UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE"

Transcrição

1 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE A SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Por: Roberto De Paoli Motta Orientadora Profª. Ana Claudia Morrissy Rio de Janeiro 2010

2 1 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE A SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Apresentação de monografia ao Instituto A Vez do Mestre Universidade Candido Mendes como requisito parcial para obtenção do grau de especialista em Gestão em Instituições Financeiras Por: Roberto De Paoli Motta

3 2 AGRADECIMENTOS Aos meus colegas de trabalho que participaram comigo dessa jornada de conhecimentos.

4 3 DEDICATÓRIA À minha esposa que tanto me apoiou e incentivou.

5 4 RESUMO O presente trabalho realizou um estudo amplo e aprofundado acerca de todas as vertentes da Gestão da Segurança da Informação. Trata-se de assunto de relevante importância, tendo-se em vista o crescente incremento na utilização de meios de comunicação e sistemas de informação para o trânsito das informações pessoais e/ou corporativas, o que pode torná-las vulneráveis diante dos aspectos de sua integridade, autenticidade e confidencialidade. Através desse estudo buscou-se conhecer e compreender os elementos que constituem a informação, as formas de protegê-la, e os tipos de ameaças existentes. Desta forma foi possível mensurar a importância do ativo informação e da sua proteção para a manutenção e crescimento de uma empresa.

6 5 METODOLOGIA O trabalho foi realizado através de pesquisa bibliográfica servindo-se da ampla literatura que trata do tema. Foram selecionados tópicos considerados mais preponderantes para a prática cotidiana da Gestão da Segurança da Informação no ambiente corporativo. A partir dessa seleção desenvolveu-se de forma pontual e aprofundada e valendo-se das diversas fontes bibliográficas, o texto monográfico. Foi desenvolvido, por exemplo, um tópico a respeito da utilização de criptografia para a troca de informação entre clientes e empresa de forma a preservar os dados pessoais e senhas destes, protegendo-os de possíveis intervenções maliciosas de pessoas não autorizadas.

7 6 SUMÁRIO Introdução Informação Classificação da Informação Definição Níveis de Classificação Ciclo de Vida da Informação Manuseio da Informação Armazenamento da Informação Transporte da Informação Descarte da Informação 16 2 Segurança da Informação Conceito de Segurança Ativo Aspectos da Seg. da Informação Ameaças Vulnerabilidade Medidas de Segurança Perímetro Barreiras de Segurança Risco Definição do Nível do Risco Procedimentos Adotados Utilização dos Recursos de TI 26

8 Proteção contra Software Malicioso Vírus Worm Trojan Malware Spyware Adware Acesso a Internet Utilização do Correio Eletrônico Gerenciamento, Controle e Manutenção da Rede e do Acesso aos Sistemas Controle através da Criptografia, Assinatura Digital e Certificado Digital Criptografia Assinatura Digital Certificado Digital Logs de Acesso Plano de Continuidade dos Negócios Utilização de Backup, Restauração e Arquivamento de Informações Cópia de Segurança e Restauração Gestão de Incidentes de Segurança Responsabilidade de Gestores e Usuários Responsabilidade do Gestor de Sistema Responsabilidade do Administrador de Acesso 45

9 Responsabilidade do Usuário dos Sistemas Informatizados 46 3 Política de Seg. de Inf. Nas Empresas Definição Organização Etapas de Desenvolvimento Elaboração dos Procedimentos Revisão, Aprovação e Implantação Pontos Críticos para o Sucesso Benefícios Características Treinamento e Divulgação Comitê de Segurança da Informação Estruturas e Funções Metodologias ITIL COBIT NBR ISO/IEC 27002:2005 (antiga NBR ISO/IEC 17799:2005) Conformidade e Governança Direitos Autorais 60

10 Requisitos Legais Lei Sarbanes-Oxley Resolução do Bacen Acordo Basiléia II Governança 62 Conclusão 64 Referências 65

11 10 INTRODUÇÃO Nas empresas, a utilização de tecnologias que precisam ser diariamente atualizadas, tornou complexo o estabelecimento de controles eficientes para detectar, prevenir e corrigir incidentes na segurança das informações. Esses controles são essenciais para impedir manipulações indevidas, acessos não autorizados e garantir o fluxo de informações, evitando interrupções que comprometam os negócios da empresa. O mercado atualmente requer mais qualidade e eficiência das atividades diretamente ligadas aos negócios das empresas.

12 11 CAPÍTULO 1 INFORMAÇÃO 1.1 Classificação da Informação É um processo que estabelece um grau de importância para as informações que impactam os negócios de uma empresa. Esta classificação deve ser periodicamente realizada, nos meios de armazenamento, visando a manutenção e o sucesso da empresa. Durante esta classificação, existem regras a serem seguidas, determinando o proprietário de todas as informações, que irá escolher os meios de proteção para as mesmas. Onde houver várias informações guardadas num mesmo local, com diferentes níveis, deve-se aplicar o nível mais alto de classificação, tendo em vista a importância de seus dados. As que estão armazenadas em qualquer local devem estar classificadas de acordo com seus critérios e que possuam uma identificação para fácil reconhecimento do seu grau de sigilo. A empresa pode utilizar um inventário para classificar seus ativos: Ativo Físico: móveis, salas, prédio, ar-condicionado, gerador, nobreak, servidores, notebooks, desktops, impressoras, fax, roteadores, mídias Ativo Pessoa: estagiários, contratados, terceirizados, empregados e fornecedores

13 12 Ativo Serviço: utilidades gerais, ligações telefônicas, backup de computação, videoconferência Ativo Software: ferramentas de desenvolvimento, aplicativos, utilitários do sistema, sistema operacional Ativo Informação: banco de dados, manual do usuário, arquivos magnéticos, documentação do sistema, procedimentos operacionais, plano de continuidade Ativo Documentos em Papel: relatórios confidenciais, dossiê do cliente, contratos assinados, documentos da empresa Toda informação já classificada quando for alterada por qualquer motivo, deve novamente ter um novo processo de classificação, para que seja revisto e adequando-a a um novo nível de classificação. 1.2 Definição Primeiramente precisamos conhecer os negócios da empresa, compreender suas atividades realizadas e seus processos, só assim conseguiremos iniciar as classificações das suas informações. Para isso, estabelecemos algumas definições: Classificação: atividade em que atribuiremos os tipos de informações e o grau de sigilo das mesmas Criptografia: codificação que transforma revesivelmente a informação, tornando-a ininteligível a terceiros, protegendo-a contra alterações e/ou acessos indevidos

14 13 Perfil de Acesso: define o direito de acesso as transações, as informações, via sistema, meio magnético ou impresso de acordo com a necessidade do uso de cada usuário de uma empresa, seja ela feita por palavra-chave, sistemas biométricos e cartões inteligentes Proprietário: funcionário qualificado, que trabalha numa determinada área da empresa que é responsável por todos os ativos de informação da mesma Custodiante: funcionário que custodia as informações, garantindo que elas estão de acordo com o estabelecido pelo proprietário 1.3 Níveis de Classificação Como as informações possuem um grau de criticidade e de sensibilidade muito variáveis de acordo com seu conteúdo, algumas necessitam de níveis adicionais de proteção. Para isso deve-se definir um nível de segurança apropriado e comunicar aos seus usuários a necessidade de uma proteção especial para tais informações, devido a sua classificação. Uma forma de estabelecer um determinado valor a uma informação é classificando-a, que esta servirá de base para proteger a informação determinando qual mecanismo de controle será utilizado. Sua classificação deve ter uma avaliação individual do seu conteúdo, da sua importância, conseqüentemente da divulgação, da perda ou acesso não autorizado. Esta classificação deve ser bem rigorosa, evitando-se que importantes informações fiquem menos protegidas do que deviam e que se gastem investimentos para proteger informações não tão importantes sem necessidade, gerando despesas para a empresa.

15 14 Podem ser adotados os seguintes níveis para uma classificação de segurança: Nível de Alto Risco: são informações estratégicas, confidenciais, de sigilo absoluto. Elas são protegidas do acesso externo. As operações da empresa poderão ser comprometidas, se pessoas não autorizadas acessarem alguns desses dados, causando prejuízos financeiros e competitivos. A integridade dessas informações é vital para a empresa. (dados pessoais, senhas, estratégia de mercado, salários e dados de clientes) Nível de Uso Restrito: são informações para áreas ou grupo de pessoas com um confidencial de menor risco Nível de Uso Interno: são informações voltadas para os funcionários. Deve ser evitado o acesso externo a essas informações, mas se por acaso essas informações vazarem para o público externo, não serão críticas as conseqüências. Como por exemplo, os benefícios que a empresa oferece aos seus funcionários, telefones e ramais da empresa, mesmo sendo classificadas para o uso interno, não terão impactos negativos para a empresa Nível de Uso Público: são informações direcionadas especificamente para clientes, fornecedores e terceiros. São informações que não precisam de nenhum sigilo, podendo ser de livre acesso para todos, não necessitando de nenhum investimento de recursos para sua proteção. Se por ventura estas informações fossem divulgadas para o público externo, não trarão impactos negativos para os negócios da empresa. Exemplo: serviços sem dados confidenciais, folders, testes de sistemas sem dados confidenciais, demonstrativos financeiros que já foram publicados em algum jornal, brochuras da empresa.

16 15 Deve-se ter muito cuidado na interpretação do rótulo de classificação de segurança da informação das empresas, pois cada empresa pode possuir um rótulo similar ou idêntico, mas com um significado diferente. 1.4 Ciclo de Vida da Informação Sabemos o quanto a informação é valiosa para uma empresa, mas temos que atentar para a segurança, preservação e proteção para que estejam totalmente sob controle. O ciclo de vida é identificado e composto pelos momentos em que a informação é colocada em risco. Esses momentos são: quando os ativos humanos, tecnológicos e físicos usam a informação nos negócios mantendo as operações da empresa Manuseio da Informação É o momento em que ela é criada ou manipulada, seja na hora em que se utiliza uma senha de acesso para deferimento ou autenticação, ou digitar qualquer informação gerada recentemente num aplicativo da internet Armazenamento da Informação É o momento em que ela é guardada ou armazenada, seja numa mídia de CD-ROM, disquete ou em um banco de dados compartilhado.

17 Transporte da Informação É o momento em que ela é enviada ou transportada, seja falar ao telefone da empresa sobre uma informação confidencial, postar um documento via aparelho de fax ou encaminhar por correio eletrônico ( ) Descarte da Informação É o momento em que ela é expurgada, deletada ou descartada, seja deletando um arquivo de seu computador, colocando na lixeira de sua mesa um documento impresso ou expurgando uma mídia (CD-ROM) usada que teve falha na leitura. Imagine que em uma reunião gerencial, o assunto trata-se de uma informação estratégica. Os dados são anotados e redigidos em um papel e guardado num local seguro. Posteriormente é digitalizado e enviado por aos interessados, sendo que no momento de descarte, o papel aonde foram anotadas as informações confidenciais, é jogado de qualquer maneira na lixeira de sua mesa, sem qualquer critério. Com isso, ocorreu um furo na segurança, pois o documento está vulnerável a qualquer ataque em potencial. Suponhamos que qualquer funcionário de outro setor, que não tenha participado da reunião, e que esteja com intenções maliciosas, pegue este documento jogado no lixo indevidamente, faça mau uso das informações, podendo comprometer os negócios da empresa. Por mais cauteloso que tenha sido, adotando as regras da política de segurança quanto ao manuseio, armazenamento e transporte da informação, ficou totalmente exposto quanto ao descarte, comprometendo todos os

18 17 gerentes presentes na reunião, como pondo a segurança dos negócios em risco.

19 18 CAPITULO 2 SEGURANÇA DA INFORMAÇÃO 2.1 Conceito de Segurança É o conjunto de normas, políticas, orientações e procedimentos com o objetivo de proteger os ativos da informação, contra alterações indevidas, indisponibilidades e acessos não autorizados, possibilitando a realização dos negócios da empresa. Ela existe para minimizar os riscos do negócio com relação ao uso das informações para um bom funcionamento da empresa. Com uma informação incorreta ou sem ela, os negócios podem ter perdas que impactem o retorno dos investimentos de seus acionistas e que comprometam o seu funcionamento como empresa. Também a consideramos como a prática na gestão de riscos que comprometam os três principais conceitos: Confidencialidade: a informação deverá ser utilizada ou acessada somente pelos usuários que para a realização de suas atividades profissionais, necessitem dela; para isso deve-se ter uma autorização do seu superior imediato. Exemplo: planejamento estratégico da empresa, cadastro de clientes, correio eletrônico, intranet, etc. Integridade: a informação deve ser verdadeira, estar correta e não estar corrompida. Se a informação não estiver íntegra ou verídica isso acarretará numa perda ou em sérios danos que uma empresa possa sofrer. Exemplo: um sistema operacional atuando

20 19 de forma imprópria ou incorreta, um arquivo corrompido, uma informação incompleta ou desatualizada, etc. Disponibilidade: a informação deve estar disponível ou acessível para um bom funcionamento dos objetivos e missões de uma empresa. Exemplo: atraso na disponibilidade de uma informação ou uma paralisação de um sistema operacional, travando todas as informações necessárias para o funcionamento da empresa. Para que a proteção da informação seja eficaz em uma empresa, os regulamentos e os conceitos da segurança da informação devem ser seguidos e compreendidos por todos os seus funcionários, contratados e estagiários Ativo É todo elemento que compõem os processos comunicativos e transacionais que processam e manipulam a informação nos equipamentos onde ela é armazenada, manuseada, transportada e descartada. A informação é um ativo importante numa empresa. Portanto, os equipamentos aonde são processados, armazenados e transmitidos precisam estar sempre monitorados e protegidos. A informação tem um enorme valor para a empresa, sem ela a empresa não consegue realizar seus negócios. A palavra ativo, por ser um elemento de valor para a empresa e/ou indivíduos, origina-se da área financeira. Por isso, precisa-se de uma proteção específica (ISO/IEC 17799). Fazem parte dos ativos: usuários, informações, aplicações, processos e equipamentos.

21 Aspectos da Segurança da Informação são: Os elementos considerados indispensáveis na segurança da informação Autenticação: processo de reconhecimento e identificação dos usuários que fazem parte de uma comunicação Legalidade: as informações devem estar de acordo com a legislação política da instituição vigente, os contratos, licenças e regulamentos e princípios éticos da empresa Autorização: permissão aos usuários para acessar os aplicativos e informações após identificação e autenticação dos mesmo Auditoria: processo de coleta de dados para identificar os usuários envolvidos num processo de troca de informações Autenticidade: utilizado na certificação digital, visando garantir a validação dos arquivos ou mensagens através de: originalidade, identidade, confidencialidade, autoria, irretratabilidade, autenticidade e integridade Severidade: gravidade do dano que uma informação pode sofrer através de uma vulnerabilidade explorada por um usuário não autorizado Criticidade: gravidade pelo uso indevido de um ativo impactando os negócios de uma empresa

22 21 Irretratabilidade: o usuário que alterou ou gerou uma informação, não pode negar a sua autoria, pois existem mecanismos que identificam o emissor e o autentica como o autor das informações recebidas ou enviadas Ameaças Agentes que provocam incidentes e que comprometem as informações por meio de vulnerabilidades, tendo perdas de integridade, confidencialidade e disponibilidade, causando impactos negativos nos negócios da uma empresa. Essas ameaças podem ser divididas em três grupos: Naturais: fenômenos da natureza: como poluição, maremotos, terremotos, incêndios naturais, aquecimento, etc. Voluntárias: ameaças propositais como: ladrões, incendiários, invasores, espiões, hackers, criadores de vírus, etc. Involuntárias: ameaças involuntárias como: falta de energia, causadas por acidentes, etc Vulnerabilidade Fragilidade associada a ativos que processam informações que ao serem exploradas por agentes que provocam incidentes, acarreta um incidente de segurança, afetando os princípios de segurança da informação: integridade, confidencialidade e disponibilidade. Exemplos:

23 22 Humanas: compartilhamento de informações confidenciais, erros ou omissões, não execução das rotinas de segurança, falta de treinamento, distúrbios civis, vandalismo, invasões, sabotagens, roubo Naturais: aumento da temperatura, falta de energia, incêndio, terremotos, acúmulo de poeira, enchentes, etc. Físicas: instalações fora do padrão, risco de explosões, vazamentos, salas de centro de processamento de dados mal planejadas Comunicação: perda de comunicação ou acesso não autorizado Software: erros na configuração ou instalação dos aplicativos, acarretam perda de dados, acessos indevidos, vazamento de informações e indisponibilidade dos mesmos Hardware: falha nos recursos como má utilização, obsolência e desgaste Mídias: a radiação eletromagnética afeta diversos tipos de mídias, como: CD-ROM, DVD-rom, disquetes podendo perder ou danificar seus arquivos Medidas de Segurança Os procedimentos usados na proteção da informação podem impedir que agentes que provocam incidentes explorem vulnerabilidades. As medidas de segurança podem ser:

24 23 Detectáveis: visam detectar indivíduos ou condições causadores de ameaças. Exemplo: câmeras de vigilância, alarmes, sistema de detecção de intrusos, alertas de segurança, etc. Preventivas: visam prevenir incidentes que possam ocorrer. Exemplo: política de segurança, antivírus, firewall, etc. Corretivas: visam a correção da estrutura tecnológica para se adaptarem as condições de segurança estabelecida pela empresa Perímetro Estrutura de segmentação de ambientes físicos e ambientes lógicos. Para obter melhor retorno do mecanismo que garanta o nível de proteção da informação, está na segmentação inteligente dos ativos. Assim, torna-se aplicável os controles adequados sem que exceda os limites de proteção e nem fique aquém das necessidades. O perímetro além de compartilhar os espaços físicos e lógicos, também possui importante papel de alerta e de mecanismo de resistência. Ao tentarem invadir o sistema, gera-se um sinal de alerta e se deparam com a resistência que dará tempo para as medidas de contingência sejam devidamente tomadas, antes de a invasão avançar em direção ao alvo final.

25 Barreiras de Segurança Diante da complexidade da segurança da informação, estudaremos os desafios em camadas, particionando nosso trabalho para entendermos cada uma delas. Esta divisão chama-se barreiras. São seis barreiras de segurança: Desencorajar: cumpre o papel de desencorajar as ameaças. Estas ameaças podem perder o estímulo pela tentativa de quebra de segurança por mecanismos humanos, físicos e tecnológicos. Exemplo: uma câmera de vídeo (mesmo falsa), aviso da existência de alarmes, divulgação de auditoria, monitoramento de sistemas, etc. Dificultar: controle efetivo para dificultar acessos indevidos. Exemplo: detector de metal, alarme, roletas, senhas, firewalls, criptografia, smartcard, etc. Discriminar: sistema utilizado para estabelecer e monitorar limites de acesso. Exemplo: , impressora, telefonia, aplicativos de computador e banco de dados Detectar: sistema que alerta, sinaliza e instrumenta os gestores de segurança da informação para detectar sinais de risco. Exemplo: contaminação por vírus, tentativa de invasão, envio ou cópia de informações sigilosas e o descumprimento da política de segurança Deter: tem como objetivo, impedir que a ameaça atinja os ativos de uma empresa. Para isso, medida como ações administrativas, punitivas e bloqueios de acessos a ambientes e sistemas, são bons exemplos

26 25 Diagnosticar: última barreira no diagrama conduzida por análise de riscos considerando os aspectos físicos, humanos e tecnológicos, orientados pelas necessidades e características dos negócios de uma empresa. Um trabalho mal diagnosticado poderá distorcer a situação atual de segurança, aumentando a distribuição desproporcional dos investimentos e o retorno destes investimentos não corresponderá as expectativas fazendo com que a empresa não atinja o nível de segurança desejável as suas atividades Risco É a possibilidade das ameaças terem sucesso na exploração de uma vulnerabilidade, causando um impacto negativo nos negócios de uma empresa. As medidas de segurança protegem os ativos limitando os impactos negativos diminuindo o risco Definição do Nível do Risco Após uma criteriosa avaliação dos riscos, podemos classificá-los em três níveis: baixo, médio e alto. Baixo: se o risco for de nível baixo, fica a critério de a administração avaliar a necessidade de fazer uma manutenção corretiva ou não, assumindo toda e qualquer responsabilidade.

27 26 Médio: se o risco for de nível médio, a administração deve efetuar num curto período de tempo, uma manutenção corretiva. Alto: se o risco for de nível alto, devem-se iniciar imediatamente uma manutenção corretiva, a fim de eliminar o risco detectado, sem prejudicar o sistema operacional. 2.5 Procedimentos Adotados Para que possamos manter as informações confidenciais (ativos) de uma empresa, livres de qualquer ataque ou invasão faz-se necessário adorar alguns procedimentos para melhorar continuamente a segurança da informação Utilização dos Recursos de TI A empresa somente disponibilizará recursos tecnológicos aos seus usuários autorizados de acordo com a função exercida e com a necessidade do serviço executado. Cada usuário é extremamente responsável pelo uso de qualquer aplicativo disponível na empresa, a fim de contribuir para o atingimento das metas estabelecidas. Caso ele proceda de forma incorreta, estará sujeito a um inquérito administrativo, sujeito a todas as sanções previstas. A empresa detém todos os direitos sobre todas as informações do banco de dados, de todos os sistemas e aplicativos, podendo a qualquer momento, monitorar os correios eletrônicos, intranet, correio de voz e internet. Para tal fato, a empresa obriga os usuários a assinarem um termo de compromisso

28 27 para que todos tomem conhecimento da importância de manter um sigilo absoluto de todas as informações contidas no sistema e de fazer bom uso delas Proteção Contra Software Malicioso Vírus É um programa que invade o computador, se multiplica, infectando o sistema como um todo, executando ações que não solicitamos prejudicando nosso computador. Normalmente, eles entram num computador através de arquivos executáveis (.exe) que baixamos pela internet, seja por um de algum conhecido ou por algum download efetuado. Algumas vezes podemos também ser infectados através de mídias magnéticas (disquete, CD-ROM, DVD-rom) contaminadas. Para isso devemos ter o máximo de atenção no sentido de verificar através de um antivírus, se as mídias em questão estão com vírus. Para isso, todas as empresas possuem uma política formal: Proibindo o uso de softwares piratas, usando somente software legítimo Utilizando antivírus sempre atualizados de fornecedores confiáveis e autorizados Normalmente é vedado o uso de periféricos de entrada e saída (porta USB, drive de CD-ROM, drive de disquete) para evitar contaminação

29 28 Utiliza-se um sistema operacional Linux, com baixa probabilidade de contaminação Worm Programa muito semelhante ao vírus, sendo que ele possui uma diferença, que o torna tão destruidor: os worms não precisam de nossa ajuda para se propagar, eles possuem capacidade de se enviarem sozinhos através de rede e infectarem outros computadores. Exemplo: Blaster e Sasser são worms que faziam com que o computador desligar-se após alguns minutos Trojan Este programa significa cavalo de tróia. Ele invade seu computador sem danificá-lo, mas por trás disto, ele executa um código malicioso, permitindo que um hacker acesse todo o conteúdo do seu computador sem você saber. Ele repassa senhas, códigos de segurança, monitora todos os seus passos, sempre que estiver conectado à internet.

30 Malware É um software que tem como finalidade se infiltrar e criar danos num computador individual, servidor ou rede. Exemplo: vírus, trojan, worm, adware, spyware Spyware É um programa do tipo malware. Ele é instalado no computador sem a sua autorização e sem o seu conhecimento. Eles recolhem informações do usuário, como hábitos na internet, como senhas, password, dados bancários e enviam para um hacker através de mensagens eletrônicas Adware Existem dois tipos: o bom adware e o mau adware. O bom adware, são somente publicidades dentro de programas ou enquanto este estiver funcionando. Não tem como função, prejudicar o usuário. Já o mau adware, é instalado sem que o usuário saiba e ele é complicado para desinstalar. Pode mudar sua home Page, o search, é uma publicidade intrusiva, como por exemplo, pop-ups aparecerem de todos os lados, mesmo que o programa já não esteja sendo usado. Eles podem ser considerados spyware ou malware.

31 Acesso a Internet O acesso a internet deve previamente ser autorizado pelo administrador, visando sempre em prol do serviço. O usuário nunca deverá utilizá-la de forma ilícita, para ganho ou lucro pessoal. Toda e qualquer página ou link acessada pelo usuário, são registradas no log do sistema, informando a data, hora, tempo de permanência, protocolos utilizados, endereços IP e URL acessadas (bloqueadas ou não), quantidade de dados transmitidos ou recebidos e principalmente, a identidade do usuário através do login Utilização do Correio Eletrônico O de uma empresa deve unicamente ser utilizado para fins comerciais. É um grande avanço da tecnologia, com intuito de trocar informações comerciais com mais velocidade e mais barato. Com isso precisase ter uma política de segurança criando regras de uso das informações confidenciais, tais como armazenamento, conteúdo e transmissão das mesmas, para não gerar prejuízo ou danos aos negócios da empresa. Qualquer empresa possui direito ao monitoramento de todas as informações que são recebidas ou enviadas por seus usuários via , para fins de investigação ou auditoria.

32 Gerenciamento, Controle e Manutenção da Rede e do Acesso aos Sistemas Política de segurança permite aos administradores, gerenciarem os usuários a quem pretende dar acesso e as informações que pretende proteger. A proteção das informações está baseada na sua importância e ao fornecimento de acesso aos usuários. Baseia-se na necessidade de execução dos serviços, identificado por um login e senha (impessoal e intransferível). Tudo deve ser proibido a menos que expressamente permitido é uma regra de concessão de acesso estabelecido pela norma NBR ISO/IEC 27002:2005. O controle de acesso tem como função identificar, gerenciar, monitorar ou controlar os acessos dos usuários. Os acessos devem ser periodicamente revistos, sempre que houver alteração nos sistemas da empresa, incluindo-se todos os usuários em questão. Para se autenticar os usuários, é preciso ter um efetivo sistema de controle de senhas. As senhas não poderão ser compartilhadas, não devem ser de fácil dedução, devem possuir um prazo para expirar, bloquear o acesso após três tentativas de senhas incorretas, devem possuir no mínimo 6 (seis) caracteres e nunca deverá ser exibida pelo sistema. Para que haja um controle efetivo na segurança das informações que transitam por uma rede de computadores, fazem-se necessário possuir: Antivírus: Programa que tem como objetivo detectar e destruir vírus, worm, trojan, etc. Firewall: aplicativo que tem como função controlar o tráfego de entrada e saída de dados entre o computador e a internet. Ele analisa todos os dados que passam por ele, verificando se estas

33 32 informações têm autorização ou não para prosseguir, caso não tenham, o firewall bloqueia a passagem dos dados. Ambos terão que estar sempre atualizados para evitar futuras invasões. Outro aplicativo muito usado para manter um controle de segurança é o Mozilla. Este contém um Firefox que permite verificar se o link acessado possui um certificado digital que garanta a legitimidade do link e que todo download de arquivos é verificado se este possui vírus antes de instalá-los Controle através da Criptografia, Assinatura Digital e Certificado Digital Conforme a norma NDB ISO/IEC 27002:2005, a criptografia é usada para proteger a confidencialidade das informações através do processo de cifração ou do processo de codificação. Ela se utiliza de criptoanálise ou de algoritmos matemáticos para minimizar os riscos, maximizar os benefícios e evitar o uso impróprio das informações. Resumindo, é o embaralhamento eletrônico dos dados Criptografia Existem duas técnicas de criptografia: Criptografia Simétrica ou Chave Privada: Utiliza-se uma única chave para criptografar as informações na origem e decriptá-las no destino. Apesar de ter velocidade e excelente desempenho,

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DATA: 25/01/2016 VERSÃO 2.0 VERSÃO 2 25/01/2016 ÁLVARO BARBOSA SUMÁRIO I. INTRODUÇÃO... 3 II. PAPÉIS E RESPONSABILIDADES... 4 II.1 - COMITÊ EXECUTIVO... 4 II.2 - CONTROLES

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

SEGURANÇA E AUDITORIA DE TI

SEGURANÇA E AUDITORIA DE TI 1 SEGURANÇA E AUDITORIA DE TI Objetivos - Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Módulo 6: Segurança da TI

Módulo 6: Segurança da TI 1 Módulo 6: Segurança da TI 6.1. Questões de Segurança da TI Discute como se pode promover a qualidade e segurança dos sistemas de informação por uma diversidade de controles, procedimentos e instalações.

Leia mais

MANUAL DE NORMAS DA EMBRAPA

MANUAL DE NORMAS DA EMBRAPA Sumário 1. Objetivo 2. Campo de aplicação 3. Documentos de Referência 4. Definições 5. Condições gerais 6. Condições de Acesso aos Recursos 7. Autenticação de Usuários 8. Recursos de Hardware e Software

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e regulamentares, e tendo em vista o que consta do Processo

Leia mais

NORMA ESTRATÉGICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)

NORMA ESTRATÉGICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) NORMA ESTRATÉGICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) gestora do normativo Comitê de responsável pela conformidade Secretaria Geral - SEGER Coordenação de Processos e Conformidade - COPEC Numeração

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP Título : Política institucional de segurança da informação. Capítulo : Índice Seção : Capítulo Seção Item Descrição 3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo )

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (modelo ) A Política de segurança da informação, na A EMPRESA, aplica-se a todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente,

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente, PORTARIA Nº 7876 Dispõe sobre a Norma PSI/N.0001 - Utilização da Estação de Trabalho, nos termos dos arts. 20 e 24, da Resolução nº 041/2010-SPDE. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que

Leia mais

Segurança Física de acesso aos dados

Segurança Física de acesso aos dados Segurança Física de acesso aos dados Segurança Física de acesso aos dados 1 A Segurança Física tem como objetivos específicos: ü Proteger edificações e equipamentos; ü Prevenir perda, dano ou comprometimento

Leia mais

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02 Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE Revisão 02 As informações contidas neste documento são restritas à ALCE, não podendo ser divulgadas a terceiros

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17.

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17. REGULAMENTO INTERNO DO USO E ADMINISTRAÇÃO DOS RECURSOS COMPUTACIONAIS E DA REDE DA FACULDADE PROCESSUS CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Este ato tem como objetivo definir o uso e administração

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

POLÍTICA DO DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO

POLÍTICA DO DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DO DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO Sumário POLÍTICA DE SEGURANÇA DE ACESSO A BENS DE INFORMAÇÃO.... 2 1 Política de segurança... 2 2 Dispositivos gerais... 3 2.1 Usuário de acesso e senha...

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER.

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. 1. SEGURANÇA DA INFORMAÇÃO A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação

Leia mais

Manual de Normas e Procedimentos de Segurança da Informação

Manual de Normas e Procedimentos de Segurança da Informação Manual de Normas e Procedimentos de Segurança da Informação Objetivo: Definir responsabilidades e orientar a conduta dos profissionais e usuários de informática da FECAP na utilização dos recursos computacionais,

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA A FIESP esclarece que as informações apresentadas na presente Cartilha são apenas sugestões para auxiliar as

Leia mais

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt Santo André, maio de 2012 Roteiro PARTE I Apresentação da Disciplina PARTE II Introdução à Segurança de Redes Apresentação

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós!

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós! Prezado Colaborador, O conteúdo desta cartilha tem como objetivo compartilhar alguns conceitos relacionados ao tema Segurança da Informação. Além de dicas de como tratar os recursos e as informações corporativas

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 105/2013

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 105/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 105/2013 Assunto: Estabelece normas

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

USO DE CONTROLES CRIPTOGRÁFICOS. 1 OBJETIVO Estabelecer regras sobre o uso efetivo e adequado de criptografia na proteção da informação.

USO DE CONTROLES CRIPTOGRÁFICOS. 1 OBJETIVO Estabelecer regras sobre o uso efetivo e adequado de criptografia na proteção da informação. 1786/2015 - Quinta-feira, 06 de Agosto de 2015 Tribunal Regional do Trabalho da 18ª Região 1 FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia

Leia mais

Riscos, Ameaças e Vulnerabilidades. Aécio Costa

Riscos, Ameaças e Vulnerabilidades. Aécio Costa Riscos, Ameaças e Vulnerabilidades Aécio Costa Riscos, Ameaças e Vulnerabilidades Independente do meio ou forma pela qual a informação é manuseada, armazenada, transmitida e descartada, é recomendável

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Segurança de Redes e Internet

Segurança de Redes e Internet Segurança de Redes e Internet Prof. MSc Thiago Pirola Ribeiro sg_02 alqbarao@yahoo.com.br 1 Guia Básico para Segurança de uma Rede Identificar o que se está tentando proteger; Identificar contra quem está

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários. $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &RQWUROHVVREUHEDQFRGHGDGRVH PLFURFRPSXWDGRUHV

Leia mais

Políticas de Segurança da Informação e Utilização de Recursos da Rede

Políticas de Segurança da Informação e Utilização de Recursos da Rede Políticas de Segurança da Informação e Utilização de Recursos da Rede Índice 1 Introdução... 3 2 Política de cadastro e senhas... 5 3 Política de Utilização da Internet... 7 4 Política de Utilização de

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Segurança e Auditoria em Sistemas

Segurança e Auditoria em Sistemas Segurança e Auditoria em Sistemas Curso: Analise e Desenvolvimento de Sistemas Prof.Eduardo Araujo Site:www.professoreduardoaraujo.com EMENTA Definição de segurança de informação. Identificação das necessidades

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 4 Introdução aos Sistemas Biométricos 1. Identificação, Autenticação e Controle

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica Fundamentos em Segurança de Redes de Computadores Segurança Lógica 1 Segurança Lógica Mecanismos de Controle A Segurança Lógica é aspecto abrangente e complexo, requerendo, consequentemente, um estudo

Leia mais

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica Capítulo 2 Conceitos de Segurança Física e Segurança Lógica 2.1 Introdução 2.2 Segurança Física 2.2.1 Segurança externa e de entrada 2.2.2 Segurança da sala de equipamentos 2.2.3 Segurança dos equipamentos

Leia mais

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico.

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico. Exercícios da Parte II: Segurança da Informação Walter Cunha Criptografia (CESPE/PCF-PF 03 2002) 1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada

Leia mais

POLÍTICA DE SEGURANÇA DE TI

POLÍTICA DE SEGURANÇA DE TI POLÍTICA DE SEGURANÇA DE TI 1 ÍNDICE 1. CONSIDERAÇÕES INICIAIS... 3 2. PROPÓSITO... 3 3. ABRANGÊNCIA... 3 4. DISPOSIÇÕES GERAIS... 4 5. DAS DISPOSIÇÕES ESPECÍFICAS... 6 6. DOS COMPROMISSOS... 8 7. DOS

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

WEBMAIL Política de Uso Aceitável

WEBMAIL Política de Uso Aceitável WEBMAIL Política de Uso Aceitável Bem-vindo ao Correio Eletrônico da UFJF. O Correio Eletrônico da UFJF (Correio-UFJF) foi criado para ajudá-lo em suas comunicações internas e/ou externas à Universidade.

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 106/2013

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 106/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 106/2013 Assunto: Estabelece normas

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

PORTARIA Nº 1.063, DE 04 DE MARÇO DE 2016.

PORTARIA Nº 1.063, DE 04 DE MARÇO DE 2016. PORTARIA Nº 1.063, DE 04 DE MARÇO DE 2016. Altera os Anexos 1 e 3 da Portaria nº 4.772/2008, a qual institui a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região.

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES () Versão 2.0 08/08/2014 Política de Segurança da Informação e Comunicações - SUMÁRIO 1 FINALIDADE... 2 2 ABRANGÊNCIA... 2 3 CONCEITOS... 2 3.1 Autenticidade...

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais