GESTÃO DE SEGURANÇA DA INFORMAÇÃO



Documentos relacionados
Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe 2006

PROJETO RUMOS DA INDÚSTRIA PAULISTA

Cinco principais qualidades dos melhores professores de Escolas de Negócios

O que é Gerenciamento de Redes de Computadores? A gerência de redes de computadores consiste no desenvolvimento, integração e coordenação do

Estratégia de TI. Posicionamento Estratégico da TI: como atingir o alinhamento com o negócio. Conhecimento em Tecnologia da Informação

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

Governança de TI. ITIL v.2&3. parte 1

Curso Plano de Continuidade de Negócios

Perguntas para avaliar a efetividade do processo de segurança

MINISTÉRIO DA EDUCAÇÃO FUNDO NACIONAL DE DESENVOLVIMENTO DA EDUCAÇÃO DIRETORIA DE ASSISTÊNCIA A PROGRAMAS ESPECIAIS

OS EFEITOS DOS CUSTOS NA INDÚSTRIA

UM NOVO CONCEITO EM HOSPEDAGEM DE DOMÍNIO

Roteiro SENAC. Análise de Riscos. Monitoramento e Controle de Riscos. Monitoramento e Controle de Riscos. Monitoramento e Controle de Riscos

Corporativo. Transformar dados em informações claras e objetivas que. Star Soft.

Iniciação à Informática

O papel da Auditoria quanto a Segurança da Informação da organização

BlackBerry Mobile Voice System

INFORMAÇÃO PARA A PREVENÇÃO

ASSUNTO DO MATERIAL DIDÁTICO: SISTEMAS DE INFORMAÇÃO E AS DECISÕES GERENCIAIS NA ERA DA INTERNET

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

COMPUTADORES NAS EMPRESAS Cloud Computing Prof. Reginaldo Brito

PROTEJA SEUS NEGÓCIOS NÃO IMPORTA ONDE LEVEM VOCÊ. Protection Service for Business

APRESENTAÇÃO INSTITUCIONAL

Trabalho sobre Social Media Como implementar Social Media na empresa

Organização dos Estados Ibero-americanos. Para a Educação, a Ciência e a Cultura

10 DICAS DE TECNOLOGIA PARA AUMENTAR SUA PRODUTIVIDADE NO TRABALHO

CENTRO DE PÓS-GRADUAÇÃO E PESQUISA VISCONDE DE CAIRU CEPPEV CURSO: GESTÃO DE DATACENTER E COMPUTAÇÃO EM NUVEM

Como estruturar empreendimentos mistos

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança.

Estratégias de informação ao usuário na implantação de BRT.

La Supervisión de los Custodios en Brasil. Aspectos Legales

Risco de Crédito. Risco de Crédito. 1. Estrutura de Gerenciamento de Risco de Crédito

Apresentação. Vitae Tec Tecnologia a Serviço da Vida!

W W W. G U I A I N V E S T. C O M. B R

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

EDITAL SENAI SESI DE INOVAÇÃO. Caráter inovador projeto cujo escopo ainda não possui. Complexidade das tecnologias critério de avaliação que

Introdução. 1. Introdução

Administração de Pessoas Inovação e Mudança Meta:Excelência

Para a Educação, a Ciência e a Cultura TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE PESSOA FÍSICA CONSULTOR POR PRODUTO

Sistemas de Informação I

Ciências Humanas e Sociais Aplicadas, Pós-graduação à distância e Mercado de Trabalho Sandra Rodrigues

Horizons. O impacto financeiro da consumerização de TI As 10 principais percepções do Cisco IBSG Horizons Study. Introdução

Administração de Sistemas de Informação Gerenciais

POLÍTICAS DE GESTÃO PROCESSO DE SUSTENTABILIDADE

F-Secure Anti-Virus for Mac 2015

O Grupo Gerdau incentiva o trabalho em equipe e o uso de ferramentas de gestão pela qualidade na busca de soluções para os problemas do dia-a-dia.

Portfólio de Serviços. Gestão de Serviços de TI. Treinamento e Consultoria

Sistemas de Produtividade

Gestão do Conhecimento A Chave para o Sucesso Empresarial. José Renato Sátiro Santiago Jr.

e-ouv Passo-a-passo Sistema de Ouvidorias do Poder Executivo Federal Junho, 2015 Controladoria-Geral da União

A consolidação do modelo

WHITEPAPER. Guia de compra para câmeras IP: tudo o que você precisa saber antes de adquirir a sua solução digital

Gerenciamento de Problemas

18/06/2009. Quando cuidar do meio-ambiente é um bom negócio. Blog:

LinkedIn - Tendências globais em recrutamento para

APRESENTAÇÃO INSTITUCIONAL

Consultoria Integrada de Gestão Educacional

7dicas para obter sucesso em BYOD Guia prático com pontos importantes sobre a implantação de BYOD nas empresas.

CURSO GESTÃO POR INDICADORES DE DESEMPENHO NAS IES

Vendas - Cursos. Curso Completo de Treinamento em Vendas com Eduardo Botelho - 15 DVDs

Informática - Prof. Frank Mattos

MEDCLIN Software de Clínica Médica

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Organização dos Estados Ibero-americanos. Para a Educação, a Ciência e a Cultura TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE PESSOA FÍSICA

O ADVOGADO GESTOR. A melhor maneira de prever o futuro é criá-lo. Peter Drucker

Especialização em Gestão de Segurança da Informação

Da conformidade regulatória ao compromisso

1. Quem somos nós? A AGI Soluções nasceu em Belo Horizonte (BH), com a simples missão de entregar serviços de TI de forma rápida e com alta qualidade.

Instituto de Educação Tecnológica Pós-graduação Gestão em Tecnologia da Informação - Turma nº 25 08/04/2015. Computação em Nuvem

Proposta de Avaliação de Empresas para o uso do SAAS

INOVAÇÃO NA ADVOCACIA A ESTRATÉGIA DO OCEANO AZUL NOS ESCRITÓRIOS JURÍDICOS

DESENVOLVIMENTO DE UM APLICATIVO DO TIPO SECRETÁRIO VIRTUAL PARA A PLATAFORMA ANDROID

Transcrição:

GESTÃO DE SEGURANÇA DA INFORMAÇÃO SOLUÇÕES DE SEGURANÇA EM AMBIENTES HETEROGÊNEOS Pós-Graduação Lato Sensu O Perigo nas Mãos Resenha Patrick Tracanelli Prof. Ricardo Leocádio Universidade FUMEC 2009 Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 1/6

Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 2/6

Sumário 1Perigo nas Mãos Artigo Revista Security Review...4 1.1Introdução...4 1.2Riscos Iniciais...4 2Soluções de Conformidade...4 3De olho nos aparelhos...5 4Bibliografia...6 Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 3/6

1 Perigo nas Mãos Artigo Revista Security Review 1.1 Introdução Os riscos associados a cada vez maior popularização dos dispositivos móveis (laptops, PDAs, celulares) dentro das corporações foram discutidos na resenha[1] anterior. Da mesma forma, uma série de riscos apresentados neste artigo foram antecipadas, e opções apresentadas na resenha anterior[1]. Dessa a avaliação deste artigo levará em conta apenas os aspectos não abordados anteriormente. 1.2 Riscos Iniciais Os riscos apresentados na introdução do artigo são característicos de um ambiente que adota mobilidade mas não adota procedimentos de controle. Os riscos são, fazendo uma analogia desnecessária, equivalente a um ambiente não móvel com acesso pleno a mídias móveis. Os dados ficam desprotegidos e podem estar em qualquer lugar, no computador, na rede, no ipod do funcionário ou num pendrive. Da mesma forma um ambiente descontrolado móvel, tem por entendimento essencial esses dados já disponíveis em mídia móvel: o disco do dispositivo. Os riscos da adoção tecnológica devem ser adequadamente avaliados e um plano de ação deve ser implantado para diminuir à níveis aceitáveis os riscos e impactos associados a falta de segurança em ambiente móvel. 2 Soluções de Conformidade Os profissionais citados no artigo concordam que apenas a adoção de soluções de conformidade, que garantam a aderência da estação móvel as políticas de segurança tecnológica da organização, não são suficientes. No entanto os mesmos profissionais não mencionaram que outros riscos não são tratados pela conformidade. Nem proporam medidas complementares de controle. Em meu entendimento a conformidade, quando não resolve, é motivada exclusivamente pela própria política de segurança adotada. Se esta não for estabelecida apenas com foco em componentes e dispositivos locais, ou seja, se prever componentes móveis, a aderência a mesma é requisito básico. Já existem dificuldades em adequar a conformidade, quando falamos de dispositivos móveis além de laptops. Apontar que são insuficientes é uma afirmação que não pode ser feita sem ser acompanhada de ponderações complementares e menos vagas. O roubo ou perda do equipamento é um dos riscos cuja ameaça é mais provável que ambiente não móvel. No entanto uma política adequada deve prever ações pro-ativas quanto a mídias móveis, descarte de informações e roubos. Se a política e ações implantadas forem suficientes, a conformidade do dispositivo móvel tende a ser suficiente também. Medidas como criptografia, remoção automatizada de conteúdo por exemplo, foram discutidas na resenha anterior[1]. A afirmação de André Carretto da afirmação, que deveria ser para ilustrar que conformidade não é suficiente, apenas ilustra que conformidade em essência basta, já que a política e melhores práticas em um ambiente onde a segurança da informação é bem gerenciada já prevê heterogenia de ambientes e classificação de informações e custodiantes. Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 4/6

A primeira coisa que muda, na avaliação de conformidade, é a exigência e auditoria mais rígida de que os dispositivos estejam em aderência à política de SI da organização. A mudança é primeiramente cultural. Cultura alias, que é prevista em política de SI. A educação de usuários, funcionários, o treinamento e capacitação destes, quando existentes, sua conformidade em ambiente móvel ajuda a mitigar consideravelmente os níveis de risco, atuando como medida de controle indireta. Carboni da F-Secure quer claramente vender seu produto. Anti-virus, criptografia e firewall não adicionam segurança no ambiente móvel mais do que no ambiente fixo. Apenas a criptografia no entanto torna-se requisito mais crítico. Os demais já o são. No entanto diferente do que esse artigo tende a apontar, mobilidade não se restringe a laptops. Gestores de forma geral usam amplamente PDAs, celulares, como ferramentas de apoio a seu trabalho. Na mesma proporção que usam laptops, quase sempre. Anti-virus, firewall e criptografia são menos viáveis nesse ambiente, seja tecnologicamente seja do ponto de vista de usabilidade/performance do dispositivo. Estes são apenas componentes adicionais de segurança em ambiente móvel. Em ambiente móvel o que deve ser seriamente tratado é a auditabilidade e autenticação de acesso. 3 De olho nos aparelhos Ilustrando a tendencia do artigo de apontar o problema para o laptop, Marcelo da ISS aponta que o investimento deve ser nos laptops. Sugere no entanto, de forma que considero extremamente perigosa, que dispositivos móveis como handhelds são pouco utilizados ou não contenham dados críticos para a organização. Enquanto é verdade que PDAs, handhelds e celulares podem não conter massas amplas de dados, como grandes projetos, planilhas contáveis e outros, esses dispositivos são amplamente utilizados por gestores e executivos como agendas pessoais. Enquanto não dispõe de informações vitais para a organização, dispõe de formas para acessar essas informações. Desde usuário e senha para acesso a extranet, correio eletrônico, à anotações de dados de contas bancárias, resultados de balanço financeiro resumido, dados de acesso à VPN e outros sites críticos da organização ou informações utilizadas pelo proprietário do aparelho são informações que não podem, sob qualquer hipótese, ser negligenciadas pois permitem acesso as informações da organização. Acreditar que apenas criptografia também seja suficiente para estas categorias de dispositivos é outra afirmação feita que, é no mínimo, inocente. A criptografia é camada de segurança exclusivamente associada ao acesso do dispositivo por outra pessoa. O artigo menciona ainda opinião Thomas que afirma que o mercado paga o preço do aumento da produtividade. Afirmação que da a impressão que a menor segurança do ambiente móvel seja uma punição à organização que faz uso da mobilidade. Não é. E a mesma tecnologia que gera o aumento da produtividade e gera o risco complementar, também gera soluções que controlem esse risco à níveis adequados. A máxima que sugere que a tecnologia existe para criar soluções para problemas que não existiam antes da tecnologia talvez ilustre adequadamente a situação. A produtividade é o Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 5/6

resultado da tecnologia que permite mobilidade. Os riscos à segurança são os efeitos colaterais. Da mesma forma que 30% dos remédios criados pelos grandes laboratórios são para diminuir efeitos colaterais de outros remédios, a tecnologia pode também ser utilizada para diminuir efeitos colaterais da ampla adoção tecnológica. 4 Bibliografia Mobilidade Corporativa - Resenha, Patrick Tracanelli, não publicado (hehe). http://forums.drugpolicy.org/viewforum.php? f=6&sid=39f516adca0c114f0430b6b54606d148 acessado em 4 Outubro 2009; Pós-Graduação Lato Sensu - Gestão de Segurança da Informação Universidade FUMEC SSAH pg 6/6

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback