SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança

Tamanho: px
Começar a partir da página:

Download "SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança"

Transcrição

1 UNIVERSIDADE DE BRASÍLIA INSTITUTO DE CIENCIAS EXATAS DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO SILVANA CRISPIM LOUREIRO SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança Orientador: Prof. Dr. Jacir Bordim Brasília, 14 janeiro de 2008

2 II UNIVERSIDADE DE BRASÍLIA INSTITUTO DE CIENCIAS EXATAS DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO SILVANA CRISPIM LOUREIRO SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como parte dos requisitos para obtenção do título de pós-graduada em Gestão da Segurança da Informação e Comunicações. Orientador: Prof. Dr. Jacir Bordim Coordenador: Prof. Dr. Jorge H C Fernandes Brasília, 14 janeiro de 2008

3 III SEGURANÇA DA INFORMAÇÃO Preservação das Informações Estratégicas com Foco em sua Segurança Silvana Crispim Loureiro Monografia de Especialização submetida e aprovada pela Universidade de Brasília como parte do requisito parcial para a obtenção do certificado de Especialista em Ciência da Computação: Gestão da Segurança da Informação. Aprovada em: 01 de dezembro de 2008 Prof. Dr. Jacir Bordim Universidade de Brasília Prof. Dr. Jorge H C Fernandes Universidade de Brasília Prof. Dr. João Gondim Universidade de Brasília Coordenador do curso: Prof. Dr. Jorge H C Fernandes Universidade de Brasília

4 IV Determinação coragem e autoconfiança são fatores decisivos para o sucesso. Se estamos possuídos por uma inabalável determinação conseguiremos superá-los. Independentemente das circunstâncias, devemos ser sempre humildes, recatados e despidos de orgulho. Dalai Lama

5 V Dedico Este trabalho ao meu marido e meus filhos que me incentivaram neste desafio.

6 VI SUMÁRIO 1 INTRODUÇÃO Objetivos Objetivo Geral Objetivos Específicos Justificativa Metodologia Organização do Trabalho MELHORES PRÁTICAS ASSOCIADAS À SI O Que é Segurança da Informação e Comunicação Metodologias em segurança da informação Norma ABNT NBR ISO/IEC Norma ABNT NBR ISO/IEC 27001: ITIL COBIT Aplicabilidade do COBIT Comparando as Normas de Segurança A importância de realizar a Análise de Risco GESTÃO DE ATIVOS EM UMA ORGANIZAÇÃO Responsabilidade Sobre os Ativos Inventário dos Ativos Proprietário dos Ativos Uso Aceitável de Ativos Classificação da Informação Contabilizando os ativos Classificando os ativos Classificação da informação quanto aos requisitos de segurança Classificação de Relevância dos Ativos Rótulos e Tratamento da Informação Ciclo de Vida da Informação INFORMAÇÃO E ESTRATÉGIA Definições e conceitos sobre Informações... 39

7 VII 5. ASPECTOS LEGAIS, POLÍTICAS E PROCEDIMENTOS Legislação sobre Segurança da Informação e Comunicação Política Nacional de Segurança das Informações Leis Decretos Normas Política de segurança da informação, padrões e procedimentos Decisões do Tribuna de Contas da União - TCU Considerações sobre a Política Nacional de Segurança das Informações GERENCIAMENTO DAS INFORMAÇÕES ESTRATÉGICAS Níveis da informação e tipos de informações estratégicas Característica da Informação Estratégica IDENTIFICANDO AS INFORMAÇÕES ESTRATÉGICAS DA AGU Situação Atual das Bases de Dados Estratégicas da AGU Levantamento dos Procedimentos de Segurança Existentes na AGU CONSIDERAÇÕES FINAIS REFERÊNCIAS BIBLIOGRÁFICAS... 62

8 VIII RESUMO Este estudo tem como objetivo realizar uma revisão bibliográfica acerca da Segurança da Informação, especialmente tratando da preservação das informações estratégicas e contribuir para ressaltar sua importância para a Advocacia-Geral da União - AGU. Na primeira parte do trabalho é apresentada uma pesquisa bibliográfica para nivelamento dos conceitos relacionados à informação, normas e melhores práticas existentes e aspectos legais, ressaltando o valor da informação, como recurso estratégico para organização. O foco do estudo será a Advocacia-Geral da União, que como outras organizações da Administração Pública Federal (APF) necessitam de informações seguras e confiáveis para tomada de decisão. Novos modelos para tratar de segurança têm sido propostos, mas são sempre voltados para parte tecnológica, esquecendo que a mudança de cultura, programas de conscientização e o apoio da alta direção são fatores primordiais para alcançar o sucesso. Na conclusão, apresenta sugestões de medidas a serem tomadas para aprimorar a Segurança da Informação, na Advocacia-Geral da União podendo até servir para utilização em outras organizações que ainda não iniciaram estudos para atender o Decreto Nº 3.595, que institui a Política de Segurança nos órgão e entidades APF. Palavras-chave: ABNT NBR ISO/IEC e 27001, Segurança da Informação, Ativos, Classificação da Informação.

9 IX ABSTRACT This study aims to conduct a review of the Security of Information, particularly the preservation of strategic information and also to help to emphasize its importance for the organization. In the first part of the work will be presented a literature search for to study the concepts related to information, standards and best practices and legal aspects, emphasizing the value of information, such as strategic resource for organization. The focus of the study will be the Advocacia-Geral da União (General Counsel of the State) and other organizations that the federal government needs to secure and reliable information for decision-making. New models for dealing with security have been proposed, but they are always focused on the technological but they forget that the change of culture, awareness and support programs for the high direction are key factors for achieving success. In conclusion, offering suggestions for measures to be taken to implement the models of Security of Information in Advocacia-Geral da União (General Counsel of the State), and also it could even serve to use in other organizations that have not begun studies to of the Decree No. 3595, that establishing the Security Policy in APF and others entities. Keywords: ABNT-NBR-ISO/IEC and 27001, Information Security, Assets, Classification of Information.

10 1 INTRODUÇÃO Quem tem o conhecimento e sabe como utilizá-lo em seu beneficio, tem o poder. POLLONI (2000) Diante do avanço tecnológico imposto ao mundo moderno, as organizações tiveram que se adequar, estabelecendo políticas e procedimentos de segurança fundamentais para a gestão da segurança da informação e comunicações. A segurança da informação evoluiu e não está apenas focada na confidencialidade da informação como anteriormente. Atende também os requisitos de assegurar disponibilidade, integridade, a autenticidade das informações. Todas as organizações estão em busca de comunicações seguras, dos sistemas seguros e de técnicas que permitam manipulação e armazenamentos seguros das informações estratégicas. A Advocacia-Geral da União - AGU foi criada pela Constituição de 1988, figurando como uma das funções essenciais à justiça. Tem como objetivo assessorar o Presidente da República em assuntos de natureza jurídica, além de representar judicialmente a União em atividades de consultoria. Para executar suas atribuições com segurança a AGU precisa conhecer suas informações para traçar estratégias jurídicas. Neste cenário, a pergunta-problema a ser respondida é: Com base na proteção das informações, o que ocorreria se a AGU não tivesse o controle e acompanhamento das ações em que atua? Este trabalho visa à realização da análise das informações estratégicas existentes na Advocacia-Geral da União e, com base nas orientações estabelecidas pela Norma ABNT NBR ISO/IEC 27002, demonstrar os equívocos hoje existentes no armazenamento e tratamento destes dados. Como resultado, será apresentado um modelo para o correto tratamento dessas informações, tornando-as seguras, sem torná-las inacessíveis ou ineficazes.

11 11 A importância deste estudo para Advocacia-Geral da União é garantir que as informações estratégicas estejam protegidas e prontamente disponíveis ao processo estratégico do negócio, permitindo garantir o planejamento nas ações que sustentam as necessidades do negócio. De acordo com Miranda (1998), a gestão da informação é fundamental para o desenvolvimento das organizações e nesse contexto o Tribunal de Contas da União TCU, em suas auditorias com abordagem em segurança da informação, em órgãos da Administração Pública Federal - APF, tem determinado que se inventarie os ativos de informação e estabeleça critérios para a classificação desses ativos (Acórdão nº /2007 do TCU). As auditorias realizadas pelo TCU objetivam avaliar se a gestão da segurança da informação está sendo efetivamente implementada e executada de modo a propiciar um ambiente seguro e disponível no qual as ameaças e vulnerabilidades sejam conhecidas e controladas. 1.1 Objetivos Objetivo Geral Apresentar uma proposta de modelo para tratamento das informações estratégicas, em consonância com a norma ABNT NBR ISO/IEC Objetivos Específicos Identificar as informações consideradas estratégicas para a AGU; Levantar os procedimentos de segurança existentes na AGU com relação ao trato de suas informações estratégicas; Identificar os pontos em desacordo com a norma ABNT NBR ISO/IEC 27002; Apresentar novos procedimentos, seguindo as orientações da norma ABNT NBR ISO/IEC 27002, de forma a diminuir ou eliminar os problemas detectados.

12 Justificativa A AGU, como as demais organizações da atualidade, está em busca de processos seguros que garantam a disponibilidade, integridade, confidencialidade e autenticidade de suas informações estratégicas. Atualmente o processo de segurança efetuado não adota um modelo específico que possa ser avaliado e retroalimentado, ou seja, está no nível de maturidade inicial efetuando esforços individuais e procedimentos informais. Como órgão essencial ao desempenho da justiça, a AGU deve ter seus procedimentos baseados em normas de segurança já consagradas e em consonância com os demais órgãos do governo federal. Deste modo, este trabalho se justifica no sentido de atender essa necessidade seguindo as orientações das melhores práticas adotadas no mercado de maneira a garantir que as informações estratégicas estejam protegidas e prontamente disponíveis aos processos estratégicos do negócio da AGU. 1.3 Metodologia A metodologia utilizada para as análises desenvolvidas neste trabalho baseou-se no método indutivo de análise qualitativa, classificando-a como qualitativa e bibliográfica, apresentado por Marconi e Lakatos (2003) e teve por meta a busca por meio desta, de elementos que subsidiassem de forma qualitativa os pressupostos básicos e essenciais, a interpretação e reflexão do problema objeto da pesquisa. A pesquisa terá um caráter metodológico-descritivo, no qual os fatos serão observados, analisados, registrados, classificados e por fim interpretados de forma concisa e embasados em referências bibliográficas, com base em métodos comparativos. A pesquisa é também quantitativa, na medida em que apresenta um estudo de caso, cujos dados a serem apresentados são oriundos de trabalhos de campo e de medições realizadas em ambiente informatizado da Advocacia- Geral da União.

13 Organização do Trabalho Este trabalho está organizado em capítulos. No segundo capítulo são tratados os principais conceitos relacionados à segurança da informação e às normas e padrões que facilitam o seu entendimento. O objeto do terceiro capítulo é a gestão de ativos, ou seja, a informação com capacidade de adicionar valor a processos, produtos e serviços e as metodologia de classificação dos ativos. O quarto capítulo trata do relacionamento entre ativos, informação e estratégia, enfatizando a importância da gestão da informação nas organizações da Administração Pública Federal com o propósito de apresentar a gestão de informação dentro de um referencial estratégico sendo um fator de crescimento e sustentabilidade das organizações. O quinto capítulo faz uma breve apresentação sobre os aspectos legais, políticas, leis, decretos sobre a segurança da informação. O sexto capítulo apresenta estudo de levantamento das informações estratégicas. O sétimo capítulo apresenta o estágio atual da segurança da informação na AGU. O último capítulo apresenta a conclusão do trabalho com o foco na gestão estratégica da informação na Advocacia-Geral da União.

14 14 2 MELHORES PRÁTICAS ASSOCIADAS À SI A expressão segurança da informação é normalmente usada para referenciar a proteção de informações mantidas em componentes de TI contra as ameaças que estão expostas. Adriana Beal A informação é um dos principais ativos da organização e como tal deve ser preservada em um ambiente seguro. Aplicar a Segurança da Informação não é mais um modismo, hoje se refere a uma necessidade estabelecida por normas e padrões técnicos. Para Ferreira (2003) à implantação de um conjunto de boas práticas em segurança da informação minimiza as chances de ocorrem problemas de segurança e facilita a administração das redes e dos recursos de forma segura. Entre os órgãos da APF podemos citar a Receita Federal e o SERPRO como instituições que tem adotado os controles recomendados para segurança da informação e possuem programas de conscientização dos usuários. Nas auditorias realizadas pelo Tribunal de Contas da União, o tribunal recomenda a conformidade e o desempenho dessas ações com bases na norma ABNT NBR ISO/IEC De acordo com o Manual de Boas Práticas do TCU (2003) O objetivo dessas fiscalizações é contribuir para o aperfeiçoamento da gestão pública, para que a Tecnologia da Informação agregue valor ao negócio da Administração Pública Federal em beneficio da sociedade. Neste contexto, segundo resenha da empresa Logike Associados, TEECE (1998) considera a informação como um ativo capaz de ter fluidez semelhante à de bens acabados, bens intermediários e outros bens e no caso da informação elas circulam sem a proteção devida.

15 O Que é Segurança da Informação e Comunicação A Instrução Normativa nº. 1 do Gabinete de Segurança Institucional da Presidência da República, na qualidade de Secretaria Executiva do Conselho de Defesa Nacional conceitua Segurança da Informação e Comunicações como ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações e considera: as informações tratadas no âmbito da Administração Pública Federal, direta e indireta, como ativos valiosos para a eficiente prestação dos serviços públicos; o interesse do cidadão como beneficiário dos serviços prestados pelos órgãos e entidades da Administração Pública Federal, direta e indireta; o dever do Estado de proteção das informações pessoais dos cidadãos; a necessidade de incrementar a segurança das redes e bancos de dados governamentais; e a necessidade de orientar a condução de políticas de segurança da informação e comunicações já existentes ou a serem implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta. Para a Norma ABNT NBR ISO/IEC no item 01. Introdução apresenta a seguinte definição para o assunto: A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectvidade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades (ver OECD Diretrizes para a Segurança de Sistemas de Informações e Redes). A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao

16 16 negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. (ABNT NBR ISO/IEC 27002). A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio, ABNT NBR O Decreto 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal no seu artigo 2º faz a seguinte conceituação no item II: II - Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaça a seu desenvolvimento. Peltier (2004, p.3) diz que além dos conceitos acima, a segurança deve ser parte de um programa de segurança, onde política, padrões e procedimentos são elementos chaves para garantir níveis apropriados de controle que garantam esse recurso, observando que uma política de segurança não se restringe a tecnologia da informação ou procedimentos de auditoria, deve ser objeto de todas as políticas da organização. Segundo Dias (2000), segurança é proteger as informações, sistemas, recursos e serviços contra erros, manipulação não autorizada e desastres visando à redução do impacto e diminuir a probabilidade de incidentes de segurança.

17 17 Podemos então, concluir com Ferreira (2003), que a segurança da informação protege a informação dos diversos tipos de ameaças, garantindo a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos. 2.2 Metodologias em segurança da informação As normas surgiram da preocupação com a segurança desde a criação e utilização dos primeiros computadores. Segundo Longo (2006) em seu artigo sobre o histórico e evolução das normas de segurança, o marco da primeira tentativa de criar regras para proteção dos dados foi em 1967, nos Estados Unidos. Para esta atividade foi estabelecida uma "força tarefa", que deu origem ao documento "Security Control for Computer System: Report of Defense Science Board Task Force on computer Security, editado por W. H. Ware. Este documento originou a criação de um conjunto de regras para segurança de computadores. Em 1972, J. P. Anderson produziu um modelo de relatório técnico que apresenta sua preocupação com os processos que envolvem a segurança dos dados em computadores. Este modelo juntamente com os modelos elaborados por D.E. Bell e por L. J. La Padula originou o modelo "Doctrine", que serviu de base para vários estudos com objetivos de estabelecer melhores práticas na segurança dos dados (Longo, 2006). Em 1985 foi publicada a primeira versão de um manual de segurança, para tratar da questão da Segurança de Dados, chamado de "DoD Computer Security Initiative". Para chegar a este modelo final foi necessário criar regras e estabelecer processos e procedimentos para validação. Estas regras são também conhecidas como de "The Orange Book", devido à cor laranja da capa deste manual de segurança. Este foi o início da criação de padrões de segurança. A partir dele foram criados outros padrões utilizando a mesma filosofia e métodos proprietários (Longo, 2006).

18 18 Com objetivo de chegar a um padrão que atendesse várias necessidades do mercado, novos estudos foram realizados até concluir uma norma com a visão mais ampla da segurança, ou seja, de toda ou qualquer forma de informação. Desse estudo nasceu a norma ISO/IEC (Longo, 2006). De acordo com a empresa PITZ 2008, uma norma é uma regra reconhecida legalmente por todos e concluída, com validade geral, bem como publicada através de um processo de normalização para solução de uma realidade. Para Ferreira (2003), esta necessidade em busca de padrões deve-se às áreas de TI tentar encontrar um modelo de segurança que atenda suas necessidades e a dificuldade de manter o controle desse modelo em suas áreas, uma vez que as evoluções tecnológicas criam necessidades constantes. As organizações estão expostas à quebra dos princípios básicos de segurança a todo instante. Os pontos básicos a serem tratados são a cultura de segurança da informação e o foco do negócio, Siewert (2007). A colocação de Albuquerque (2006) é de que a tecnologia disponível para garantir a segurança da informação não será eficaz se o foco for somente a tecnologia ao invés dos objetivos estratégicos do negócio das organizações. Segundo uma pesquisa da Ernst&Young, o principal motivo pelo qual uma empresa investe em segurança é a obrigação no cumprimento de normas e regulamentações (CAUBIT, 2006). As organizações devem alinhar suas ações com as melhores práticas para proteção e controle da informação. Os padrões de mercado mais aceitos pelas áreas do governo e empresas, segundo pesquisa da INFOSEC COUCIL(2006), são a norma ABNT NBR ISO/IEC 27002, COBIT e o ITIL, sendo que cada uma dessas práticas possui abordagem e escopo diferentes, como podemos verificar a seguir.

19 Norma ABNT NBR ISO/IEC No entendimento de Asciutti (2006), a norma ABNT NBR ISO/IEC é um manual de boas práticas de gestão de segurança da informação que tem como objetivo identificar os riscos e implantar medidas que de forma efetiva torne estes riscos gerenciáveis e minimizados. Ele conclui que a sua importância pode ser verificada pelo grande número de pessoas e ameaças a quem a informação é exposta na rede de computadores. O nome completo da norma é Técnicas de segurança - Código de prática para a gestão da segurança da informação e o seu conteúdo técnico é idêntico ao da ABNT NBR ISO/IEC A proteção ocorre a partir da implementação de uma série de controles como, por exemplo, a política de segurança, a classificação e controle dos ativos de informação, segurança física do ambiente, entre outros. A implantação desses controles não garante que a organização esteja 100% segura. O que se procura é reduzir os riscos a um nível aceitável pela organização. Com o foco na gestão de informações estratégicas a implantação desse padrão de segurança da informação, baseado em controles, contempla os seguintes aspectos de qualidade da informação, segundo Ferreira (2003): Confidencialidade: apenas pessoas autorizadas podem acessar as informações; Integridade: garantia que dados e sistemas estão corretos; Disponibilidade: usuários autorizados devem ter acesso às informações necessárias; Confiabilidade: a imagem da instituição deve ser protegida.

20 20 Esta norma apresenta orientações efetivas para o processo de segurança da informação na organização elencando os principais elementos desse processo devem ser desenvolvidos e implantados. O mais importante do que buscar a conformidade total com esta norma é conhecer a lista de recomendações e extrair o que puder ser útil para a organização. 2.4 Norma ABNT NBR ISO/IEC 27001:2006 A norma ABNT NBR ISO/IEC 27001:2006 é uma norma que possibilita às organizações a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), através do estabelecimento de uma política de segurança, controles e gerenciamento de riscos. Inclui o ciclo PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) de melhorias e apresenta uma visão por processos. Segundo a Fundação Vanzolini (2008), o PDCA é um método de gestão que se caracteriza por um ciclo de ações que se repete continuamente de forma a incorporar alterações no ambiente. Seu emprego garante uma efetiva gestão da empresa. Esta norma é bastante utilizada como referência em auditorias e serve como instrução normativa para toda administração pública. Seu objetivo fundamental é proteger as informações das organizações para que não caiam em mãos erradas ou se percam para sempre. A norma ABNT NBR ISO/IEC esta dividida em 11 capítulos principais renomeados e reorganizados conforme segue: 1. Políticas de Segurança; 2. Organizando a Segurança da Informação; 3. Gerenciamento de ativos; 4. Segurança dos Recursos Humanos; 5. Segurança Física e Ambiental; 6. Gerenciamento das Comunicações e Operações;

21 21 7. Controle de Acessos; 8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; 9. Gerenciamento de Incidentes na Segurança da Informação; 10. Gerenciamento da Continuidade do Negócio; 11. Conformidade. Nesta norma o conceito de ativos foi ampliado para incluir pessoas e imagem/reputação da organização, além dos ativos de softwares, ativos físicos e serviços já existentes na versão de ITIL No entendimento de Beal (2008), o ITIL (Information Technology Infrastructure Library) é um conjunto de documentos para registrar melhores práticas para a gestão de serviços de TI, desenvolvidos pelo governo do Reino Unido no final dos anos 80. Dita as regras de qualidade e eficiência nas organizações. O processo de melhor prática promovido no ITIL é apoiado pelo padrão da Instituição Britânica de padrões para o serviço de gerenciamento IT (BS15000). O ITIL tem a função de endereçar estruturas de processos para a gestão de uma organização de Tecnologia da Informação TI, apresentando um conjunto bastante genérico de processos e procedimentos gerenciais, organizados em disciplinas. Por meio deles uma organização esta capacitada a realizar a gestão tática e operacional objetivando alcançar o alinhamento estratégico com os negócios. As melhores práticas da ITIL têm como objetivos: Servir de inspiração para melhorar seus processos de TI; Sugerir onde é possível chegar, com base no resultado positivo que outras empresas já conseguiram resultados;

22 22 Sugerir para que sirvam os processos e práticas; Sugerir por que adotar os processos e práticas. Segundo INFOSEC COUCIL(2006), na gestão de segurança da informação, o ITIL possui um processo específico para a segurança da informação, enfatizando a importância do adequado gerenciamento de segurança e considerando os acordos de nível de serviços - SLA s, entre os processos de negócio e os de TI. O ITIL recomenda ainda que o gerenciamento de segurança faça parte do trabalho de cada gerente, em todos os níveis, e recomenda firmemente alguns procedimentos que visam à evolução da organização: Publicar um catálogo de serviços com um descritivo dos seus serviços, com as condições que atendem a cada requisito do negócio; Estabelecer com cada cliente interno um SLA acordo de nível de serviço; Estabelecer com os provedores de serviços os SLA, inclusive com as penalidades legais; Levantar os bancos de dados existentes e detalhar os ativos, inclusive valorando a informação; Criar service desk como ponto central e focal de contatos de todos os usuários da área de TI. O objetivo é conhecer todos os incidentes com foco na continuidade de serviços e manter o SLA com os clientes; Implementar gestão de problemas, área em que são identificados e estudados os incidentes, determinando suas causas e as medidas para evitá-los. Nesta abordagem é possível identificar onde a segurança está falhando;

23 23 Implementar gestão de mudanças, que coordenará todas as mudanças da área de TI baseando-se na documentação dos incidentes; Criar comitê de mudanças, que avaliará e autorizará as mudanças necessárias. É composto por representantes de todas as áreas de TI e vai ser o facilitador da introdução de novas medidas de segurança; Estabelecer a gestão de liberdade, com objetivo de controlar a implantação e distribuição de novas versões de softwares. A ITIL não é uma metodologia, pois as melhores práticas são flexíveis podendo adaptar aos processos da organização, já uma metodologia possui uma implementação mais rígida, com regras bem definidas. No ITIL tudo pode depende da maneira que você visualiza o padrão. Entre os principais objetivos da adoção da melhores práticas da ITIL podemos destacamos: Alinhar os Serviços de TI com as necessidades atuais e futuras do negócio e seus clientes; Melhorar a qualidade dos serviços de TI; Reduzir custos na provisão de serviços. A revista Computer World (2007) apresentou estudo onde conclui que as empresas com uma cultura de melhores práticas adotam o ITIL mais rapidamente, fazendo-o de forma extensiva. Além disso, este ajuda a gerar negócio para as companhias e a melhorar a produtividade. Contudo, o estudo revelou, também, que fora da organização de TI, o ITIL é um conceito desconhecido

24 COBIT De acordo com OLIVEIRA, MARTINS, SEGATE (2005) o COBIT (Control Objectives for Information and related Technology) é um conjunto de diretrizes para gestão e auditoria de processos, práticas e controles de TI. Seu principal objetivo é auxiliar a organização equilibrando risco x retorno em investimentos de TI. Oferece um modelo de maturidade para controle e processos de TI que abrange práticas em quatro domínios: Planejamento e organização, aquisição e implementação, entrega e suporte e monitoração. Possui mais de 300 pontos de controle para 34 processos, sendo um deles o de segurança da informação. Em termos de informação, o COBIT define os seguintes critérios: Eficácia, Eficiência, Confidencialidade, Integridade, Disponibilidade, Conformidade, Confiabilidade. A combinação desses elementos depende da natureza do processo de TI. Vale ressaltar que o COBIT é um modelo amplamente reconhecido e utilizado, no Brasil e no mundo, no âmbito da tecnologia da informação, tanto por gerentes de informática como por auditores de TI Aplicabilidade do COBIT De acordo com os diferentes autores, o COBIT pode ser aplicado em diferentes projetos e processos internos, abaixo seguem alguns exemplos: Conformidade com leis e regulamentações. O COBIT permite definir, por meios dos seus modelos, um programa de implementação do sistema de controles internos, ao menos nas questões dependentes de TI. Projetos de auditoria externa, a automação desse processo permite uma boa escabilidade em grandes empresas. O Check-up Tool, ferramenta de análise de riscos, possibilita avaliar os controles existentes de segurança da informação com base na ABNT NBR

25 25 ISO/IEC 27002, associando-os aos respectivos processos do COBIT. Projetos de Terceirização de Serviços, que exijam, por exemplo, uma avaliação do nível real de maturidade dos processos associados à manutenção da TI. O COBIT não prevê um processo de certificação de suas práticas, mas admite avaliação destas por meio de relatórios de auditória. 2.7 Comparando as Normas de Segurança Todas as normas apresentadas têm seu diferencial e sua importância na segurança das informações estratégicas. A norma ABNT ISO/IEC propõe a implantação de controle para garantir a segurança da informação enfatizando o que deve ser feito sem preocupar com os processos ou tecnologias para atingir este objetivo. Para atingir o objetivo deve ser utilizada em conjunto com outras normas, como a ABNT ISO/IEC A norma ABNT NBR ISO/IEC especifica como implantar os controles da norma ABNT NBR ISO/IEC e para isso propõe um modelo de gestão SGSI. O ITIL sugere a implantação de melhores práticas para a gestão de TI com o foco no negócio da empresa, garantindo a entrega dos serviços em um custo adequado para organização. E finalmente o COBIT que permite o acompanhamento e a comparação das práticas de controles e segurança de TI além de assegurar aos usuários a existência de controles. Suas diretrizes são bastante utilizadas no trabalho de auditoria realizado pelo TCU e por outras empresas. Por ser orientado ao negócio é capaz de fornecer informações detalhada para gerenciar processos baseados em objetivos de negócios. A tabela 1 apresenta uma comparação entre as normas de segurança da informação apresentadas capítulo:

26 26 Tabela 1 Comparativo entre normas de segurança da informação Norma Aspectos Positivos Observações ABNT NBR-ISO/IEC Tem o controle de segurança. Os controles são recomendações. Não é possível obter certificação ABNT NBR-ISO/IEC Implementa um sistema de gestão da segurança Os itens são obrigatórios. É possível obter a certificação. Processos de operação (o Foco no negócio, gestão de serviços de TI. ITIL que deve ser feito). Deve ser utilizado juntamente com COBIT Possui métricas, controles Utilizar juntamente com ITIL. COBIT e processos. 2.8 A importância de realizar a Análise de Risco A análise de risco é uma tendência atual das organizações preocupadas em saber qual o seu grau de exposição frente às ameaças capazes de comprometer a segurança do seu negócio. Brasiliano (2008) define risco como a condição que aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente. Nestas condições o risco é uma possibilidade do acontecimento ocorrer. Este acontecimento deve ser incerto não pode existir certeza que vai ocorrer, deve ser furtivo ou acidental e ter a característica negativa com o sentido de uma perda. O objetivo da análise de risco é identificar e classificar todos os riscos inerentes à atividade da organização, no que diz respeito a seus ativos de informação. Sendo mais abrangente que uma análise de vulnerabilidade a analise de risco busca por todas as possibilidades de exploração de vulnerabilidades lógicas e físicas. Para analisar risco é necessário estudar os principais processos do negócio, avaliar as vulnerabilidades e classificar o risco destes processos. A análise de risco se divide em cinco partes de igual importância e deve ser implantada na totalidade, pois cada etapa isolada representa pouco e juntas estão alinhadas e apontam caminhos seguros em busca de um nível

27 27 adequado de segurança para uma organização (RAMOS, 2006). Segundo o mesmo autor, as cinco etapas são: Identificação e Classificação dos Processos de Negócio Identificação e Classificação dos Ativos Análise de Ameaças e Danos Análise de Vulnerabilidades Análise de Risco O resultado da análise de risco é um documento que indica para alta administração que todos os cuidados foram tomados, para que o negócio da organização transcorra em segurança. Deve ser elaborada a relação dos ativos e indicado o seu valor e quais controles devem ser implementados estabelecendo os prazos. Ramos (2006) recomenda utilizar como referência as melhores práticas de segurança da informação do mercado, apontada na norma ABNT NBR ISO/IEC A partir das informações levantadas faz a elaboração do perfil de risco, utilizando a fórmula: Ameaça x Vulnerabilidade x Valor do Ativo = RISCO Os produtos gerados da analise de risco são a planilha de identificação e classificação dos ativos, relatório executivo de riscos e um relatório técnico que lista as vulnerabilidades classificadas por grau de risco, descrição para correção e outras informações relacionadas. Para que seja implantada com eficácia a análise de risco necessita do apoio da alta direção da empresa, pois envolve alteração dos valores culturais existentes. Uma organização que possui a análise de risco efetivamente implantada e retro-alimentada agrega solidez à informação corporativa.

28 28 são: Benefícios de uma análise de risco segundo a empresa AXUR (2008) Maior capacidade de controle, a partir do conhecimento das principais ameaças e vulnerabilidades ao ambiente de negócio; Compreensão de riscos de tecnologia, riscos administrativos e riscos físicos de comprometimento da Segurança da Informação; Maior capacidade de otimização de investimentos em Segurança da Informação; Gestão de Riscos em conformidade com as principais normas do mercado, em especial a ISO 27001; Sistematização do processo através de ferramenta de apoio para gestão de riscos; É importante entender que análise de risco é diferente de análise de vulnerabilidade. A análise de risco garante que uma organização tomou os cuidados necessários para que seus planos se concretizem. Quando a análise de risco é instituída formalmente é gerado um documento identificando quais controles devem ser implementados e em que tempo, uma avaliação do valor da informação e a que custo ela vai ser protegida. Uma análise de risco deve ser feita antes de uma organização iniciar um projeto ou novo processo de negócio. A equipe a ser envolvida deve ser de técnicos especialistas em análise de riscos e no negócio da organização. Verificando artigo da Expresso Digital (2007), de que é alto o número de incidentes de segurança que ocorrem nas redes de órgãos da administração pública, sendo que no primeiro quadrimestre de 2007 mais de 1,1 milhão foram detectados. Podemos entender que fazer uma gestão do risco na AGU vai permitir identificar e implementar medidas de proteção necessárias para diminuir os riscos a que as organizações públicas estão expostas (Diretoria de Segurança da Informação e Comunicação DSIC).

29 29 3. GESTÃO DE ATIVOS EM UMA ORGANIZAÇÃO A Segurança de Informação objetiva garantir requisitos mínimos e essenciais para preservar o negócio da organização, atender os requisitos legais e principalmente resguardar a imagem da organização. Para ICP Brasil (Infra-estrutura de Chaves Públicas Brasileira), ativo de informação é o patrimônio composto por todos os dados e informações geradas e manipuladas durante a execução dos sistemas e processos de uma organização. É tudo que a organização possui envolvido nos seus processos e que é de extrema importância para seu negócio. Os ativos da organização envolvem as pessoas, a informação e a tecnologia empregadas em cada processo. A proteção dos ativos deve ser implantada em todas as áreas da organização, pois a informação é encontrada em diversos meios como: em uma mesa de trabalho, em papéis sobre a mesa, no lixo descartado, armazenado eletronicamente nas estações de trabalho e nos servidores, no , e em diversos outros locais. A organização deve observar o tipo de informação que as pessoas tratam para poder estabelecer o nível de segurança necessária. A proteção dos ativos é o objetivo da segurança da informação que leva em conta os objetivos fundamentais listados abaixo como princípios básicos da segurança da informação: Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento de forma que as alterações sejam planejadas e autorizadas. Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

30 30 Autenticidade: Garantir a veracidade do emissor, sendo genuíno e que possa ser verificado quanto à sua confiança. Recentemente outros dois objetivos têm sido bastante discutidos: Não Repúdio: Garantir a autoria de determinadas ações impedindo o repúdio (negação) da mesma. Conformidade: Garantir que as medidas legais cabíveis são aplicadas quando necessárias. A figura 1 apresenta o modelo dos objetivos da segurança da informação. Figura 1 Objetivos da Segurança da Informação Fonte: adaptado da apostila do curso de GESIC 2008 prof. Gilberto 3.1 Responsabilidade Sobre os Ativos Segundo a ABNT NBR ISO/IEC 27001:2006 (p. 16) o objetivo de identificar os responsáveis pelos ativos é alcançar e manter a proteção adequada dos ativos da organização Inventário dos Ativos O inventário dos ativos, conforme acórdão do TCU é a classificação do nível de confidencialidade de cada ativo e a definição de procedimentos para garantir a segurança nas diversas mídias nas quais a informação é

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799 Fundamentos em Segurança de Redes de Computadores 1 Objetivos Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 13/IN01/DSIC/GSIPR 00 30/JAN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA GESTÃO DE MUDANÇAS NOS ASPECTOS RELATIVOS

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais, Dispõe sobre a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 11ª. Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Classificação das Informações 5/5/2015 Confidencial [ ] Uso Interno [ X ] Uso Público ÍNDICE 1 OBJETIVO... 3 2 ABRANGÊNCIA... 3 3 CONCEITOS... 3 4 ESTRUTURA NORMATIVA...

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL 1 OBJETIVO A Política de Segurança da Informação do Instituto Federal Sul-rio-grandense estabelece as diretrizes para a segurança da informação, visando preservar

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012

Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012 Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012 Institui a Política de Segurança da Informação da Câmara dos Deputados e dá outras providências. A MESA DA CÂMARA DOS DEPUTADOS, no uso de suas atribuições regimentais,

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

PARTE III Auditoria Conceitos Introdutórios

PARTE III Auditoria Conceitos Introdutórios FATERN Faculdade de Excelência Educacional do RN Coordenação Tecnológica de Redes e Sistemas Curso Superior de Tecnologia em Sistemas para Internet Auditoria em Sistemas de Informação Prof. Fabio Costa

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0 TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO Brivaldo Marinho - Consultor Versão 1.0 CONTROLE DA DOCUMENTAÇÃO Elaboração Consultor Aprovação Diretoria de Informática Referência do Produto

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

Número do Recibo:83500042

Número do Recibo:83500042 1 de 21 06/06/2012 18:25 Número do Recibo:83500042 Data de Preenchimento do Questionário: 06/06/2012. Comitête Gestor de Informática do Judiciário - Recibo de Preenchimento do Questionário: GOVERNANÇA

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Segurança da Informação BM&FBOVESPA Última revisão: maio de 2014 Uso interno Índice 1. OBJETIVO... 3 2. ABRANGÊNCIA... 3 3. CONCEITOS... 3 4. ESTRUTURA NORMATIVA... 3 5. DIRETRIZES... 4 6. RESPONSABILIDADES...

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. Aprova a instituição e o funcionamento da equipe de tratamento e resposta a incidentes em redes computacionais do IPEA.

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 229/2013 Aprova a Norma Complementar de Criação da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL

Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL Fernando Riquelme i Resumo. A necessidade por criar processos mais eficientes,

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Governança de TI. ITIL v.2&3. parte 1

Governança de TI. ITIL v.2&3. parte 1 Governança de TI ITIL v.2&3 parte 1 Prof. Luís Fernando Garcia LUIS@GARCIA.PRO.BR ITIL 1 1 ITIL Gerenciamento de Serviços 2 2 Gerenciamento de Serviços Gerenciamento de Serviços 3 3 Gerenciamento de Serviços

Leia mais

ROBSON FUMIO FUJII GOVERNANÇA DE TIC: UM ESTUDO SOBRE OS FRAMEWORKS ITIL E COBIT

ROBSON FUMIO FUJII GOVERNANÇA DE TIC: UM ESTUDO SOBRE OS FRAMEWORKS ITIL E COBIT ROBSON FUMIO FUJII GOVERNANÇA DE TIC: UM ESTUDO SOBRE OS FRAMEWORKS ITIL E COBIT LONDRINA - PR 2015 ROBSON FUMIO FUJII GOVERNANÇA DE TIC: UM ESTUDO SOBRE OS FRAMEWORKS ITIL E COBIT Trabalho de Conclusão

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

PR 29/07/2013. Instrução Normativa Nº 24/2013

PR 29/07/2013. Instrução Normativa Nº 24/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PR 29/07/2013 Instrução Normativa Nº 24/2013 Assunto: Institui a Política

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE Prof. Dr. Ivanir Costa Unidade III QUALIDADE DE SOFTWARE Normas de qualidade de software - introdução Encontra-se no site da ABNT (Associação Brasileira de Normas Técnicas) as seguintes definições: Normalização

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

EMC Consulting. Estratégia visionária, resultados práticos. Quando a informação se reúne, seu mundo avança.

EMC Consulting. Estratégia visionária, resultados práticos. Quando a informação se reúne, seu mundo avança. EMC Consulting Estratégia visionária, resultados práticos Quando a informação se reúne, seu mundo avança. Alinhando TI aos objetivos de negócios. As decisões de TI de hoje devem basear-se em critérios

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação ORIGEM e Comunicações Departamento de Segurança da Informação e

Leia mais

Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações ORIGEM Departamento de Segurança da Informação e Comunicações Número da Norma Complementar

Leia mais

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações A importância da Alta Administração na Segurança da Informação e Comunicações Agenda O Problema; Legislação; Quem somos; O que fazer. O problema A informação: é crucial para APF é acessada por pessoas

Leia mais

Governança de TI. ITIL v.2&3. Prof. Luís s Fernando Garcia LUIS@GARCIA.PRO.BR ITIL ITIL

Governança de TI. ITIL v.2&3. Prof. Luís s Fernando Garcia LUIS@GARCIA.PRO.BR ITIL ITIL Governança de TI ITIL v.2&3 Prof. Luís s Fernando Garcia LUIS@GARCIA.PRO.BR ITIL ITIL Gerenciamento de Serviços Gerenciamento de Serviços Gerenciamento de Serviços Gerenciamento de Serviços Gerenciamento

Leia mais

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Versão 1.6 15/08/2013 Visão Resumida Data Criação 15/08/2013 Versão Documento 1.6 Projeto Responsáveis

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Publicada no DJE/STF, n. 127, p. 1-3 em 3/7/2013. RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Dispõe sobre a Governança Corporativa de Tecnologia da Informação no âmbito do Supremo Tribunal Federal e dá outras

Leia mais

Contrato de Suporte End.: Telefones:

Contrato de Suporte End.: Telefones: Contrato de Suporte Contrato de Suporte Desafios das empresas no que se refere à infraestrutura de TI Possuir uma infraestrutura de TI que atenda as necessidades da empresa Obter disponibilidade dos recursos

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais