livre de perigos, de incertezas, assegurada de danos e riscos eventuais, afastada de todo mal Segurança Organizacional De acordo com o Regulamento do Sistema de Segurança do Banco Central do Brasil (BANCO CENTRAL, 2006):

21 22 Art. 2º O Sistema de Segurança do Banco Central é o conjunto integrado de recursos aplicados para a prevenção, detecção, controle e correção de situações que possam comprometer o desempenho de suas funções. E o Art. 3º do mesmo Regulamento afirma que: Art. 3º O Sistema de Segurança do Banco Central abrange todas as áreas de atuação do Banco Central, contemplando os seguintes campos: I - segurança das pessoas; II - integridade das instalações; III - continuidade das atividades; IV - segurança das informações; V - segurança de bens e valores; VI - segurança de dignitários. De acordo com o Regulamento do Sistema de Segurança do Banco Central do Brasil, pode-se notar que a segurança organizacional é um conjunto integrado de recursos de segurança inter-relacionadas entre si que contemplem todas as áreas de atuação do Banco. A Segurança das Informações é apenas um desses campos de atuação da Segurança Organizacional e necessita estar integrada aos demais para seu perfeito funcionamento. 2.2 Informação A informação sempre foi de grande relevância para a tomada de decisão e, portanto, para qualquer ato de gestão. Mas, hoje, o volume de informação disponível conheceu um crescimento exponencial. Atualmente não há falta de informação, mas sim excesso de dados. Uma conseqüência desta realidade é a exigência de organizar essa mesma quantidade de dados. E é para isso que existem os Sistemas de Informação.

22 23 De acordo com FILHO (2008), Doutor em Ciência da Computação, informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento. Nesse sentido, a informação digital é um dos principais, senão o mais importante, produto da era atual. Ela pode ser manipulada e visualizada de diversas maneiras. Assim, à medida que a informação digital circula pelos mais variados ambientes, percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins, possibilitando-a ser lida, modificada ou até mesmo apagada. OLIVEIRA (2001) afirma que a informação é um recurso vital para a empresa e integra, quando devidamente estruturada, os diversos subsistemas e, portanto, as funções das várias unidades organizacionais da empresa. Segundo WEBSTER (1995/1999), todos os observadores têm conhecimento de um crescimento maciço do fluxo de informação que está ultrapassando fronteiras, das facilidades de telecomunicações, das comunicações entre computadores de todos os níveis, de trocas entre mercados de ações e segmentos corporativistas, do acesso às bases de informação internacional e das mensagens de telex. KUMAR (1997, p. 21) acredita que a informação designa hoje a sociedade pós-industrial. É o que a gera e sustenta. Para o autor, a sociedade pós-industrial poderia ser caracterizada por uma sociedade de serviços, que oferece oportunidades de emprego para profissionais liberais e de nível técnico. Existe um considerável crescimento da distribuição global da informação de massa sendo veiculada. As organizações precisam saber usar a informação e tirar o melhor proveito dela para se colocarem em posição competitiva, acompanhando os

23 24 novos tempos, mudando suas características gerenciais e estratégicas e com elas todo o seu capital intelectual. A informação deve ser tratada como qualquer outro produto que esteja disponível para consumo. Ela deve ser desejada, para ser necessária. Para ser necessária, deve ser útil. E como tudo que é útil, precisa ser protegida. 2.3 Segurança da Informação De acordo com PROMON (2005), o conceito de segurança da informação vai muito além; pressupõe a identificação das diversas vulnerabilidades e a gestão dos riscos associados aos diversos ativos da informação de uma corporação, independentemente de sua forma ou meio em que são compartilhados ou armazenados, digital ou impresso. O objetivo da segurança é garantir a confidencialidade, a integridade e a disponibilidade desses ativos de informação de uma corporação. SÊMOLA (2003) define segurança da informação como sendo uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. Segundo FONTES (2006), Segurança da Informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e sua missão seja alcançada. Ainda segundo FONTES (2006), proteger a informação significa garantir:

24 25 1. Disponibilidade: a informação deve estar acessível para o funcionamento da organização. 2. Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida. 3. Confidencialidade: a informação deve ser acessada exclusivamente por aqueles que estão autorizados e necessitam dela. 4. Legalidade: a informação deve estar dentro das normas que regulam a sociedade e a organização. 5. Auditabilidade: o acesso e o uso da informação devem ser registrados, possibilitando a identificação de quem fez o acesso e o que foi feito. 6. Não repúdio de autoria: o usuário que gerou ou alterou a informação não pode negar o fato, pois existem mecanismos que garantem sua autoria. FILHO (2008) afirma que, Segurança da informação compreende um conjunto de medidas que visam a proteger e preservar informações e sistemas de informações, assegurando-lhes integridade, disponibilidade, não repúdio, autenticidade e confidencialidade. Esses elementos constituem os cinco pilares da segurança da informação e, portanto, são essenciais para assegurar a integridade e confiabilidade em sistemas de informações. Nesse sentido, esses pilares, juntamente com mecanismos de proteção, têm por objetivo prover suporte à restauração de sistemas informações, adicionando-lhes capacidades de detecção, reação e proteção. Os componentes criptográficos da segurança da informação tratam da confidencialidade, integridade, não repúdio e autenticidade. Vale, no entanto, ressaltar que o uso desses pilares é feito em conformidade com as necessidades específicas de cada organização. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das informações ou sistemas de informações, pelo nível de ameaças ou por quaisquer outras decisões de gestão de riscos. Perceba que esses pilares são essenciais no mundo atual, onde se tem ambientes de natureza pública e privada conectados a nível global. Dessa forma, torna-se necessário dispor de uma estratégia, levando em conta os pilares acima mencionados, a fim de compor uma arquitetura de segurança que venha unificar os propósitos dos cinco pilares. Neste

25 26 contexto, as organizações e, mais amplamente, os países incluem em suas metas: Forte uso de criptografia; Incentivo à educação em questões de segurança; Disponibilidade de tecnologia da informação com suporte à segurança; Infra-estrutura de gestão de segurança; Disponibilidade de mecanismos de monitoramento de ataques, capacidade de alerta e ações coordenadas. Portanto, os princípios básicos da segurança são a confidencialidade, integridade e disponibilidade das informações. Os benefícios evidentes são reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas que possam comprometer estes princípios básicos. Enfim, pode-se afirmar que Segurança da Informação é um importante instrumento para proteger as organizações contra ameaças às informações que a elas pertençam ou que estejam sob sua responsabilidade. E uma política de segurança é um conjunto de diretrizes, normas e orientações de procedimentos que visam a conscientizar e orientar os funcionários, clientes, parceiros, colaboradores e fornecedores para o uso seguro dos ativos da organização. 2.4 O comportamento do usuário O uso de senhas, como forma mais comum de controlar o acesso de usuários a sistemas e informações privilegiadas, tem gerado inúmeros problemas, em função da dificuldade que a maioria das pessoas encontra para memorizar códigos. Não há suficiente material literário que forneça procedimentos claros, passo a passo, que auxiliem na geração e recordação de senhas. Desta forma, os usuários são

26 27 obrigados a conviver com um dilema entre a segurança e a conveniência, e acabam por compartilhar senhas ou anotá-las em locais de fácil acesso. (BROWN e colaboradores, 2004) Conforme afirma MITNICK (2005), as organizações que continuam a usar apenas senhas estáticas precisam fornecer treinamento e lembretes ou incentivos freqüentes para encorajar práticas seguras de senha. A política efetiva de senha exige que os usuários utilizem senhas seguras com pelo menos um numeral e um símbolo ou letras maiúsculas e minúsculas e que elas sejam alteradas periodicamente. Outra etapa requer certificar-se de que os funcionários não terão dificuldade em memorizar a senha, anotando-a e colocando-a em seu monitor ou escondendo-a embaixo do teclado ou numa gaveta da mesa de trabalho lugares onde qualquer ladrão de dados experiente sabe que deve procurar primeiro. A boa prática de senha também requer que nunca se use a mesma senha ou senhas parecidas em mais de um sistema (MITINICK, 2005, p. 78). SASSE e colaboradores (2001) ao abordar segurança da informação, referem-se ao usuário humano como sendo o elo mais fraco de um processo de segurança. De acordo com MITNICK (2002): Quando os empregados de confiança são enganados, influenciados ou manipulados para revelar informações sigilosas ou para executar ações que criem um buraco na segurança para que o atacante se infiltre, nenhuma tecnologia do mundo pode proteger uma organização. De acordo com REZENDE e ABREU (2000), as organizações devem procurar dar mais atenção ao ser humano, pois é ele que faz com que as engrenagens empresariais funcionem perfeitas e harmonicamente, buscando um relacionamento cooperativo e satisfatório. Dessa forma, seria importante destacar que o elo mais

27 28 fraco de um processo de segurança é a pessoa (ou grupos de pessoas), que por sua vez, é a responsável por garantir a fidelidade da informação. Sob esta perspectiva, o usuário é vítima de alguém mal intencionado, mas será parte de um comportamento social avesso aos controles tecnológicos. Ou seja, é uma ilusão imaginar que o uso de produtos de segurança padrão, da tecnologia da informação, torna as organizações imunes aos ataques. As presentes definições nos conduzem ao entendimento do usuário como peça estratégica participante do processo interativo com sistemas de informação. Pode dizer que o usuário é todo aquele que produz, acessa, classifica, manuseia, transporta, transmite ou guarda informações organizacionais que possam ser alvo de ameaças. 2.5 Engenharia Social A Engenharia Social usa a influência, a manipulação e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que, na verdade, ele não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. Para NBSO (2004), engenharia social consiste basicamente no uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP Título : Política institucional de segurança da informação. Capítulo : Índice Seção : Capítulo Seção Item Descrição 3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Segurança de Redes e Internet

Segurança de Redes e Internet Segurança de Redes e Internet Prof. MSc Thiago Pirola Ribeiro sg_02 alqbarao@yahoo.com.br 1 Guia Básico para Segurança de uma Rede Identificar o que se está tentando proteger; Identificar contra quem está

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER.

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. 1. SEGURANÇA DA INFORMAÇÃO A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança?

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança? TESTE Sua empresa está em conformidade com a ISO 27002? O objetivo do teste tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações de Segurança

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós!

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós! Prezado Colaborador, O conteúdo desta cartilha tem como objetivo compartilhar alguns conceitos relacionados ao tema Segurança da Informação. Além de dicas de como tratar os recursos e as informações corporativas

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005 II Semana de Informática - CEUNSP Segurança da Informação Novembro/2005 1 Objetivo Apresentar os principais conceitos sobre Segurança da Informação Foco não é técnico Indicar onde conseguir informações

Leia mais

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial Maicom Rafael Victor Simch Tiago Squinzani Tonetto E-mail:tiago-tonetto@hotmail.com, maravisi@hotmail.com Resumo Neste trabalho é proposta

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO:

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO: SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicações da Universidade Federal

Leia mais

GESTÃO DA SEGURANÇA DA INFORMAÇÃO

GESTÃO DA SEGURANÇA DA INFORMAÇÃO Sistema de Informação e Tecnologia FEQ 0411 Prof Luciel Henrique de Oliveira luciel@uol.com.br Capítulo 6 GESTÃO DA SEGURANÇA DA INFORMAÇÃO PRADO, Edmir P.V.; SOUZA, Cesar A. de. (org). Fundamentos de

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO

FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO RAFAEL D. RIBEIRO, M.SC,PMP. RAFAELDIASRIBEIRO@GMAIL.COM HTTP://WWW.RAFAELDIASRIBEIRO.COM.BR @ribeirord A segurança da informação protege a informação de diversos

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Segurança e Auditoria em Sistemas

Segurança e Auditoria em Sistemas Segurança e Auditoria em Sistemas Curso: Analise e Desenvolvimento de Sistemas Prof.Eduardo Araujo Site:www.professoreduardoaraujo.com O que é Segurança? Confidencialidade Integridade Disponibilidade Jogo

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

TRANSQUALIT GERENCIAMENTO DE RISCOS

TRANSQUALIT GERENCIAMENTO DE RISCOS TRANSQUALIT Transqualit GRIS GERENCIAMENTO DE RISCOS INTRODUÇÃO Organizações de todos os tipos estão cada vez mais preocupadas em atingir e demonstrar um desempenho em termos de gerenciamento dos riscos

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Segurança a da Informação Aula 02. Aula 02

Segurança a da Informação Aula 02. Aula 02 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Segurança a da Informação é: Cultura, Cidadania, Desenvolvimento pessoal e social, Competitividade, Influência e poder, Imprescindível para a

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

Conheça a NBR ISO/IEC 27002

Conheça a NBR ISO/IEC 27002 Conheça a NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar,

Leia mais

Política de Segurança da Informação da Entidade

Política de Segurança da Informação da Entidade Estrutura Nacional de Segurança da Informação (ENSI) Política de Segurança da Informação da Entidade Fevereiro 2005 Versão 1.0 Público Confidencial O PRESENTE DOCUMENTO NÃO PRESTA QUALQUER GARANTIA, SEJA

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Página: 1 de 5 1. INTRODUÇÃO A informação é um ativo que possui grande importância para PRÓ-MEMÓRIA, sendo resguardada contra ameaças e riscos. Segurança da informação, segundo a NBR ISO/IEC 27002:2005,

Leia mais

GOVERNO DO ESTADO DO CEARÁ Conselho de Políticas e Gestão do Meio Ambiente Superintendência Estadual do Meio Ambiente SEMACE

GOVERNO DO ESTADO DO CEARÁ Conselho de Políticas e Gestão do Meio Ambiente Superintendência Estadual do Meio Ambiente SEMACE 1. OBJETIVO: Este Termo de Referência têm como objetivo estabelecer diretrizes para elaboração do Plano de Emergência para Transporte de Produtos Perigosos. O plano deverá garantir de imediato, no ato

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

NET SERVIÇOS DE COMUNICAÇÃO S.A. CÓDIGO DE CONDUTA

NET SERVIÇOS DE COMUNICAÇÃO S.A. CÓDIGO DE CONDUTA NET SERVIÇOS DE COMUNICAÇÃO S.A. CÓDIGO DE CONDUTA APRESENTAÇÃO Este é o Código de Conduta da Net Serviços de Comunicação S.A. e de suas controladas ( NET ). A NET instituiu este Código de Conduta norteado

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo )

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) A Política de segurança da informação, na A EMPRESA, aplica-se a todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Gestão Colaborativa em Segurança Corporativa. Junho 12. Consultoria Trading Serviços. Copyright NSA Brasil

Gestão Colaborativa em Segurança Corporativa. Junho 12. Consultoria Trading Serviços. Copyright NSA Brasil Junho 12 Consultoria Trading Serviços S ã o P a u l o - B u e n o s A i r e s - M e x i c o C i t y - W a s h i n g t o n - U n i t e d K i n g d o m - C o t e D ' A z u r Research for the Future Gestão

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

Criptografia de Informação. Guia corporativo

Criptografia de Informação. Guia corporativo Criptografia de Informação Guia corporativo A criptografia de dados em empresas 1. Introdução 3 Guia corporativo de criptografia de dados 1. Introdução A informação é um dos ativos mais importantes de

Leia mais

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 Dispõe sobre a Política de Segurança da Informação e

Leia mais

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto José Geraldo Loureiro Rodrigues Orientador: João Souza Neto Análise dos três níveis: Governança Corporativa Governança de TI Gerenciamento da Área de TI ORGANIZAÇÃO Governança Corporativa Governança

Leia mais

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 229/2013 Aprova a Norma Complementar de Criação da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA GADE SOLUTION Tatiana Lúcia Santana GADE SOLUTION 1. Conceituação: A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais