SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança

Tamanho: px
Começar a partir da página:

Download "SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança"

Transcrição

1 UNIVERSIDADE DE BRASÍLIA INSTITUTO DE CIENCIAS EXATAS DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO SILVANA CRISPIM LOUREIRO SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança Orientador: Prof. Dr. Jacir Bordim Brasília, 14 janeiro de 2008

2 II UNIVERSIDADE DE BRASÍLIA INSTITUTO DE CIENCIAS EXATAS DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO SILVANA CRISPIM LOUREIRO SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como parte dos requisitos para obtenção do título de pós-graduada em Gestão da Segurança da Informação e Comunicações. Orientador: Prof. Dr. Jacir Bordim Coordenador: Prof. Dr. Jorge H C Fernandes Brasília, 14 janeiro de 2008

3 III SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança Silvana Crispim Loureiro Monografia de Especialização submetida e aprovada pela Universidade de Brasília como parte do requisito parcial para a obtenção do certificado de Especialista em Ciência da Computação: Gestão da Segurança da Informação. Aprovada em: 01 de dezembro de 2008 Prof. Dr. Jacir Bordim Universidade de Brasília Prof. Dr. Jorge H C Fernandes Universidade de Brasília Prof. Dr. João Gondim Universidade de Brasília Coordenador do curso: Prof. Dr. Jorge H C Fernandes Universidade de Brasília

4 IV Determinação coragem e autoconfiança são fatores decisivos para o sucesso. Se estamos possuídos por uma inabalável determinação conseguiremos superá-los. Independentemente das circunstâncias, devemos ser sempre humildes, recatados e despidos de orgulho. Dalai Lama

5 V Dedico Este trabalho ao meu marido e meus filhos que me incentivaram neste desafio.

6 VI SUMÁRIO 1 INTRODUÇÃO Objetivos Objetivo Geral Objetivos Específicos Justificativa Metodologia Organização do Trabalho MELHORES PRÁTICAS ASSOCIADAS À SI O Que é Segurança da Informação e Comunicação Metodologias em segurança da informação Norma ABNT NBR ISO/IEC Norma ABNT NBR ISO/IEC 27001: ITIL COBIT Aplicabilidade do COBIT Comparando as Normas de Segurança A importância de realizar a Análise de Risco GESTÃO DE ATIVOS EM UMA ORGANIZAÇÃO Responsabilidade Sobre os Ativos Inventário dos Ativos Proprietário dos Ativos Uso Aceitável de Ativos Classificação da Informação Contabilizando os ativos Classificando os ativos Classificação da informação quanto aos requisitos de segurança Classificação de Relevância dos Ativos Rótulos e Tratamento da Informação Ciclo de Vida da Informação INFORMAÇÃO E ESTRATÉGIA Definições e conceitos sobre Informações... 39

7 VII 5. ASPECTOS LEGAIS, POLÍTICAS E PROCEDIMENTOS Legislação sobre Segurança da Informação e Comunicação Política Nacional de Segurança das Informações Leis Decretos Normas Política de segurança da informação, padrões e procedimentos Decisões do Tribuna de Contas da União - TCU Considerações sobre a Política Nacional de Segurança das Informações GERENCIAMENTO DAS INFORMAÇÕES ESTRATÉGICAS Níveis da informação e tipos de informações estratégicas Característica da Informação Estratégica IDENTIFICANDO AS INFORMAÇÕES ESTRATÉGICAS DA AGU Situação Atual das Bases de Dados Estratégicas da AGU Levantamento dos Procedimentos de Segurança Existentes na AGU CONSIDERAÇÕES FINAIS REFERÊNCIAS BIBLIOGRÁFICAS... 62

8 VIII RESUMO Este estudo tem como objetivo realizar uma revisão bibliográfica acerca da Segurança da Informação, especialmente tratando da preservação das informações estratégicas e contribuir para ressaltar sua importância para a Advocacia-Geral da União - AGU. Na primeira parte do trabalho é apresentada uma pesquisa bibliográfica para nivelamento dos conceitos relacionados à informação, normas e melhores práticas existentes e aspectos legais, ressaltando o valor da informação, como recurso estratégico para organização. O foco do estudo será a Advocacia-Geral da União, que como outras organizações da Administração Pública Federal (APF) necessitam de informações seguras e confiáveis para tomada de decisão. Novos modelos para tratar de segurança têm sido propostos, mas são sempre voltados para parte tecnológica, esquecendo que a mudança de cultura, programas de conscientização e o apoio da alta direção são fatores primordiais para alcançar o sucesso. Na conclusão, apresenta sugestões de medidas a serem tomadas para aprimorar a Segurança da Informação, na Advocacia-Geral da União podendo até servir para utilização em outras organizações que ainda não iniciaram estudos para atender o Decreto Nº 3.595, que institui a Política de Segurança nos órgão e entidades APF. Palavras-chave: ABNT NBR ISO/IEC e 27001, Segurança da Informação, Ativos, Classificação da Informação.

9 IX ABSTRACT This study aims to conduct a review of the Security of Information, particularly the preservation of strategic information and also to help to emphasize its importance for the organization. In the first part of the work will be presented a literature search for to study the concepts related to information, standards and best practices and legal aspects, emphasizing the value of information, such as strategic resource for organization. The focus of the study will be the Advocacia-Geral da União (General Counsel of the State) and other organizations that the federal government needs to secure and reliable information for decision-making. New models for dealing with security have been proposed, but they are always focused on the technological but they forget that the change of culture, awareness and support programs for the high direction are key factors for achieving success. In conclusion, offering suggestions for measures to be taken to implement the models of Security of Information in Advocacia-Geral da União (General Counsel of the State), and also it could even serve to use in other organizations that have not begun studies to of the Decree No. 3595, that establishing the Security Policy in APF and others entities. Keywords: ABNT-NBR-ISO/IEC and 27001, Information Security, Assets, Classification of Information.

10 1 INTRODUÇÃO Quem tem o conhecimento e sabe como utilizá-lo em seu beneficio, tem o poder. POLLONI (2000) Diante do avanço tecnológico imposto ao mundo moderno, as organizações tiveram que se adequar, estabelecendo políticas e procedimentos de segurança fundamentais para a gestão da segurança da informação e comunicações. A segurança da informação evoluiu e não está apenas focada na confidencialidade da informação como anteriormente. Atende também os requisitos de assegurar disponibilidade, integridade, a autenticidade das informações. Todas as organizações estão em busca de comunicações seguras, dos sistemas seguros e de técnicas que permitam manipulação e armazenamentos seguros das informações estratégicas. A Advocacia-Geral da União - AGU foi criada pela Constituição de 1988, figurando como uma das funções essenciais à justiça. Tem como objetivo assessorar o Presidente da República em assuntos de natureza jurídica, além de representar judicialmente a União em atividades de consultoria. Para executar suas atribuições com segurança a AGU precisa conhecer suas informações para traçar estratégias jurídicas. Neste cenário, a pergunta-problema a ser respondida é: Com base na proteção das informações, o que ocorreria se a AGU não tivesse o controle e acompanhamento das ações em que atua? Este trabalho visa à realização da análise das informações estratégicas existentes na Advocacia-Geral da União e, com base nas orientações estabelecidas pela Norma ABNT NBR ISO/IEC 27002, demonstrar os equívocos hoje existentes no armazenamento e tratamento destes dados. Como resultado, será apresentado um modelo para o correto tratamento dessas informações, tornando-as seguras, sem torná-las inacessíveis ou ineficazes.

11 11 A importância deste estudo para Advocacia-Geral da União é garantir que as informações estratégicas estejam protegidas e prontamente disponíveis ao processo estratégico do negócio, permitindo garantir o planejamento nas ações que sustentam as necessidades do negócio. De acordo com Miranda (1998), a gestão da informação é fundamental para o desenvolvimento das organizações e nesse contexto o Tribunal de Contas da União TCU, em suas auditorias com abordagem em segurança da informação, em órgãos da Administração Pública Federal - APF, tem determinado que se inventarie os ativos de informação e estabeleça critérios para a classificação desses ativos (Acórdão nº /2007 do TCU). As auditorias realizadas pelo TCU objetivam avaliar se a gestão da segurança da informação está sendo efetivamente implementada e executada de modo a propiciar um ambiente seguro e disponível no qual as ameaças e vulnerabilidades sejam conhecidas e controladas. 1.1 Objetivos Objetivo Geral Apresentar uma proposta de modelo para tratamento das informações estratégicas, em consonância com a norma ABNT NBR ISO/IEC Objetivos Específicos Identificar as informações consideradas estratégicas para a AGU; Levantar os procedimentos de segurança existentes na AGU com relação ao trato de suas informações estratégicas; Identificar os pontos em desacordo com a norma ABNT NBR ISO/IEC 27002; Apresentar novos procedimentos, seguindo as orientações da norma ABNT NBR ISO/IEC 27002, de forma a diminuir ou eliminar os problemas detectados.

12 Justificativa A AGU, como as demais organizações da atualidade, está em busca de processos seguros que garantam a disponibilidade, integridade, confidencialidade e autenticidade de suas informações estratégicas. Atualmente o processo de segurança efetuado não adota um modelo específico que possa ser avaliado e retroalimentado, ou seja, está no nível de maturidade inicial efetuando esforços individuais e procedimentos informais. Como órgão essencial ao desempenho da justiça, a AGU deve ter seus procedimentos baseados em normas de segurança já consagradas e em consonância com os demais órgãos do governo federal. Deste modo, este trabalho se justifica no sentido de atender essa necessidade seguindo as orientações das melhores práticas adotadas no mercado de maneira a garantir que as informações estratégicas estejam protegidas e prontamente disponíveis aos processos estratégicos do negócio da AGU. 1.3 Metodologia A metodologia utilizada para as análises desenvolvidas neste trabalho baseou-se no método indutivo de análise qualitativa, classificando-a como qualitativa e bibliográfica, apresentado por Marconi e Lakatos (2003) e teve por meta a busca por meio desta, de elementos que subsidiassem de forma qualitativa os pressupostos básicos e essenciais, a interpretação e reflexão do problema objeto da pesquisa. A pesquisa terá um caráter metodológico-descritivo, no qual os fatos serão observados, analisados, registrados, classificados e por fim interpretados de forma concisa e embasados em referências bibliográficas, com base em métodos comparativos. A pesquisa é também quantitativa, na medida em que apresenta um estudo de caso, cujos dados a serem apresentados são oriundos de trabalhos de campo e de medições realizadas em ambiente informatizado da Advocacia- Geral da União.

13 Organização do Trabalho Este trabalho está organizado em capítulos. No segundo capítulo são tratados os principais conceitos relacionados à segurança da informação e às normas e padrões que facilitam o seu entendimento. O objeto do terceiro capítulo é a gestão de ativos, ou seja, a informação com capacidade de adicionar valor a processos, produtos e serviços e as metodologia de classificação dos ativos. O quarto capítulo trata do relacionamento entre ativos, informação e estratégia, enfatizando a importância da gestão da informação nas organizações da Administração Pública Federal com o propósito de apresentar a gestão de informação dentro de um referencial estratégico sendo um fator de crescimento e sustentabilidade das organizações. O quinto capítulo faz uma breve apresentação sobre os aspectos legais, políticas, leis, decretos sobre a segurança da informação. O sexto capítulo apresenta estudo de levantamento das informações estratégicas. O sétimo capítulo apresenta o estágio atual da segurança da informação na AGU. O último capítulo apresenta a conclusão do trabalho com o foco na gestão estratégica da informação na Advocacia-Geral da União.

14 14 2 MELHORES PRÁTICAS ASSOCIADAS À SI A expressão segurança da informação é normalmente usada para referenciar a proteção de informações mantidas em componentes de TI contra as ameaças que estão expostas. Adriana Beal A informação é um dos principais ativos da organização e como tal deve ser preservada em um ambiente seguro. Aplicar a Segurança da Informação não é mais um modismo, hoje se refere a uma necessidade estabelecida por normas e padrões técnicos. Para Ferreira (2003) à implantação de um conjunto de boas práticas em segurança da informação minimiza as chances de ocorrem problemas de segurança e facilita a administração das redes e dos recursos de forma segura. Entre os órgãos da APF podemos citar a Receita Federal e o SERPRO como instituições que tem adotado os controles recomendados para segurança da informação e possuem programas de conscientização dos usuários. Nas auditorias realizadas pelo Tribunal de Contas da União, o tribunal recomenda a conformidade e o desempenho dessas ações com bases na norma ABNT NBR ISO/IEC De acordo com o Manual de Boas Práticas do TCU (2003) O objetivo dessas fiscalizações é contribuir para o aperfeiçoamento da gestão pública, para que a Tecnologia da Informação agregue valor ao negócio da Administração Pública Federal em beneficio da sociedade. Neste contexto, segundo resenha da empresa Logike Associados, TEECE (1998) considera a informação como um ativo capaz de ter fluidez semelhante à de bens acabados, bens intermediários e outros bens e no caso da informação elas circulam sem a proteção devida.

15 O Que é Segurança da Informação e Comunicação A Instrução Normativa nº. 1 do Gabinete de Segurança Institucional da Presidência da República, na qualidade de Secretaria Executiva do Conselho de Defesa Nacional conceitua Segurança da Informação e Comunicações como ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações e considera: as informações tratadas no âmbito da Administração Pública Federal, direta e indireta, como ativos valiosos para a eficiente prestação dos serviços públicos; o interesse do cidadão como beneficiário dos serviços prestados pelos órgãos e entidades da Administração Pública Federal, direta e indireta; o dever do Estado de proteção das informações pessoais dos cidadãos; a necessidade de incrementar a segurança das redes e bancos de dados governamentais; e a necessidade de orientar a condução de políticas de segurança da informação e comunicações já existentes ou a serem implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta. Para a Norma ABNT NBR ISO/IEC no item 01. Introdução apresenta a seguinte definição para o assunto: A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectvidade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades (ver OECD Diretrizes para a Segurança de Sistemas de Informações e Redes). A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao

16 16 negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. (ABNT NBR ISO/IEC 27002). A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio, ABNT NBR O Decreto 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal no seu artigo 2º faz a seguinte conceituação no item II: II - Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaça a seu desenvolvimento. Peltier (2004, p.3) diz que além dos conceitos acima, a segurança deve ser parte de um programa de segurança, onde política, padrões e procedimentos são elementos chaves para garantir níveis apropriados de controle que garantam esse recurso, observando que uma política de segurança não se restringe a tecnologia da informação ou procedimentos de auditoria, deve ser objeto de todas as políticas da organização. Segundo Dias (2000), segurança é proteger as informações, sistemas, recursos e serviços contra erros, manipulação não autorizada e desastres visando à redução do impacto e diminuir a probabilidade de incidentes de segurança.

17 17 Podemos então, concluir com Ferreira (2003), que a segurança da informação protege a informação dos diversos tipos de ameaças, garantindo a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos. 2.2 Metodologias em segurança da informação As normas surgiram da preocupação com a segurança desde a criação e utilização dos primeiros computadores. Segundo Longo (2006) em seu artigo sobre o histórico e evolução das normas de segurança, o marco da primeira tentativa de criar regras para proteção dos dados foi em 1967, nos Estados Unidos. Para esta atividade foi estabelecida uma "força tarefa", que deu origem ao documento "Security Control for Computer System: Report of Defense Science Board Task Force on computer Security, editado por W. H. Ware. Este documento originou a criação de um conjunto de regras para segurança de computadores. Em 1972, J. P. Anderson produziu um modelo de relatório técnico que apresenta sua preocupação com os processos que envolvem a segurança dos dados em computadores. Este modelo juntamente com os modelos elaborados por D.E. Bell e por L. J. La Padula originou o modelo "Doctrine", que serviu de base para vários estudos com objetivos de estabelecer melhores práticas na segurança dos dados (Longo, 2006). Em 1985 foi publicada a primeira versão de um manual de segurança, para tratar da questão da Segurança de Dados, chamado de "DoD Computer Security Initiative". Para chegar a este modelo final foi necessário criar regras e estabelecer processos e procedimentos para validação. Estas regras são também conhecidas como de "The Orange Book", devido à cor laranja da capa deste manual de segurança. Este foi o início da criação de padrões de segurança. A partir dele foram criados outros padrões utilizando a mesma filosofia e métodos proprietários (Longo, 2006).

18 18 Com objetivo de chegar a um padrão que atendesse várias necessidades do mercado, novos estudos foram realizados até concluir uma norma com a visão mais ampla da segurança, ou seja, de toda ou qualquer forma de informação. Desse estudo nasceu a norma ISO/IEC (Longo, 2006). De acordo com a empresa PITZ 2008, uma norma é uma regra reconhecida legalmente por todos e concluída, com validade geral, bem como publicada através de um processo de normalização para solução de uma realidade. Para Ferreira (2003), esta necessidade em busca de padrões deve-se às áreas de TI tentar encontrar um modelo de segurança que atenda suas necessidades e a dificuldade de manter o controle desse modelo em suas áreas, uma vez que as evoluções tecnológicas criam necessidades constantes. As organizações estão expostas à quebra dos princípios básicos de segurança a todo instante. Os pontos básicos a serem tratados são a cultura de segurança da informação e o foco do negócio, Siewert (2007). A colocação de Albuquerque (2006) é de que a tecnologia disponível para garantir a segurança da informação não será eficaz se o foco for somente a tecnologia ao invés dos objetivos estratégicos do negócio das organizações. Segundo uma pesquisa da Ernst&Young, o principal motivo pelo qual uma empresa investe em segurança é a obrigação no cumprimento de normas e regulamentações (CAUBIT, 2006). As organizações devem alinhar suas ações com as melhores práticas para proteção e controle da informação. Os padrões de mercado mais aceitos pelas áreas do governo e empresas, segundo pesquisa da INFOSEC COUCIL(2006), são a norma ABNT NBR ISO/IEC 27002, COBIT e o ITIL, sendo que cada uma dessas práticas possui abordagem e escopo diferentes, como podemos verificar a seguir.

19 Norma ABNT NBR ISO/IEC No entendimento de Asciutti (2006), a norma ABNT NBR ISO/IEC é um manual de boas práticas de gestão de segurança da informação que tem como objetivo identificar os riscos e implantar medidas que de forma efetiva torne estes riscos gerenciáveis e minimizados. Ele conclui que a sua importância pode ser verificada pelo grande número de pessoas e ameaças a quem a informação é exposta na rede de computadores. O nome completo da norma é Técnicas de segurança - Código de prática para a gestão da segurança da informação e o seu conteúdo técnico é idêntico ao da ABNT NBR ISO/IEC A proteção ocorre a partir da implementação de uma série de controles como, por exemplo, a política de segurança, a classificação e controle dos ativos de informação, segurança física do ambiente, entre outros. A implantação desses controles não garante que a organização esteja 100% segura. O que se procura é reduzir os riscos a um nível aceitável pela organização. Com o foco na gestão de informações estratégicas a implantação desse padrão de segurança da informação, baseado em controles, contempla os seguintes aspectos de qualidade da informação, segundo Ferreira (2003): Confidencialidade: apenas pessoas autorizadas podem acessar as informações; Integridade: garantia que dados e sistemas estão corretos; Disponibilidade: usuários autorizados devem ter acesso às informações necessárias; Confiabilidade: a imagem da instituição deve ser protegida.

20 20 Esta norma apresenta orientações efetivas para o processo de segurança da informação na organização elencando os principais elementos desse processo devem ser desenvolvidos e implantados. O mais importante do que buscar a conformidade total com esta norma é conhecer a lista de recomendações e extrair o que puder ser útil para a organização. 2.4 Norma ABNT NBR ISO/IEC 27001:2006 A norma ABNT NBR ISO/IEC 27001:2006 é uma norma que possibilita às organizações a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), através do estabelecimento de uma política de segurança, controles e gerenciamento de riscos. Inclui o ciclo PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) de melhorias e apresenta uma visão por processos. Segundo a Fundação Vanzolini (2008), o PDCA é um método de gestão que se caracteriza por um ciclo de ações que se repete continuamente de forma a incorporar alterações no ambiente. Seu emprego garante uma efetiva gestão da empresa. Esta norma é bastante utilizada como referência em auditorias e serve como instrução normativa para toda administração pública. Seu objetivo fundamental é proteger as informações das organizações para que não caiam em mãos erradas ou se percam para sempre. A norma ABNT NBR ISO/IEC esta dividida em 11 capítulos principais renomeados e reorganizados conforme segue: 1. Políticas de Segurança; 2. Organizando a Segurança da Informação; 3. Gerenciamento de ativos; 4. Segurança dos Recursos Humanos; 5. Segurança Física e Ambiental; 6. Gerenciamento das Comunicações e Operações;

21 21 7. Controle de Acessos; 8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; 9. Gerenciamento de Incidentes na Segurança da Informação; 10. Gerenciamento da Continuidade do Negócio; 11. Conformidade. Nesta norma o conceito de ativos foi ampliado para incluir pessoas e imagem/reputação da organização, além dos ativos de softwares, ativos físicos e serviços já existentes na versão de ITIL No entendimento de Beal (2008), o ITIL (Information Technology Infrastructure Library) é um conjunto de documentos para registrar melhores práticas para a gestão de serviços de TI, desenvolvidos pelo governo do Reino Unido no final dos anos 80. Dita as regras de qualidade e eficiência nas organizações. O processo de melhor prática promovido no ITIL é apoiado pelo padrão da Instituição Britânica de padrões para o serviço de gerenciamento IT (BS15000). O ITIL tem a função de endereçar estruturas de processos para a gestão de uma organização de Tecnologia da Informação TI, apresentando um conjunto bastante genérico de processos e procedimentos gerenciais, organizados em disciplinas. Por meio deles uma organização esta capacitada a realizar a gestão tática e operacional objetivando alcançar o alinhamento estratégico com os negócios. As melhores práticas da ITIL têm como objetivos: Servir de inspiração para melhorar seus processos de TI; Sugerir onde é possível chegar, com base no resultado positivo que outras empresas já conseguiram resultados;

22 22 Sugerir para que sirvam os processos e práticas; Sugerir por que adotar os processos e práticas. Segundo INFOSEC COUCIL(2006), na gestão de segurança da informação, o ITIL possui um processo específico para a segurança da informação, enfatizando a importância do adequado gerenciamento de segurança e considerando os acordos de nível de serviços - SLA s, entre os processos de negócio e os de TI. O ITIL recomenda ainda que o gerenciamento de segurança faça parte do trabalho de cada gerente, em todos os níveis, e recomenda firmemente alguns procedimentos que visam à evolução da organização: Publicar um catálogo de serviços com um descritivo dos seus serviços, com as condições que atendem a cada requisito do negócio; Estabelecer com cada cliente interno um SLA acordo de nível de serviço; Estabelecer com os provedores de serviços os SLA, inclusive com as penalidades legais; Levantar os bancos de dados existentes e detalhar os ativos, inclusive valorando a informação; Criar service desk como ponto central e focal de contatos de todos os usuários da área de TI. O objetivo é conhecer todos os incidentes com foco na continuidade de serviços e manter o SLA com os clientes; Implementar gestão de problemas, área em que são identificados e estudados os incidentes, determinando suas causas e as medidas para evitá-los. Nesta abordagem é possível identificar onde a segurança está falhando;

23 23 Implementar gestão de mudanças, que coordenará todas as mudanças da área de TI baseando-se na documentação dos incidentes; Criar comitê de mudanças, que avaliará e autorizará as mudanças necessárias. É composto por representantes de todas as áreas de TI e vai ser o facilitador da introdução de novas medidas de segurança; Estabelecer a gestão de liberdade, com objetivo de controlar a implantação e distribuição de novas versões de softwares. A ITIL não é uma metodologia, pois as melhores práticas são flexíveis podendo adaptar aos processos da organização, já uma metodologia possui uma implementação mais rígida, com regras bem definidas. No ITIL tudo pode depende da maneira que você visualiza o padrão. Entre os principais objetivos da adoção da melhores práticas da ITIL podemos destacamos: Alinhar os Serviços de TI com as necessidades atuais e futuras do negócio e seus clientes; Melhorar a qualidade dos serviços de TI; Reduzir custos na provisão de serviços. A revista Computer World (2007) apresentou estudo onde conclui que as empresas com uma cultura de melhores práticas adotam o ITIL mais rapidamente, fazendo-o de forma extensiva. Além disso, este ajuda a gerar negócio para as companhias e a melhorar a produtividade. Contudo, o estudo revelou, também, que fora da organização de TI, o ITIL é um conceito desconhecido

24 COBIT De acordo com OLIVEIRA, MARTINS, SEGATE (2005) o COBIT (Control Objectives for Information and related Technology) é um conjunto de diretrizes para gestão e auditoria de processos, práticas e controles de TI. Seu principal objetivo é auxiliar a organização equilibrando risco x retorno em investimentos de TI. Oferece um modelo de maturidade para controle e processos de TI que abrange práticas em quatro domínios: Planejamento e organização, aquisição e implementação, entrega e suporte e monitoração. Possui mais de 300 pontos de controle para 34 processos, sendo um deles o de segurança da informação. Em termos de informação, o COBIT define os seguintes critérios: Eficácia, Eficiência, Confidencialidade, Integridade, Disponibilidade, Conformidade, Confiabilidade. A combinação desses elementos depende da natureza do processo de TI. Vale ressaltar que o COBIT é um modelo amplamente reconhecido e utilizado, no Brasil e no mundo, no âmbito da tecnologia da informação, tanto por gerentes de informática como por auditores de TI Aplicabilidade do COBIT De acordo com os diferentes autores, o COBIT pode ser aplicado em diferentes projetos e processos internos, abaixo seguem alguns exemplos: Conformidade com leis e regulamentações. O COBIT permite definir, por meios dos seus modelos, um programa de implementação do sistema de controles internos, ao menos nas questões dependentes de TI. Projetos de auditoria externa, a automação desse processo permite uma boa escabilidade em grandes empresas. O Check-up Tool, ferramenta de análise de riscos, possibilita avaliar os controles existentes de segurança da informação com base na ABNT NBR

25 25 ISO/IEC 27002, associando-os aos respectivos processos do COBIT. Projetos de Terceirização de Serviços, que exijam, por exemplo, uma avaliação do nível real de maturidade dos processos associados à manutenção da TI. O COBIT não prevê um processo de certificação de suas práticas, mas admite avaliação destas por meio de relatórios de auditória. 2.7 Comparando as Normas de Segurança Todas as normas apresentadas têm seu diferencial e sua importância na segurança das informações estratégicas. A norma ABNT ISO/IEC propõe a implantação de controle para garantir a segurança da informação enfatizando o que deve ser feito sem preocupar com os processos ou tecnologias para atingir este objetivo. Para atingir o objetivo deve ser utilizada em conjunto com outras normas, como a ABNT ISO/IEC A norma ABNT NBR ISO/IEC especifica como implantar os controles da norma ABNT NBR ISO/IEC e para isso propõe um modelo de gestão SGSI. O ITIL sugere a implantação de melhores práticas para a gestão de TI com o foco no negócio da empresa, garantindo a entrega dos serviços em um custo adequado para organização. E finalmente o COBIT que permite o acompanhamento e a comparação das práticas de controles e segurança de TI além de assegurar aos usuários a existência de controles. Suas diretrizes são bastante utilizadas no trabalho de auditoria realizado pelo TCU e por outras empresas. Por ser orientado ao negócio é capaz de fornecer informações detalhada para gerenciar processos baseados em objetivos de negócios. A tabela 1 apresenta uma comparação entre as normas de segurança da informação apresentadas capítulo:

26 26 Tabela 1 Comparativo entre normas de segurança da informação Norma Aspectos Positivos Observações ABNT NBR-ISO/IEC Tem o controle de segurança. Os controles são recomendações. Não é possível obter certificação ABNT NBR-ISO/IEC Implementa um sistema de gestão da segurança Os itens são obrigatórios. É possível obter a certificação. Processos de operação (o Foco no negócio, gestão de serviços de TI. ITIL que deve ser feito). Deve ser utilizado juntamente com COBIT Possui métricas, controles Utilizar juntamente com ITIL. COBIT e processos. 2.8 A importância de realizar a Análise de Risco A análise de risco é uma tendência atual das organizações preocupadas em saber qual o seu grau de exposição frente às ameaças capazes de comprometer a segurança do seu negócio. Brasiliano (2008) define risco como a condição que aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente. Nestas condições o risco é uma possibilidade do acontecimento ocorrer. Este acontecimento deve ser incerto não pode existir certeza que vai ocorrer, deve ser furtivo ou acidental e ter a característica negativa com o sentido de uma perda. O objetivo da análise de risco é identificar e classificar todos os riscos inerentes à atividade da organização, no que diz respeito a seus ativos de informação. Sendo mais abrangente que uma análise de vulnerabilidade a analise de risco busca por todas as possibilidades de exploração de vulnerabilidades lógicas e físicas. Para analisar risco é necessário estudar os principais processos do negócio, avaliar as vulnerabilidades e classificar o risco destes processos. A análise de risco se divide em cinco partes de igual importância e deve ser implantada na totalidade, pois cada etapa isolada representa pouco e juntas estão alinhadas e apontam caminhos seguros em busca de um nível

27 27 adequado de segurança para uma organização (RAMOS, 2006). Segundo o mesmo autor, as cinco etapas são: Identificação e Classificação dos Processos de Negócio Identificação e Classificação dos Ativos Análise de Ameaças e Danos Análise de Vulnerabilidades Análise de Risco O resultado da análise de risco é um documento que indica para alta administração que todos os cuidados foram tomados, para que o negócio da organização transcorra em segurança. Deve ser elaborada a relação dos ativos e indicado o seu valor e quais controles devem ser implementados estabelecendo os prazos. Ramos (2006) recomenda utilizar como referência as melhores práticas de segurança da informação do mercado, apontada na norma ABNT NBR ISO/IEC A partir das informações levantadas faz a elaboração do perfil de risco, utilizando a fórmula: Ameaça x Vulnerabilidade x Valor do Ativo = RISCO Os produtos gerados da analise de risco são a planilha de identificação e classificação dos ativos, relatório executivo de riscos e um relatório técnico que lista as vulnerabilidades classificadas por grau de risco, descrição para correção e outras informações relacionadas. Para que seja implantada com eficácia a análise de risco necessita do apoio da alta direção da empresa, pois envolve alteração dos valores culturais existentes. Uma organização que possui a análise de risco efetivamente implantada e retro-alimentada agrega solidez à informação corporativa.

28 28 são: Benefícios de uma análise de risco segundo a empresa AXUR (2008) Maior capacidade de controle, a partir do conhecimento das principais ameaças e vulnerabilidades ao ambiente de negócio; Compreensão de riscos de tecnologia, riscos administrativos e riscos físicos de comprometimento da Segurança da Informação; Maior capacidade de otimização de investimentos em Segurança da Informação; Gestão de Riscos em conformidade com as principais normas do mercado, em especial a ISO 27001; Sistematização do processo através de ferramenta de apoio para gestão de riscos; É importante entender que análise de risco é diferente de análise de vulnerabilidade. A análise de risco garante que uma organização tomou os cuidados necessários para que seus planos se concretizem. Quando a análise de risco é instituída formalmente é gerado um documento identificando quais controles devem ser implementados e em que tempo, uma avaliação do valor da informação e a que custo ela vai ser protegida. Uma análise de risco deve ser feita antes de uma organização iniciar um projeto ou novo processo de negócio. A equipe a ser envolvida deve ser de técnicos especialistas em análise de riscos e no negócio da organização. Verificando artigo da Expresso Digital (2007), de que é alto o número de incidentes de segurança que ocorrem nas redes de órgãos da administração pública, sendo que no primeiro quadrimestre de 2007 mais de 1,1 milhão foram detectados. Podemos entender que fazer uma gestão do risco na AGU vai permitir identificar e implementar medidas de proteção necessárias para diminuir os riscos a que as organizações públicas estão expostas (Diretoria de Segurança da Informação e Comunicação DSIC).

29 29 3. GESTÃO DE ATIVOS EM UMA ORGANIZAÇÃO A Segurança de Informação objetiva garantir requisitos mínimos e essenciais para preservar o negócio da organização, atender os requisitos legais e principalmente resguardar a imagem da organização. Para ICP Brasil (Infra-estrutura de Chaves Públicas Brasileira), ativo de informação é o patrimônio composto por todos os dados e informações geradas e manipuladas durante a execução dos sistemas e processos de uma organização. É tudo que a organização possui envolvido nos seus processos e que é de extrema importância para seu negócio. Os ativos da organização envolvem as pessoas, a informação e a tecnologia empregadas em cada processo. A proteção dos ativos deve ser implantada em todas as áreas da organização, pois a informação é encontrada em diversos meios como: em uma mesa de trabalho, em papéis sobre a mesa, no lixo descartado, armazenado eletronicamente nas estações de trabalho e nos servidores, no , e em diversos outros locais. A organização deve observar o tipo de informação que as pessoas tratam para poder estabelecer o nível de segurança necessária. A proteção dos ativos é o objetivo da segurança da informação que leva em conta os objetivos fundamentais listados abaixo como princípios básicos da segurança da informação: Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento de forma que as alterações sejam planejadas e autorizadas. Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

30 30 Autenticidade: Garantir a veracidade do emissor, sendo genuíno e que possa ser verificado quanto à sua confiança. Recentemente outros dois objetivos têm sido bastante discutidos: Não Repúdio: Garantir a autoria de determinadas ações impedindo o repúdio (negação) da mesma. Conformidade: Garantir que as medidas legais cabíveis são aplicadas quando necessárias. A figura 1 apresenta o modelo dos objetivos da segurança da informação. Figura 1 Objetivos da Segurança da Informação Fonte: adaptado da apostila do curso de GESIC 2008 prof. Gilberto 3.1 Responsabilidade Sobre os Ativos Segundo a ABNT NBR ISO/IEC 27001:2006 (p. 16) o objetivo de identificar os responsáveis pelos ativos é alcançar e manter a proteção adequada dos ativos da organização Inventário dos Ativos O inventário dos ativos, conforme acórdão do TCU é a classificação do nível de confidencialidade de cada ativo e a definição de procedimentos para garantir a segurança nas diversas mídias nas quais a informação é

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Tribunal Regional Eleitoral de Santa Catarina

Tribunal Regional Eleitoral de Santa Catarina Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETI) Secretaria de Tecnologia da Informação Florianópolis, março de 2010. Apresentação A informatização crescente vem impactando diretamente

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799 Fundamentos em Segurança de Redes de Computadores 1 Objetivos Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL

Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL Fernando Riquelme i Resumo. A necessidade por criar processos mais eficientes,

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto José Geraldo Loureiro Rodrigues Orientador: João Souza Neto Análise dos três níveis: Governança Corporativa Governança de TI Gerenciamento da Área de TI ORGANIZAÇÃO Governança Corporativa Governança

Leia mais

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais, Dispõe sobre a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 11ª. Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 13/IN01/DSIC/GSIPR 00 30/JAN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA GESTÃO DE MUDANÇAS NOS ASPECTOS RELATIVOS

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 12/06/2014 13:58:56 Endereço IP: 200.252.42.196 1. Liderança da alta administração 1.1. Com

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 08/08/2014 19:53:40 Endereço IP: 150.164.72.183 1. Liderança da alta administração 1.1. Com

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Auditoria Interna na Área de Tecnologia da Informação

Auditoria Interna na Área de Tecnologia da Informação Auditoria Interna na Área de Tecnologia da Informação André Luiz Furtado Pacheco, CISA 4º Workshop de Auditoria de TI da Caixa Brasília, agosto de 2011 Agenda Introdução Exemplos de Deliberações pelo TCU

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

Informação e Comunicações

Informação e Comunicações ORIGEM Ministério da Integração Nacional Departamento Nacional de Obras Política de Segurança da Contra as Secas DNOCS Informação e Comunicações Departamento Nacional de Obras Contra as Secas REFERÊNCIA

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

A NOVA POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO ESPÍRITO SANTO

A NOVA POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO ESPÍRITO SANTO Centro de Convenções Ulysses Guimarães Brasília/DF 4, 5 e 6 de junho de 2012 A NOVA POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO ESPÍRITO SANTO Pablo Sandin Amaral Renato Machado Albert

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Correlação entre CobiT e ITIL e norma ISO 17799

Correlação entre CobiT e ITIL e norma ISO 17799 Correlação entre CobiT e ITIL e norma ISO 17799 1. Resumo A dependência atual das organizações da sua infra-estrutura de TI (Tecnologia da Informação), associado às oportunidades, benefícios e riscos inerentes

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Proposta de um Programa de Segurança da Informação para as Autarquias Federais

Proposta de um Programa de Segurança da Informação para as Autarquias Federais Proposta de um Programa de Segurança da Informação para as Autarquias Federais Johnson, Luciano Mestrado Multidisciplinar em Ciência, Gestão e Tecnologia da Informação. Universidade Federal do Paraná -

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Dispõe sobre a criação do Plano de Contingência e Política de Segurança da Informação e Comunicações do Instituto Federal Farroupilha

Leia mais

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio?

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? A Tecnologia da Informação vem evoluindo constantemente, e as empresas seja qual for seu porte estão cada

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Ciência da Computação Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Agenda Histórico Conceitos básicos Objetivos Visão Geral do Modelo Publicações: Estratégia de

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

Carlos Henrique Santos da Silva

Carlos Henrique Santos da Silva GOVERNANÇA DE TI Carlos Henrique Santos da Silva Mestre em Informática em Sistemas de Informação UFRJ/IM Certificado em Project Management Professional (PMP) PMI Certificado em IT Services Management ITIL

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

Sumário. Gerenciamento de serviços de TI terceirizados usando ITIL e ITSM. Boletim técnico

Sumário. Gerenciamento de serviços de TI terceirizados usando ITIL e ITSM. Boletim técnico Gerenciamento de serviços de TI terceirizados usando ITIL e ITSM Boletim técnico Sumário Resumo executivo...................................................2 A oportunidade do Gerenciamento de Serviços

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 06/06/2014 18:22:39 Endereço IP: 189.9.1.20 1. Liderança da alta administração 1.1. Com relação

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC MINISTÉRIO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO GABINETE DO MINISTRO PORTARIA Nº 795, DE 5 DE SETEMBRO DE 2012 O MINISTRO DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO, no uso de suas atribuições

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

PR 29/07/2013. Instrução Normativa Nº 24/2013

PR 29/07/2013. Instrução Normativa Nº 24/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PR 29/07/2013 Instrução Normativa Nº 24/2013 Assunto: Institui a Política

Leia mais

Serviço de Avaliaça o e Planejamento de Governança de TI

Serviço de Avaliaça o e Planejamento de Governança de TI efagundes.com Serviço de Avaliaça o e Planejamento de Governança de TI O serviço especializado avalia, planeja e implanta um modelo de governança nas organizações de TI alinhado com as estratégias e operações

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 Proposta de Política de Segurança da Informação e Comunicações da Anatel O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES,

Leia mais

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0 TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO Brivaldo Marinho - Consultor Versão 1.0 CONTROLE DA DOCUMENTAÇÃO Elaboração Consultor Aprovação Diretoria de Informática Referência do Produto

Leia mais