Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU
|
|
- Maria Fernanda Lisboa Balsemão
- 7 Há anos
- Visualizações:
Transcrição
1 Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU
2 Aula passada
3 Tipos de Auditoria 1. Auditoria durante o desenvolvimento de sistemas; 2. Auditoria de sistemas em produção; 3. Auditoria no ambiente tecnológico. 4. Auditoria em eventos específicos.
4 Metodologiade Auditoria de Sistemasde Informação Maurício Rocha Lyra (2008) propõe a seguinte metodologia, flexível e aderente aos quatro tipos de modalidades de auditoria: 1. Planejamento e controle do projeto de auditoria de sistemas de informação; 2. Levantamento do sistema de informação a ser auditado; 3. Identificação e inventário dos pontos de controle; 4. Priorização e seleção dos pontos de controle do sistema auditado; 5. Avaliação dos pontos de controle; 6. Conclusão da auditoria; 7. Acompanhamento da auditoria.
5 Metodologia de Auditoria de Segurança da Informação Rodrigues e Fernandes (2009) propõem o seguinte processo simplificado para auditoria de segurança da informação: 1. Gestão do projeto ou do programa de auditoria; 2. Decisão sobre o propósito da auditoria; 3. Identificação de objetos e pontos de controle; 4. Definição de técnicas para obter evidências e procedimentos de controle; 5. Montagem da roteirização de auditoria; 6. Coleta e registro de evidências em papéis de trabalho; 7. Verificação, validação e avaliação de evidências; 8. Produção de pareceres e outros entregáveis; 9. Acompanhamento pós-auditoria.
6 Normas e procedimentos
7 Tópicos Classificação da auditoria seguindo a tradição contábil; Modelo de roteirização; Auditoria de gestão; Auditoria operacional; Auditoria de conformidade.
8 Classificação da auditoria seguindo a tradição contábil
9 Auditoria - Tradição Contábil Auditoria de gestão; Auditoria de conformidade; Auditoria operacional.
10 Auditoria de gestão Verifica que as ações para acompanhar ou tomar decisões a respeito de itens de segurança estejam em plena execução; A auditoria de gestão está mais relacionada com a avaliação das declarações efetuadas pelo gestor.
11 Auditoria de conformidade Busca verificar que os controles de segurança que constituem parte do controle interno estão implementados e funcionais; Pode ser realizada sem que o auditado seja solicitado a justificar ou opinar sobre o conteúdo obtido pois o foco é sobre os controles de segurança; Possui forte lastro no modelo normativo da organização.
12 Auditoria operacional Baseia-se em: Estabelecer indicadores de desempenho; Avaliar as ações de segurança que estão ou não funcionando; Descrever o quão efetivos e eficazes são os controles para proteger os ativos de informação. Além dos pontos de controle, parâmetros de desempenho devem ser definidos para aferição de resultados esperados.
13 Verificações de uma auditoria de segurança Ao se trabalhar em uma auditoria de segurança (independente do tipo), deve-se considerar os três atributos clássicos da segurança da informação; Três atributos clássicos da segurança: Integridade; Disponibilidade; Confidencialidade.
14 Integridade A verificação de integridade permite descobrir se a informação foi: 1. Produzida de forma incoerente com a realidade; 2. Alterada por ações que apontam para possíveis fraudes que podem trazer impacto à organização.
15 Disponibilidade A verificação de disponibilidade permite avaliar possíveis riscos que emergem da indisponibilidade frequente de ativos de informação sensíveis.
16 Confidencialidade A verificação da confidencialidade permite identificar o risco de que a informação seja acessada por agentes não autorizados, quando naquele determinado momento ela não deveria ser de acesso ao público; Crescente preocupação com essa questão; Ponto de controvérsia na administração pública.
17 Modelo de roteirização
18 Modelo
19 Auditoria de gestão
20 Motivação Verificar que os processos de segurança e suas atividades foram implantados plenamente e que as metas de segurança traçadas estão sendo alcançadas; O que se quer alcançar com esse tipo de auditoria é a confirmação de que os procedimentos previstos no plano de segurança estão presentes ou, se não estão, quais foram os desvios que levaram a essa ausência.
21 Objetivos (possíveis pontos de controle) 1. Estrutura organizacional; 2. Política de segurança; 3. Documentação; Cultura de segurança; Pesquisa sobre incidentes; 6. Sistema de segurança; 7. Registros de auditoria;
22 Estrutura organizacional Não é possível implantar segurança da informação sem que haja uma estrutura organizacional apropriada para tal. Exemplos de pontos de controle: As unidades organizacionais responsáveis por segurança devem ser bem definidas, com níveis claros de autoridade, responsabilidades e habilidades técnicas necessárias para exercer os cargos; Atividades dos funcionários envolvidos com segurança devem ser supervisionadas e controladas através de procedimentos padrões devidamente documentados; Política de segregação de funções e controles de acesso deve ser constantemente perseguida para garantir na prática a idoneidade dos processos.
23 Política de segurança Sem uma política de segurança da informação (PSI) discutida por todos os setores, qualquer procedimento de segurança será aleatório e, provavelmente, irá entrar em conflito com outras iniciativas; Exemplos de pontos de controle segundo a norma ISO 27002: Objetivos, metas, escopo e a relevância da política de segurança da informação para toda a organização devem ser estabelecidas e positivadas em documentos; Declaração da alta direção de que está compromissada com o que está definido na política deve ser de conhecimento de todos; É preciso saber se existe um alinhamento da política de segurança da informação com os objetivos de negócio, no caso, com a missão institucional e a legislação; Devem ser definidas responsabilidades gerais e específicas a respeito da segurança da informação, seja para indivíduos, seja para comissões, comitês e grupos de trabalho.
24 Documentação Documentos devem ser classificados e versionados para que seu conteúdo e finalidade estejam sob controle; Novas normas devem ser catalogadas, discutidas e disseminadas, principalmente aquelas que têm referências legais; Na questão do sigilo de documentos, convém acompanhar se os critérios definidos estão sendo implementados e se são aderentes à legislação em vigor.
25 Cultura de segurança Devem ser produzidos materiais para divulgação e disseminação da cultura de segurança da informação; Deve-se aplicar o princípio do need to know como a regra geral de segurança (Organisation for Economic Co-operation and Development, 2002): Uma informação deve ser acessível apenas àqueles que tem necessidade de conhecê-la.
26 Pesquisa sobre incidentes A organização deve providenciar constantes pesquisas sobre incidentes e falhas de segurança; Faz parte da gestão da segurança promover uma constante investigação nos ativos de informação, formulando novas programações de auditoria; Essa atividade também deve promover novas soluções de segurança para as novas ameaças e vulnerabilidades descobertas, bem como avaliar se é necessária a continuidade de aplicação de controles antigos.
27 Sistema de segurança O sistema de segurança da informação deve funcionar de acordo com a política de segurança implantada, e estar em constante atualização - ISO/IEC
28 Registros de auditoria Todos os usuários devem ser identificados. Nesse caso, o que mais interessa é registrar o acesso de novos usuários e observar mudanças no status de antigos usuários; Cada detalhe de eventos-chave, como a entrada de pessoas, sejam nas instalações sejam em sistemas é registrado com hora e data. A saída de pessoas de instalações críticas também deve ser registrada igualmente; Alterações em configurações dos sistemas devem ser registradas; O acesso a arquivos nos bancos de dados precisa ser registrado; Cada pessoa deve ter privilégios de acesso bem definidos. O uso desses privilégios deve ser registrado e acompanhado.
29 Auditoria operacional
30 Motivação Na medida que os pontos de controles são implantados, a auditoria de desempenho operacional deve se certificar de que os mesmos são efetivos (resolvem o problema) diante do que se espera em termos de nível de segurança; Ideia básica: realizar um exame detalhado das operações de segurança implantadas na organização.
31 Objetivos (possíveis pontos de controle) 1. Segurança física 2. Segurança lógica 3. Segurança de dados Segurança de usuários Segurança de redes 6. Eficiência da segurança 7. Eficácia da segurança.
32 Segurança física Definir claramente os perímetros de segurança; Construir uma área de recepção para que se tenha um acesso controlado às instalações da organização; As instalações de processamento de informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciadas por terceiros; Controle de acesso a instalações dos computadores principais e seus periféricos, somente para pessoas autorizadas - Acesso ao Datacenter; Controle de acesso a dispositivos de redes, tais como roteadores, switches, Hubs - Acesso ao Datacenter; Controle de acesso a servidores, somente por administradores - Acesso ao Datacenter; Todas as comunicações com os dispositivos que acessam a rede interna da organização devem ser criptografadas utilizando os protocolos adequado.
33 Segurança lógica Diretrizes de controle para os ativos intangíveis que incluem sistemas e informação; Verificar problemas de processamento de dados e se as informações produzidas por esses sistemas são corretas e oportunas. Exemplos: Absoluta atenção a códigos que podem conter vulnerabilidades que permitem invasão; Todos os sistemas, programas, scripts, folhas de estilo etc devem ser versionados e com autoria devidamente registrada; Verificar o desempenho dos cálculos matemáticos nos sistemas, pois podem gerar informações erradas; Assegurar que programas ou sistemas novos não sejam colocados em produção sem teste e homologação.
34 Segurança de dados Deve existir um grupo muito restrito de administradores de banco de dados, cujas ações devem ser monitoradas; Deve existir uma estratégia definida para utilização dos bancos de dados por sistemas de informação, pessoas ou programas; Ocorrência de perda de dados deve ser investigada, pois pode ser sintoma de ameaças aos ativos de informação; Verificar ocorrência de falhas de hardware que provoquem erros de processamento, de informações erradas ou de distorção de integridade de dados; Backups periódicos dos dados; Contas de usuários que acessam diretamente os bancos de dados ou por meio de utilitários em situação privilegiada devem ser observadas.
35 Segurança de usuários Credenciais únicas devem ser atribuídas a usuários individuais; Credenciais devem conter uma combinação de alguns requisitos: Identificar quem é o usuário (nome, ID etc); Verificar alguma coisa que o usuário sabe (código secreto, senha); Verificar onde o usuário está (reconhece local do usuário); Verificar alguma coisa que o usuário tem (token); Verificar alguma coisa que o usuário é (biometria). Cada usuário deve ser responsabilizado por aquilo que realiza com suas credenciais; Devem ser realizadas varreduras periódicas de atributos de acesso, principalmente sobre aqueles usuários que estão com acesso ilimitado a um ou mais ativos de informação.
36 Segurança de redes A segurança de redes se preocupa com os riscos a segurança das redes de comunicação; Pontos de controle: Redes sem fio devem ser protegidas usando o protocolo mais seguro e já relativamente bem testado no mercado; Acesso remoto a computadores protegido com protocolo de segurança Secure Socket Layer (SSL) ou seu equivalente mais atualizado; Equipamentos de rede catalogados e protegidos fisicamente; Proteção dos dados armazenados na rede por meio de criptografia.
37 Eficiência da segurança Parâmetros de medida de eficiência podem indicar problemas de segurança ou sua iminência: Tempo médio para reparo (MTTR - Mean Time to Repair); Tempo médio entre falhas (MTBF Mean Time Between Failures); Tempo médio entre o aparecimento de um problema ou incidente e sua comunicação ao Service Desk; Percentual de sistemas cujos requisitos de segurança não estão sendo atendidos.
38 Eficácia da segurança. O objetivo é saber se os ativos de informação estão mais ou menos seguros após implantados os controles de segurança da informação: Tempo médio de atendimento após um alarme de segurança ser disparado; Tempo médio para a solução de um problema de segurança; Percepção do usuário a respeito dos mecanismo de segurança implantados, enquanto garantia de segurança de que seus dados não estão sendo violados.
39 Auditoria de conformidade
40 Motivação Examina se aquilo que está sendo auditado está de acordo com as especificações de produtos e serviços; Verificar que as informações produzidas pela organização, seja por sistemas computacionais ou por registros manuais, estão em conformidade com os padrões de segurança definidos em documentos normativos reconhecidos. Importante: um auditor de conformidade também não se envolve na gestão da segurança, nem na implementação da segurança ou no seu funcionamento.
41 Objetivos (possíveis pontos de controle) A auditoria de conformidade de segurança da informação deve examinar todos os tipos de documentos relacionados aos ativos de informação: Documentos de metodologias de desenvolvimento de sistemas adotadas pela organização; Documentos de projetos considerados críticos ao negócio e que precisam ser protegidos de acordo com critérios aprovados pela alta direção; Orçamentos; Manual de versionamento e arquivamento de documentos. Servem para averiguar se a documentação está de acordo com as instruções para sua elaboração.
42 Objetivos (possíveis pontos de controle) Os seguintes objetos de controle, não exaustivos, podem ser usados como referência de auditoria de conformidade de segurança da informação: Normativos expedidos por órgãos de controle e normatização da esfera federal. GSIPR (Gabinete de Segurança Institucional da Presidência da República), MPOG (Ministério do Planejamento, Orçamento e Gestão), CGU (Controladoria Geral da União) e TCU (Tribunal de Contas da União). Melhores práticas como a ISO/IEC 27002, CMMI, COBIT e ITIL.
43 Objetivos (possíveis pontos de controle) Se no âmbito da organização não estão em usos esses padrões ou melhores práticas então a organização pode criar suas próprias normas de segurança da informação. A política de segurança da informação; Os contratos com empresas de segurança; Os procedimentos de segurança já padronizados - procurar divergências entre o que foi auditado e o que está prescrito nas normas; Normas de propriedade intelectual; Chaves Públicas - Seguem a ICP-Brasil?.
Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de
Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste
Leia maisAspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi
MODELO DE REFERÊNCIA DE SEGURANÇA Criado para definir uma arquitetura de rede confiável e que implemente uma política de segurança, que consiste em uma série de regras, procedimentos, autorizações e negações
Leia maisPortaria da Presidência
01 RESOLVE: O Presidente da Fundação Oswaldo Cruz, no uso das atribuições que lhe são conferidas pelo creto de 29 de dezembro de 2008 1.0 PROPÓSITO Instituir a Política de Segurança da Informação e Comunicações
Leia maisControles de acordo com o Anexo A da norma ISO/IEC 27001
Controles de acordo com o Anexo A da norma ISO/IEC 27001 A.5.1.1 Políticas para a segurança da informação A.5.1.2 Revisão das políticas para a segurança da informação A.6.1.1 Funções e responsabilidades
Leia maisSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 0. Introdução 1 Roteiro Definição Justificativa Fontes de Requisitos Análise/Avaliação de Riscos Seleção de Controles Ponto de Partida Fatores Críticos
Leia maisPOLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO
1/5 CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO 0000536 - André Delgado- SEGURANCA Danielle Souza; Oscar Zuccarelli; HISTÓRICO DE REVISÕES REVISÃO DATA REV. ALTERAÇÕES Atualização do item 2.2 - Solicitar
Leia maisCampus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /
Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 11 Tema:
Leia maisPOLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA ÍNDICE 1. OBJETIVO... 3 2. ABRANGÊNCIA... 3 3. DIRETRIZES... 3 3.1. TREINAMENTO E CONSCIENTIZAÇÃO... 3 3.2. COOPERAÇÃO ENTRE ORGANIZAÇÕES... 3 3.3. CONDUTAS
Leia maisAuditoria de controles organizacionais. Prof. Dr. Joshua Onome Imoniana
Auditoria de controles organizacionais Prof. Dr. Joshua Onome Imoniana Definição de controles organizacionais Os controles organizacionais e operacionais são os controles administrativos instalados nos
Leia maisRESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014
RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do
Leia maisEste documento está dividido nas seguintes seções:
Assunto Política de Riscos Operacional Rio Bravo Investimentos DTVM Data 02 de março de 2017 Páginas. 6 De Rodrigo Gatti e Eros Henriques Dalhe Telefone 3509-6000 Área Diretoria de Operações Para Área
Leia maisUsuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA
1/6 Sumário: 01. OBJETIVO:... 2 02. CONCEITUAÇÃO / DEFINIÇÃO:... 2 03. ABRANGÊNCIA / ÁREAS ENVOLVIDAS:... 2 04. RESPONSABILIDADES:... 2 04.01. Responsáveis pela execução das atribuições desta política:...
Leia maisPolítica de Segurança da Informação
Braspor Gráfica e Editora Ltda. Política de Segurança da Informação Versão 3.0-01 de setembro de 2017 Este documento é propriedade da Braspor Gráfica e Editora Ltda. e contém informações proprietárias,
Leia mais1. Introdução PUBLIC - 1
1. Introdução Este documento fornece um resumo das atividades e diretrizes de Segurança da Informação e Cibernética estabelecidos na estrutura de Governança de Riscos do HSBC Brasil, instituídos por intermédio
Leia maisDeclaração de Segurança
Declaração de Segurança Benchmarking Online de RH 15 5 2017 Benchmarking Online de Indicadores de RH - BenchOnline Declaração de Segurança Sumário Autenticação do usuário... 3 Senhas... 3 Criptografia
Leia maisPOLÍTICA DE SEGURANÇA DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Março/2017 Política de Segurança da Informação 1 ÍNDICE 1. OBJETIVO... 3 2. RESPONSABILIDADES... 3 3. DIRETRIZES... 3 A. TRATAMENTO DA INFORMAÇÃO... 3 B. ACESSO À INFORMAÇÃO...
Leia maisOs processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.
1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Disposições Gerais Os sistemas de informação, a infraestrutura tecnológica, os arquivos de dados e as informações internas ou externas, são considerados importantes
Leia maisUsuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA
1/5 Sumário: 01. OBJETIVO:... 2 02. CONCEITUAÇÃO / DEFINIÇÃO:... 2 03. ABRANGÊNCIA / ÁREAS ENVOLVIDAS:... 2 04. RESPONSABILIDADES:... 2 04.01. Responsáveis pela execução das atribuições desta política:...
Leia maisGerência de Redes Áreas Carlos Gustavo Araújo da Rocha. Gerência de Redes
Áreas Carlos Gustavo Araújo da Rocha - Áreas Relembrando... Redes de computadores evoluem cada vez mais para um ambiente complexo, com diversas entidades de hardware e software envolvidas no seu funcionamento
Leia maisAtuar no planejamento e execução das Auditorias da Qualidade. Estabelecer lista de verificação para auditoria;
Página 1 de 9 AUDITORIAS DA QUALIDADE ETAPA 1. Objetivo geral: Atuar no planejamento e execução das Auditorias da Qualidade. Desempenho esperado: Estabelecer programa anual de auditorias; Elaborar agenda
Leia maisDIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ÍNDICE 1. OBJETIVO... 2 2. APLICAÇÃO... 2 3. REFERÊNCIA... 2 4. CONCEITOS... 2 5. RESPONSABILIDADES... 3 6. PRINCÍPIOS E DIRETRIZES... 3 6.1. Disposições
Leia maisCONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO
1/12 ELABORADO CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO APROVADO Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO EDIÇÃO DATA ALTERAÇÕES EM RELAÇÃO
Leia maisGIS-P-ISP-09. Procedimento de Classificação da Informação
Revisão: 01 Folha: 1/ 13 Revisado em: 24/06/2013 GIS-P-ISP-09 Procedimento de Classificação da Informação Revisão: 01 Folha: 2/ 13 Revisado em: 24/06/2013 FOLHA DE CONTROLE Histórico de Revisões Data Versão
Leia maisPOLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA FUNDAÇÃO UNIVERSIDADE FEDERAL DO ABC
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA FUNDAÇÃO UNIVERSIDADE FEDERAL DO ABC PORTARIA N 252 30 DE ABRIL DE 2013 O REITOR DA FUNDAÇÃO UNIVERSIDADE FEDERAL DO ABC (UFABC), nomeado por Decreto da Presidência
Leia maisGerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt
Gerenciamento e Interoperabilidade de Redes Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Como a SI pode ser obtida? Implementando CONTROLES, para garantir que os objetivos de segurança
Leia maisGERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.
Histórico de Revisões Versão: 01 Data de Revisão: Histórico: Elaboração do Documento. Índice I. Objetivo... 1 II. Abrangência... 1 III. Documentação Complementar... 1 IV. Conceitos e Siglas... 2 V. Responsabilidades...
Leia maisSIMULADO 01 Governança de TI
SIMULADO 01 Governança de TI 1 - Qual das seguintes é a preocupação mais importante do gerenciamento de TI? a. Manter a TI funcionando b. Fazer com que a tecnologia funcione corretamente c. Manter-se atualizado
Leia maisAuditoria e Segurança de Sistemas. Prof.: Mauricio Pitangueira Instituto Federal da Bahia
Auditoria e Segurança de Sistemas Prof.: Mauricio Pitangueira Instituto Federal da Bahia 1 Motivação Violação do Painel do Senado Federal Alterando e registrava votos de senadores ausentes, por exemplo,
Leia maisCampus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /
Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 11 Tema:
Leia maisITIL v3 Transição de Serviço Parte 1
ITIL v3 Transição de Serviço Parte 1 A Transição de Serviço é composto por um conjunto de processos e atividades para a transição de serviços no ambiente de produção. Aqui, deve-se encarar como um projeto
Leia maisRabobank Segurança Cibernética
INFORMAÇÕES SOBRE A POLÍTICA DE SEGURANÇA CIBERNÉTICA DO BANCO RABOBANK 1. INTRODUÇÃO Este documento consiste em uma versão simplificada da Política de Segurança Cibernética do Banco Rabobank International
Leia maisAuditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU
Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Aula anterior Auditoria e Segurança da Informação(GSI521) Segurança da informação Passado Proteção dos meios físicos (bens
Leia maisNormas ISO:
Universidade Católica de Pelotas Tecnólogo em Análise e Desenvolvimento de Sistemas Disciplina de Qualidade de Software Normas ISO: 12207 15504 Prof. Luthiano Venecian 1 ISO 12207 Conceito Processos Fundamentais
Leia maisPOLÍTICA DE SEGURANÇA DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 12/5/2017 INFORMAÇÃO PÚBLICA ÍNDICE 1 OBJETIVO... 3 2 ABRANGÊNCIA... 3 3 CONCEITOS... 3 4 ESTRUTURA NORMATIVA... 3 5 DIRETRIZES... 4 6 RESPONSABILIDADES... 6 7 AÇÕES
Leia maisMANUAL DE PROCEDIMENTOS DA QUALIDADE
MANUAL DE PROCEDIMENTOS DA QUALIDADE ALTERAÇÕES: ÚLTIMA(s) ALTERACÃO(s) REV: DATA: Alteração geral do documento 01 12/02/2018 ANALISE CRÍTICA E APROVAÇÃO: ANALISADO CRITICAMENTE E APROVADO POR: DATA: 02/02/2018
Leia maisNorma Brasileira de Gestão de Segurança da Informação (NBSI) - 01/2017
Norma Brasileira de Gestão de Segurança da Informação (NBSI) - 01/2017 @ASEGI 2017 - Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida
Leia maisSimulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke
Simulado Aula 01 INSS INFORMÁTICA Prof. Márcio Hunecke Informática 1. Um dos procedimentos de segurança da informação a ser adotado pelas empresas é a assinatura de um termo de compromisso pelos seus
Leia maisPolítica de Segurança da Informação e Comunicações. PoSIC/CNEN
Política de Segurança da Informação e Comunicações PoSIC/CNEN Se você acredita que a tecnologia pode resolver seus problemas de segurança, então você não conhece os problemas e nem a tecnologia. Bruce
Leia maisManual de regras, procedimentos e controles internos ICVM 558/15
Manual de regras, procedimentos e controles internos ICVM 558/15 Atualizado em Maio de 2019 Sumário 1. Introdução... 3 2. Relatório Anual de Controles Internos... 3 3. Publicação de Informações Obrigatórias...
Leia maisISO/IEC 12207: Manutenção
ISO/IEC 12207: Manutenção O desenvolvimento de um sistema termina quando o produto é liberado para o cliente e o software é instalado para uso operacional Daí em diante, deve-se garantir que esse sistema
Leia maisSERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ COMITÊ DE GOVERNANÇA DIGITAL DA UNIVERSIDADE FEDERAL DO PARÁ
SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ COMITÊ DE GOVERNANÇA DIGITAL DA UNIVERSIDADE FEDERAL DO PARÁ INSTRUÇÃO NORMATIVA Nº 02/2018 - CGD, de 18 de abril de 2018. Estabelece normas e diretrizes
Leia maisConceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de
Conceitos de e Segurança Lógica Segurança Computacional Redes de Computadores 1 Professor: Airton Ribeiro Fevereiro de 2016-1 Conceitos de e Segurança Lógica 2 Conceitos de e Segurança Lógica Segurança
Leia maisANEXO XI-B ACORDO DE NÍVEL DE SERVIÇO ANS
ANEXO XI-B ACORDO DE NÍVEL DE SERVIÇO ANS 1. Disponibilidade dos serviços do ambiente de produção Meta aceitável Garantir que os serviços do ambiente de produção do Data Center do estejam disponíveis para
Leia maisPolítica Controles Internos
Política Controles 1. Objetivo Esta política estabelece diretrizes e responsabilidades para a implementação e manutenção do Sistema de Controles integrado ao Gerenciamento de Risco Operacional aplicável
Leia maisEAD SISTEMAS DE INFORMAÇÃO PLANO ESTRATÉGICO DE TI - PETI. Prof. Sérgio Luiz de Oliveira Assis
H3 EAD - 5736 SISTEMAS DE INFORMAÇÃO PLANO ESTRATÉGICO DE TI - PETI Prof. Sérgio Luiz de Oliveira Assis sergioassis@usp.br 02 Agenda 1. Plano Estratégico de TI Etapas de execução ALINHAMENTO ESTRATÉGICO
Leia maisAULA 2: CONCEITO DE SEGURANÇA DIGITAL SEGURANÇA DIGITAL
AULA 2: CONCEITO DE SEGURANÇA DIGITAL SEGURANÇA DIGITAL Prof. Esp. Tiago A. Silva 2017 www.tiago.blog.br PLANO DE AULA: SEGURANÇA DIGITAL OBJETIVO: Aprender o conceito de segurança digital e assuntos associados.
Leia maisEtapa 6 - Elaboração da documentação da qualidade
Módulo 3 Etapa 6 Elaboração dos documentos do sistema de gestão da qualidade, Etapa 7 Implementação dos requisitos planejados, Etapa 8 Palestras de sensibilização em relação à gestão da qualidade e outros
Leia maisSegurança da Informação
INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Segurança da Informação Preservação de: Confidencialidade Integridade Disponibilidade Como a SI pode ser
Leia maisGestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de
Curso e- Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste
Leia maisABIN - Sistema Brasileiro de Inteligência e Agência Brasileira de Inteligência - Lei nº de 1999 e Decreto nº de 2002
Legislação Federal ABIN - Sistema Brasileiro de Inteligência e Agência Brasileira de Inteligência - Lei nº 9.883 de 1999 e Decreto nº 4.376 de 2002 Prof. Karina Jaques O Decreto 3.505/2000 institui a Política
Leia maisAUDIN UNIDADE DE AUDITORIA INTERNA - UNIRIO MANUAL DA AUDITORIA INTERNA
AUDIN UNIDADE DE AUDITORIA INTERNA - UNIRIO MANUAL DA AUDITORIA INTERNA Elaboração: AUDIN adaptação figura da CGU MANUAL DE AUDITORIA INTERNA Universidade Federal do Estado do Rio de Janeiro UNIRIO Auditoria
Leia maisPLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS
PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS GARDE ASSET MANAGEMENT GESTÃO DE RECURSOS LTDA. CNPJ/ MF 18.511.433/0001-77 E DA GARDE PREVIDÊNCIA ADMINISTRAÇÃO DE RECURSOS LTDA. CNPJ/ MF 30.701.673/0001-30
Leia maisSegurança e Auditoria de Sistemas. Prof. Alessandra Bussador
Segurança e Auditoria de Sistemas Prof. Alessandra Bussador Objetivos Segurança da informação Garantir a continuidade do negócio; Minimizar as perdas do negócio pela prevenção e redução do impacto de incidentes
Leia maisPolítica de Segurança da Informação CGEE
Política de Segurança da Informação CGEE 1. Objetivos e princípios 1.1. A Política de Segurança da Informação (PSI) do CGEE tem como objetivo estabelecer as orientações, normas, ações e responsabilidades
Leia maisPolítica de Confidencialidade e Segurança da Informação
Política de Confidencialidade e Segurança da Informação Objetivo Estabelecer princípios e diretrizes de proteção das informações no âmbito da JOURNEY CAPITAL. A quem se aplica? Sócios, diretores, funcionários,
Leia maisPolítica de Controles Internos
Política de Controles Internos JURISDIÇÃO GEOGRÁFICA AND BAH BRA ESP USA ISR LUX MEX MON PAN SUI URU X A informação contida neste documento é de uso interno e propriedade do Grupo Andbank sendo proibida
Leia maisUnidade 1 Segurança em Sistemas de Informação
Unidade 1 Segurança em Sistemas de Informação 5 Existe uma rede 100% segura? Riscos não podem ser eliminados!! Riscos podem ser identificados, quantificados e reduzidos, mas não é possível eliminá-los
Leia maisPolíticas Corporativas
1 IDENTIFICAÇÃO Título: Restrições para Uso: POLÍTICA DE CONTROLES INTERNOS Acesso Controle Livre Reservado Confidencial Controlada Não Controlada Em Revisão 2 - RESPONSÁVEIS Etapa Área Responsável Cargo
Leia maisCASA CIVIL ARQUIVO NACIONAL CONSELHO NACIONAL DE ARQUIVOS RESOLUÇÃO Nº 24, DE 3 DE AGOSTO DE 2006
Resolução nº 24, de 3 de agosto de 2006 CASA CIVIL ARQUIVO NACIONAL CONSELHO NACIONAL DE ARQUIVOS RESOLUÇÃO Nº 24, DE 3 DE AGOSTO DE 2006 Estabelece diretrizes para a transferência e recolhimento de documentos
Leia maisPolítica de Uso dos. Recursos de Tecnologia da Informação. da UFRGS. Versão /03/2017
1 Política de Uso dos Recursos de Tecnologia da Informação da UFRGS Versão 1.0 29/03/2017 1. Preâmbulo 2. Glossário 3. Escopo 4. Princípios 5. Diretrizes 6. Penalidades 7. Considerações finais 1 Preâmbulo
Leia maisSegurança da Informação ISO/IEC ISO/IEC 27002
Segurança da Informação ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27001 Prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação.
Leia maisPOLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS Versão 1.0 29/01/2018 Sumário 1 Objetivo... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 4 6 Responsabilidades...
Leia maisSegurança da Informação Aula 2: Propriedades da Informação. Prof. Dr. Eng. Fred Sauer
Segurança da Aula 2: Propriedades da Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br SEGURANÇA DA INFORMAÇÃO INTEGRIDADE CONFIDENCIALIDADE DISPONIBILIDADE 2 A segurança da informação
Leia maisPolítica de Segurança da Informação - Informática Corporativa
Política de Segurança da Informação - Informática Corporativa SUMÁRIO 1. OBJETIVO... 4 2. DEFINIÇÕES... 4 3. ABRANGÊNCIA... 4 4. DIVULGAÇÃO E DECLARAÇÃO DE RESPONSABILIDADE... 4 5. PRINCIPIOS DA POLITICA
Leia maisCOMPANHIA RIOGRANDENSE DE SANEAMENTO A Vida Tratada Com Respeito
FOLHA DE CONTROLE Título Política de Controles Internos Número de versão 1 Status Lançamento Autoria Superintendência de Controles Internos e Gestão de Riscos - SUCIR Pré-aprovação Diretoria Colegiada
Leia maisCódigo: MSFC-P-004 Versão: 05 Emissão: 10/2011 Última Atualização em: 02/2016
Política de Controles Internos Código: MSFC-P-004 Versão: 05 Emissão: 10/2011 Última Atualização em: 02/2016 OBJETIVO Garantir a aplicação dos princípios e boas práticas da Governança Corporativa, e que
Leia maisGERENCIAMENTO DE SERVIÇOS DE TI BASEADO EM ITIL *
GERENCIAMENTO DE SERVIÇOS DE TI BASEADO EM ITIL * Alex SILVA 1 ; Marcelo Stehling de CASTRO 2 1 Dicente do curso de pós-graduação lato sensu EMC/UFG alexf16@hotmail.com; 2 Docente do curso de Especialização
Leia maisTítulo Código Rev. MÉTODOS DE ENSAIO E VALIDAÇÃO DE MÉTODOS MQ-CQMA
5.4.1. Generalidades Os laboratórios do Centro de Química e Meio Ambiente (CQMA) estabelecem e mantêm procedimentos documentados para os métodos de ensaios que realizam. Nesses procedimentos estão incluídos
Leia maisSegurança da Informação
Segurança da Informação Conceitos Iniciais Professor: Jósis Alves Apresentação: Analista Judiciário, Área Tecnologia da Informação (Supremo Tribunal Federal - STF) Professor Universitário em cursos de
Leia maisPROCESSO GESTÃO DE ATIVOS DE TI Versão 1.0 GERÊNCIA CORPORATIVA DE TECNOLOGIA DA INFORMAÇÃO
PROCESSO GESTÃO DE ATIVOS DE TI Versão 1.0 GERÊNCIA CORPORATIVA DE TECNOLOGIA DA INFORMAÇÃO ÍNDICE 1. INTRODUÇÃO... 3 2. MACROPROCESSO... 4 3. DIAGRAMA DE ESCOPO DO PROCESSO GESTÃO DE ATIVOS DE TI... 5
Leia maisSegurança da Informação
Segurança da Informação Eng. SERGIO VILLARREAL Conteúdo Introdução Conceitos Normas e SGSI Profissionais da SI Atividades Duração: 2 h 1 Introdução Informação Ativo mais importante das organizações Empresas
Leia maisInterpretação da norma NBR ISO/IEC 27001:2006
Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste
Leia maisAULA 02 Qualidade em TI
Bacharelado em Sistema de Informação Qualidade em TI Prof. Aderson Castro, Me. AULA 02 Qualidade em TI Prof. Adm. Aderson Castro, Me. Contatos: adersoneto@yahoo.com.br 1 Qualidade de Processo A Série ISO
Leia maisDicas sobre Gerenciamento do Escopo em Projetos
Dicas sobre Gerenciamento do Escopo em Projetos Autor : Mauro Sotille Data : 17 de setembro de 2013 1. Qual a diferença entre o plano de gerenciamento do escopo e a declaração (ou especificação) do escopo
Leia maisPolítica de Controles Interno
Política de Controles Interno 1 ÍNDICE 1. OBJETIVO... 2 2. ABRANGÊNCIA... 2 3. PRINCÍPIOS... 2 4. RESPONSABILIDADES... 3 5. ESTRUTURA ORGANIZACIONAL... 4 6. SEGREGAÇÃO DAS ATIVIDADES... 5 7. DISPOSIÇÕES
Leia mais3) Qual é o foco da Governança de TI?
1) O que é Governança em TI? Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a
Leia maisAUDITORIAS DO SISTEMA DE GESTÃO DA QUALIDADE
PS 04 3 Gestão Diretor Administrativo 17/04/2017 1 1. OBJETIVO Sistematizar o processo de planejamento, realização e análise das Auditorias Internas do Sistema de Gestão da Qualidade. 2. APLICAÇÃO Todos
Leia maisAuditoria de Operações e Suporte Tecnico. Prof. Dr. Joshua Onome Imoniana
Auditoria de Operações e Suporte Tecnico Prof. Dr. Joshua Onome Imoniana Auditoria de Operações de Computador Compreensão do controle de operação A operação do computador compreende função da área de informática
Leia maisAUDITORIAS AUDITORIAS
OBJETIVO DA AUDITORIA PROCEDIMENTOS VERIFICAR, ATESTAR SE AS ATIVIDADES E OS RESULTADOS A ELA RELACIONADOS, DE UM SISTEMA DE GESTÃO FORMAL, ESTÃO IMPLEMENTADOS EFICAZMENTE. DEFINIÇÕES: AUDITORIA: UM EXAME,
Leia maisISO/IEC Processo de ciclo de vida
ISO/IEC 12207 Processo de ciclo de vida O que é...? ISO/IEC 12207 (introdução) - O que é ISO/IEC 12207? - Qual a finalidade da ISO/IEC 12207? Diferença entre ISO/IEC 12207 e CMMI 2 Emendas ISO/IEC 12207
Leia maisSUPORTE TÉCNICO. Processo de implantação e atendimento do Suporte Técnico
1 SUPORTE TÉCNICO Processo de implantação e atendimento do Suporte Técnico Histórico de Alterações Revisão Data Autor Principais Alterações 1 08/09/15 Rafael Anselmo Criação do documento 2 05/12/16 Rafael
Leia maisA auditoria baseia-se em amostragem. número de registro governamental
Anexo IV Modelo de relatório de O conteúdo deste relatório, incluindo um resumo das não conformidades, deverá ser transmitido na língua inglesa. As listas de verificação e os formulários de NC preenchidos
Leia maisPolítica de Segurança Cibernética
Política de Segurança Cibernética Maio/2019 SUMÁRIO 1. INTRODUÇÃO... 3 2. OBJETIVO... 3 3. ABRANGÊNCIA... 3 4. PROCEDIMENTOS E CONTROLES ADOTADOS PARA GARANTIR OS OBJETIVOS DE SEGURANÇA CIBERNÉTICA...
Leia maisGrupo Técnico de Cibersegurança 1 Pesquisa ANBIMA de Cibersegurança 2017
1 Pesquisa ANBIMA de Cibersegurança 2017 Aplicação da pesquisa ação realizada pelo subgrupo 2 Envio para 262 instituições (30/8 a 22/9); Assets (117 instituições) envio de 2 pesquisas (3 Ed. da pesquisa
Leia maisCB.POL a. 1 / 7
CB.POL-.01 4 a. 1 / 7 1. CONTEÚDO DESTE DOCUMENTO Esta política estabelece diretrizes e responsabilidades para a implementação e manutenção do Sistema de Controles Internos integrado ao Gerenciamento de
Leia maisSSC-546 Avaliação de Sistemas Computacionais
QUALIDADE DE PACOTE DE SOFTWARE SSC-546 Avaliação de Sistemas Computacionais Profa. Rosana Braga (material profas Rosely Sanches e Ellen F. Barbosa) Qualidade de Produto de Software Modelo de Qualidade
Leia maisManual de Procedimentos backup e restore de dados. São Paulo, Janeiro de 2012 Versão 02.0
Manual de Procedimentos backup e restore de dados São Paulo, Janeiro de 2012 Versão 02.0 SUMÁRIO 1. Apresentação... 1 1.1. Considerações Gerais...1 1.2. Objetivo...1 1.3. Conceitos...1 1.4. Definições...1
Leia mais