SlideShare uma empresa Scribd logo

Segurança da informação no STJ

C
cavalherepcdf

cartilha

Internet
1 de 16
Baixar para ler offline
segurança da informação CARTILHA Coordenadoria de Auditoria de Tecnologia da Informação Secretaria de Controle Interno Superior Tribunal de Justiça
3 APRESENTAÇÃO Você já ouviu falar no caso Snowden? O ex-técnico da CIA, Edward Snowden, é acusado de espionagem por vazar informações sigilosas de segurança dos Estados Unidos. Ele revelou, em detalhes, alguns dos programas de vigilância que o país usa para espionar a população americana e de vários países da Europa e da América Latina, entre eles o Brasil. O governo americano é conhecido por ter uma segurança praticamente à prova de falhas. Nesse caso, no entanto, o fator humano foi o elo mais fraco, que levou à quebra da segurança e a um escândalo internacional. No STJ, transitam todos os dias informações confidenciais que trariam um grande prejuízo à imagem do órgão e às pessoas envolvidas, caso fossem divulgadas. A Segurança da Informação é um processo, não um produto, e o nível de segurança geral é equivalente à segurança do elo mais fraco. Por isso, é importante conscientizar cada servidor do seu papel dentro da Segurança da Informação. De nada adianta garantir a segurança de sistemas informatizados, por exemplo, se o servidor falar abertamente sobre assuntos sigilosos em locais públicos. Após a realização do levantamento de Segurança da Informação feito pela Coordenadoria de Auditoria de Tecnologia da Informação - CAUT, a Secretaria de Controle Interno constatou a necessidade de uma ação de conscientização sobre a Segurança da Informação. Como forma de contribuição para a missão do Tribunal da Cidadania, a Secretaria de Controle Interno, por meio da equipe da CAUT, elaborou esta cartilha de conscientização. Desejamos que a leitura deste material seja proveitosa e que as orientações aqui repassadas façam parte do seu cotidiano. O que você faz para proteger as informações do STJ? Ângela Merce Teixeira Neves Secretária de Controle Interno
4 A importância da informação na sociedade e na organização Ameaças e Vulnerabilidades Na sociedade atual, a informação assume uma impor- tância cada vez maior, a ponto de se tornar o bem de maior valor para a maioria das organizações. A informação é o ingrediente básico do qual dependem os processos de decisão e de apoio. Assim, quanto maior a importância de determinada informação para a organização, maior é a ne- cessidade de que essa informação se mantenha confiável, precisa e disponível para as pessoas autorizadas. Em muitos casos, é importante que um número limitado de pessoas tenha acesso a essas informações, seja para evitar o vazamento de informações estratégicas da organização, seja para proteger a privacidade de pessoas. Em um ambiente cada vez mais interconectado, no qual a informação assume papel cada vez mais relevante, cresce também a necessidade de proteção desse ativo essencial para os objetivos institucionais. Como consequência do aumento no tráfego de informa- ções, crescem também as ameaças e vulnerabilidades às quais a informação está exposta. Seja qual for sua forma de apresentação ou meio no qual está armazenada ou é transferida, é necessária a proteção adequada desse ativo. INFORMAÇÃO De acordo com a ISO/IEC 27000:2014: ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
5 Pra que serve a Segurança da Informação A Segurança da Informação é necessária para garantir a proteção das informações corporativas ou pessoais, assegurando que nenhuma informação seja alterada ou utilizada indevidamente. A Segurança da Informação é garantida por meio da preservação de alguns atributos básicos, também conhecidos como os cinco pilares da Segurança da Informação: É a garantia de que somente pessoas autorizadas terão acesso à informação. É a garantia de que a informação vem da fonte anunciada, ou seja, de que o autor da informação é realmente quem diz ser. É a garantia de que a informa- ção mantém as características originais esta- belecidas por seu proprie- tário, ou seja, de que não foi modificada ou alterada de for- ma indevida. Também chamada de não-repúdio. É a garantia de que a pessoa não negue ter assinado ou criado a informação. É a garantia de que a informação estará pronta para o uso (por pessoas autorizadas) quando for necessária. SEGURANÇA CONFIDENCIALIDADE AUTENTICIDADEINTEGRIDADE IRRETRATABILIDADE DISPONIBILIDADE
CONFIDENC 6 Classificação das informações Para proteger corretamente as informações, é necessário que exista uma forma de avaliar sua importância e de saber quais pessoas podem ter acesso ao seu conteúdo.Ovalordasinformações produzidas e custodiadas pelo STJ é de grande importância não somente para os seus Ministros e servidores, mas também para todos os cidadãos. Dessa forma, é fundamental que a informação tenha o devido tratamento. CLASSIFICAÇÃO A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, civis e criminais. É sempre restrita a um grupo específico de pessoas. É uma informação que a organização não tem interesse em divulgar, mas que é importante para o público interno. Caso essa informação seja acessada indevidamente, podem ocorrer danos à imagem da Organização, mas não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por funcionários (ou servidores) e prestadores de serviços. É uma informação com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. CONFIDENCIAL INTERNA PÚBLICA Existem várias formas de classifi- car a informação quanto ao seu ní- vel de sigilo. Algumas são previstas em normas - como a NBR ISO/IEC 27002:2013 - ou manuais de boas práticas. O importante é que os ní- veis de sigilo sejam adaptados para a realidade de cada organização e am- plamente divulgados, para que todos conheçam o significado de cada nível e saibam lidar com eles.
CIAL 7 São assuntos que requeiram alto grau de segurança e cujo teor ou características podem ser de conhecimento apenas de pessoas que estejam autorizadas a isso. São documentos considerados secretos os referentes a planos, programas e medidas governamentais e os assuntos extraídos de matéria ultrassecreta que necessitam de maior difusão, sem comprometer seu sigilo. Essa classificação é dada aos assuntos que requeiram excepcional grau de segurança e cujo teor ou características só devam ser do conhecimento de pessoas intimamente ligadas ao seu estudo ou manuseio. São normalmente assuntos ligados a temas como política governamental de alto nível e segredos de Estado como: negociações para alianças políticas e militares, planos de guerra, descobertas e experimentos científicos de valor excepcional etc. SECRETA ULTRASSECRETA Podem ser citadas também as seguintes classificações de sigilo para as informações
8 Política de Segurança da Informação (PSI) As políticas de segurança da informação definem os direitos e as responsabilidades de cada um em relação à Segurança da Informação. Em geral, essas políticas são consolidadas em um documen- to geral, chamado simplesmente de Política de Segurança da Infor- mação - PSI. Embora muitas vezes seja focada na área de Tecnolo- gia da Informação, o ideal é que a PSI aborde todos os aspectos da Segurança da Informação e de maneira organizacional, mesmo aqueles que não estão diretamen- te envolvidos com recursos com- putacionais. Esse documento geral deve ser fo- cado nos requisitos de estratégia de negócio, regulamentações e legislação, além do ambiente de riscos e ameaças da segurança da informação, atuais e futuros. A PSI deve conter declarações relativas às definições de Segu- rança da Informação, objetivos e princípios para orientar todas as atividades relativas à seguran- ça da informação. Também deve POLÍTICAS conter a atribuição de responsa- bilidades gerais e específicas para o gerenciamento de segurança da informação e os processos de tra- tamento dos desvios e exceções. O documento principal deve pos- suir uma linguagem simples e direta, sem entrar em detalhes técnicos. A PSI é um documento voltado para todos os colaborado- res internos e partes externas re- levantes e, como tal, deve ter uma linguagem acessível para que seja compreendida por todos. A PSI pode ser apoiada por políti- cas específicas do tema, detalha- das de forma a considerar as ne- cessidades de grupos específicos de interesse dentro da organiza- ção ou para cobrir determinados tópicos. São exemplos disso: con- trole de acesso, segurança física do ambiente, política de backup e senhas, identificação pessoal, en- tre outros.
9 Quem é responsável? De acordo com a NBR ISO/IEC 27002:2013, a PSI deve ser definida pelo mais alto nível da organização e deve ser aprovada pela direção da organização. Cada política de segurança da informação, ou seja, cada item principal da PSI deve ter um gestor responsável pelo seu desenvolvimento, análise crítica e avaliação periódica. Quem deve ter acesso? A PSI deve ser comunicada a todos os colabo- radores da organização, ou seja, funcionários, dirigentes, prestadores de serviço, estagiários e até mesmo ao público externo, em alguns casos. Essa informação deve estar facilmen- te acessível a todos os usuários e constar em programas de conscientização e educação cor- porativos. Os desdobramentos da PSI, ou seja, o detalhamento de cada política também deve estar disponível de forma simples e rápida para todos os envolvidos em tal política. Pode ser modificada? A PSI não só pode como deve passar por um processovde revisão e modificação. O gestor de cada política deve fazer periodicamente uma análise crítica e avaliação de suas polí- ticas. Essa análise deve incluir a avaliação de oportunidades para melhoria da política de segurança da informação da organização e para que ela se adeque às mudanças no am- biente organizacional, às circunstâncias do negócio, às condições legais ou ao ambiente de tecnologia. Objetivos de segurança Ao definir a PSI, os gestores devem pensar PSI nos objetivos de segurança a serem atingidos. É comum ver organizações tentando classi- ficar todas as suas informações com um alto grau de sigilo. No entanto, isso custa caro, e na maioria das vezes não é necessário. Saber adequar as políticas à realidade de cada orga- nização é fundamental para o sucesso da im- plantação de uma PSI. Ameaças, riscos e impactos Além dos objetivos de segurança, é necessário conhecer os riscos e ameaças à segurança da in- formação. O que é mais importante para a orga- nização: o sigilo das informações, sua disponibili- dade ou a garantia de que nenhuma informação será perdida? Todos são pontos importantes, mas é necessária uma priorização para criar uma boa PSI e para auxiliar na criação de um Plano de Contingência. O Plano de Contingência irá definir as ações tomadas para diminuir os riscos e o impacto das possíveis ameaças à Segurança da Infor- mação. Políticas de backup e redundância ou mesmo treinamentos de prevenção e com- bate a incêndios são exemplos de Planos de Contingência. Sanções e punições Infelizmente, de nada adianta criar regras se as pessoas envolvidas não as seguirem. Dessa forma, a PSI também deve definir as sanções e punições a serem aplicadas para situações em que as políticas definidas sejam desrespeitadas. Divulgação Finalmente, uma vez que seja criada a PSI, é fundamental que ela seja amplamente divul- gada entre os colaboradores internos da orga- nização,e faça parte de programas de treina- mento e de reciclagem constantes.
10 O papel de Ministros, servidores, estagiários e terceirizados no processo de Segurança da Informação. Todos os dias trafegam milhares de informa- ções no STJ, seja por seus corredores, seja através dos sistemas informa- tizados. Cada processo judicial ou administrativo representa um con- junto de informações, destinado a receptores específicos, sejam eles os próprios Ministros e servidores do STJ, sejam as partes envolvidas em cada processo. É essen- cial que essas informa- ções consigam chegar a seus destinatários - e somente a eles. PAPÉIS É natural nos lembrarmos da Segurança da Informação apenas enquanto ela está nos computado- res e sistemas informatizados. Assim, utilizamos senhas de acesso e antivírus, exigimos criptografia e outros contro- les. No entanto, a principal falha de segurança em qualquer sistema está fora dele: o ser humano. A forma mais fácil de conseguir qualquer informa- ção sigilosa é através da chamada Engenharia So- cial, que nada mais é do que conseguir enganar al- guém para ter acesso a informações privilegiadas. Seja ouvindo conversas alheias ou perguntando diretamente, pessoas mal intencionadas podem conseguir diversas informações importantes sem precisar sequer chegar perto de um computador.
11 O papel da Tecnologia da Informação no processo de Segurança da Informação. Dessa forma, todos que frequentam o STJ - Ministros, servidores, estagiários ou terceirizados - devem ter consciência da importância do sigilo e da discrição em relação às informações classificadas. Não adianta ter um ambiente tecnológico se- guro se as informações são impressas e deixadas sobre a mesa, em um local onde qualquer um pode ter acesso. Da mesma forma, não adianta ter senha no compu- tador se o usuário tem o costume de sair de sua mesa e deixar o computador des- bloqueado. Ou ainda, não adianta ter todo o cuidado com informações sigilosas es- critas, mas comentá-las de forma aberta e descuidada em um ambiente público, como o restaurante. Assim, é importante não só que apenas as pessoas autorizadas para cada nível de si- gilo tenham acesso àquelas informações, mas também que tais pessoas sejam cui- dadosas ao lidar com essas informações, evitando que elas sejam transmitidas - seja de forma voluntária ou involuntária - para pessoas que não estão autorizadas. Comoprocessojudicialeletrônicoeaautoma- tização cada vez maior dos processos adminis- trativos do Tribunal, a área de Tecnologia da Informação passa a ter um papel fundamental no processo de Segurança da Informação. A área é responsável por manter todo o parque computacional do STJ - desde as estações de trabalho aos servidores de aplicação e de da- dos - em plenas condições de funcionamento e de segurança. É essencial que os dados se- jam mantidos íntegros e bem preservados, além de estarem disponíveis para o pron- to acesso por parte dos usuá- rios autorizados. Não escreva sua SENHA
12 10 dicas sobre Segurança da Informação DICAS Não efetue gravação ou cópia, nem se aproprie ou repasse documentação confi- dencial a que tiver acesso. Não repasse informações confidenciais Procure estar ciente da política de segurança do STJ e dos serviços que você uti- liza (como Webmail e redes sociais). Conheça a política de segurança Fique atento à política de confidencialidade do STJ e seja cuidadoso ao divulgar informações profissionais, principalmente em blogs e redes sociais. Confidencialidade e Privacidade Não basta que a informação esteja protegida na rede em meio digital, é preciso também pensar na seguran- ça depois que imprimimos ou copiamos os arquivos. Documentos impressos sobre a mesa ou em gavetas sem tranca são possíveis fontes de vazamento de informa- ções sigilosas. Cuidados depois da impressão ou cópia dos arquivos Bloqueie sua máquina em caso de ausência e a desligue ao final do expediente. Bloqueio da máquina
13 Mantenha suas senhas em sigilo absoluto, não revelan- do a outras pessoas nem as anotando. Cuidado com suas senhas Mensagens recebidas da Internet que não são de in- teresse do órgão não devem ser repassadas através do correio eletrônico corporati- vo. A mesma orientação vale para mensagens sobre vírus ou ameaças de segurança que aconselham o repasse das mensagens para outras pessoas. Nesses casos, o usuário deve eliminar a mensagem e jamais repassar internamente na empresa. Cuidado com mensagens oriundas da internet Você deve informar ao responsável quando se deparar com algo que possa comprometer a segurança da informação no Tribunal. Encontrou algo de errado? Comunique ao responsável Você é responsável pelas informações armazenadas nos equipamentos de seu uso exclusivo. Responsabilidade pelas informações A utilização do correio ele- trônico deve ser restrita às atividades de interesse da em- presa e as mensagens trans- mitidas pelo correio eletrônico não devem conter dados e informações confidenciais ou vitais do órgão, a não ser que adequadamente protegidas por senha ou criptografia e em conformidade com as políticas de segurança. Uso do correio eletrônico
14 Normas e publicações relacionadas • Família de Normas ISO/IEC 27000 Fornece diretrizes para práticas de gestão de segurança da informação e nor- mas de segurança da informação para as organizações. • Boas Práticas em Segurança da Informação - TCU - 4ª Edição - 2012 Publicação do Tribunal de Contas da União com o intuito de despertar a atenção para os aspectos da segurança da informação nas instituições governamentais. • Decreto n.º 3.505, de 13.06.2000 Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. • Cartilha de Segurança para Internet - cert.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Contém recomendações e dicas sobre como aumentar a segurança ao navegar na internet. • Portaria STJ n. 898 de 31 de dezembro de 2009 Dispõe sobre a implantação do Programa de Gestão Documental - AGILIS. • Portaria STJ n. 898 de 31 de dezembro de 2009 - Anexo 1 Dispõe sobre as rotinas e procedimentos de criação, captura e digitalização do Programa de Gestão Documental - AGILIS. • Plano de classificação e tabelas de temporalidade dos documentos da Administração Judiciária do Superior Tribunal de Justiça - STJ Define o Plano de Classificação e Tabela de Temporalidade dos Documentos da Administração Judiciária do STJ. • Portaria STJ n. 445 de 13 de novembro de 2012 Dispõe sobre o uso do serviço de correio eletrônico e sobre a administração do respectivo software no Superior Tribunal de justiça. • Resolução STJ n. 8 de 13 de novembro de 2009 Institui o Código de Conduta do Superior Tribunal de Justiça. • Resolução STJ n. 20 de 9 de agosto de 2012 Dispõe sobre a certificação digital no Superior Tribunal de Justiça e dá outras providências. • Portaria STJ n. 25 de 1º de fevereiro de 2008 Institui a política de utilização dos recursos de tecnologia da informação no âmbito do Superior Tribunal de Justiça. NORMASEREFERÊNCIAS
EQUIPE COORDENAÇÃO DESIGN Wadson Sampaio Pereira Gustavo de Moura Rocha Vitor Dutra Freire João Augusto Mendes Vale Eliane Maria Cordeiro Tomás Leonardo Ramos Paz Paulo Henrique Rocha de Souza Sérgio Giovane Canavarro Alves Camila Melo de Carvalho Michel Viana Oliveira Silvia Caldas Ferreira Vitor Dutra Freire
Um programa de conscientização sobre segurança da informação tem como objetivo principal influenciar servidores e colaborado- res a mudarem seus hábitos, bem como criar a consciência de que todos são corresponsáveis pela Segurança da Informação. Esse processo de conscientização deve ser contínuo, para manter os usuários alertas e para prepará-los para os novos riscos e ameaças que surgem a cada dia. Além dos aspectos gerais de Segurança da Informação, cada área deve ter um treinamento adequado a sua realidade. As políticas podem ser gerais, aplicadas a todos, ou específicas, aplicadas nas situações em que é necessária a existência de políticas e treina- mentos específicos para determinados cargos ou grupos distintos dentro da organização, como, por exemplo, os gestores, o pessoal da tecnologia, os usuários de microcomputadores, o pessoal das áreas não técnicas, os assistentes administrativos, recepcionistas e o pessoal da segurança física. Um órgão que leva a Segurança da Informação a sério mantém os riscos e ameaças sob controle e não coloca em jogo a sua imagem organizacional. Com isso, toda a instituição ganha e mantém seu objetivo maior: prestar um serviço de qualidade para o cidadão brasileiro.

Recomendados

Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesDeivison Pinheiro Franco.·.
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 segurancaMarco Guimarães
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2vicente nunes
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Administraçao de sistemas aula 2
Administraçao de sistemas aula 2Administraçao de sistemas aula 2
Administraçao de sistemas aula 2Vicente Willians Nunes
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFábio Ferreira
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01profandreson
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoDaniel de Sousa Luz
 

Recomendados

Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesDeivison Pinheiro Franco.·.
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 segurancaMarco Guimarães
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2vicente nunes
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Administraçao de sistemas aula 2
Administraçao de sistemas aula 2Administraçao de sistemas aula 2
Administraçao de sistemas aula 2Vicente Willians Nunes
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFábio Ferreira
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01profandreson
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoDaniel de Sousa Luz
 
Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2vicente nunes
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1Esc Tiradentes
 
Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist admAlexMartinsdaSilva2
 
Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2vicente nunes
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informaçãoLuiz Siles
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Segurança da Informação | Enttry Software
Segurança da Informação | Enttry SoftwareSegurança da Informação | Enttry Software
Segurança da Informação | Enttry SoftwareEnttry Softwares
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Márcio Bortolini dos Santos
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAron Sporkens
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Tiago Tavares
 

Mais conteúdo relacionado

Mais procurados

Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2vicente nunes
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist admAlexMartinsdaSilva2
 
Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2vicente nunes
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informaçãoLuiz Siles
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Segurança da Informação | Enttry Software
Segurança da Informação | Enttry SoftwareSegurança da Informação | Enttry Software
Segurança da Informação | Enttry SoftwareEnttry Softwares
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAron Sporkens
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 

Mais procurados (20)

Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist adm
 
Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informação
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunos
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Segurança da Informação | Enttry Software
Segurança da Informação | Enttry SoftwareSegurança da Informação | Enttry Software
Segurança da Informação | Enttry Software
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade Humana
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 

Semelhante a Segurança da informação no STJ

QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Tiago Tavares
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESA IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESCarla Ferreira
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesIsraelCunha
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Classificação da informação
Classificação da informaçãoClassificação da informação
Classificação da informaçãoFernando Palma
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia socialRicardo Cavalcante
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação FícticiaVitor Melo
 
Wa2 tec. analise e desenv. sist. - seminários i
Wa2 tec. analise e desenv. sist. - seminários iWa2 tec. analise e desenv. sist. - seminários i
Wa2 tec. analise e desenv. sist. - seminários iAndre Luiz
 

Semelhante a Segurança da informação no STJ (20)

QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESA IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
 
Aula 1
Aula 1Aula 1
Aula 1
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Classificação da informação
Classificação da informaçãoClassificação da informação
Classificação da informação
 
Confidencialidade.pdf
Confidencialidade.pdfConfidencialidade.pdf
Confidencialidade.pdf
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia social
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafios
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Monografia Heraldo
Monografia HeraldoMonografia Heraldo
Monografia Heraldo
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação Fícticia
 
Wa2 tec. analise e desenv. sist. - seminários i
Wa2 tec. analise e desenv. sist. - seminários iWa2 tec. analise e desenv. sist. - seminários i
Wa2 tec. analise e desenv. sist. - seminários i
 
Boas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdfBoas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdf
 

Segurança da informação no STJ

  • 1. segurança da informação CARTILHA Coordenadoria de Auditoria de Tecnologia da Informação Secretaria de Controle Interno Superior Tribunal de Justiça
  • 2.
  • 3. 3 APRESENTAÇÃO Você já ouviu falar no caso Snowden? O ex-técnico da CIA, Edward Snowden, é acusado de espionagem por vazar informações sigilosas de segurança dos Estados Unidos. Ele revelou, em detalhes, alguns dos programas de vigilância que o país usa para espionar a população americana e de vários países da Europa e da América Latina, entre eles o Brasil. O governo americano é conhecido por ter uma segurança praticamente à prova de falhas. Nesse caso, no entanto, o fator humano foi o elo mais fraco, que levou à quebra da segurança e a um escândalo internacional. No STJ, transitam todos os dias informações confidenciais que trariam um grande prejuízo à imagem do órgão e às pessoas envolvidas, caso fossem divulgadas. A Segurança da Informação é um processo, não um produto, e o nível de segurança geral é equivalente à segurança do elo mais fraco. Por isso, é importante conscientizar cada servidor do seu papel dentro da Segurança da Informação. De nada adianta garantir a segurança de sistemas informatizados, por exemplo, se o servidor falar abertamente sobre assuntos sigilosos em locais públicos. Após a realização do levantamento de Segurança da Informação feito pela Coordenadoria de Auditoria de Tecnologia da Informação - CAUT, a Secretaria de Controle Interno constatou a necessidade de uma ação de conscientização sobre a Segurança da Informação. Como forma de contribuição para a missão do Tribunal da Cidadania, a Secretaria de Controle Interno, por meio da equipe da CAUT, elaborou esta cartilha de conscientização. Desejamos que a leitura deste material seja proveitosa e que as orientações aqui repassadas façam parte do seu cotidiano. O que você faz para proteger as informações do STJ? Ângela Merce Teixeira Neves Secretária de Controle Interno
  • 4. 4 A importância da informação na sociedade e na organização Ameaças e Vulnerabilidades Na sociedade atual, a informação assume uma impor- tância cada vez maior, a ponto de se tornar o bem de maior valor para a maioria das organizações. A informação é o ingrediente básico do qual dependem os processos de decisão e de apoio. Assim, quanto maior a importância de determinada informação para a organização, maior é a ne- cessidade de que essa informação se mantenha confiável, precisa e disponível para as pessoas autorizadas. Em muitos casos, é importante que um número limitado de pessoas tenha acesso a essas informações, seja para evitar o vazamento de informações estratégicas da organização, seja para proteger a privacidade de pessoas. Em um ambiente cada vez mais interconectado, no qual a informação assume papel cada vez mais relevante, cresce também a necessidade de proteção desse ativo essencial para os objetivos institucionais. Como consequência do aumento no tráfego de informa- ções, crescem também as ameaças e vulnerabilidades às quais a informação está exposta. Seja qual for sua forma de apresentação ou meio no qual está armazenada ou é transferida, é necessária a proteção adequada desse ativo. INFORMAÇÃO De acordo com a ISO/IEC 27000:2014: ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
  • 5. 5 Pra que serve a Segurança da Informação A Segurança da Informação é necessária para garantir a proteção das informações corporativas ou pessoais, assegurando que nenhuma informação seja alterada ou utilizada indevidamente. A Segurança da Informação é garantida por meio da preservação de alguns atributos básicos, também conhecidos como os cinco pilares da Segurança da Informação: É a garantia de que somente pessoas autorizadas terão acesso à informação. É a garantia de que a informação vem da fonte anunciada, ou seja, de que o autor da informação é realmente quem diz ser. É a garantia de que a informa- ção mantém as características originais esta- belecidas por seu proprie- tário, ou seja, de que não foi modificada ou alterada de for- ma indevida. Também chamada de não-repúdio. É a garantia de que a pessoa não negue ter assinado ou criado a informação. É a garantia de que a informação estará pronta para o uso (por pessoas autorizadas) quando for necessária. SEGURANÇA CONFIDENCIALIDADE AUTENTICIDADEINTEGRIDADE IRRETRATABILIDADE DISPONIBILIDADE
  • 6. CONFIDENC 6 Classificação das informações Para proteger corretamente as informações, é necessário que exista uma forma de avaliar sua importância e de saber quais pessoas podem ter acesso ao seu conteúdo.Ovalordasinformações produzidas e custodiadas pelo STJ é de grande importância não somente para os seus Ministros e servidores, mas também para todos os cidadãos. Dessa forma, é fundamental que a informação tenha o devido tratamento. CLASSIFICAÇÃO A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, civis e criminais. É sempre restrita a um grupo específico de pessoas. É uma informação que a organização não tem interesse em divulgar, mas que é importante para o público interno. Caso essa informação seja acessada indevidamente, podem ocorrer danos à imagem da Organização, mas não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por funcionários (ou servidores) e prestadores de serviços. É uma informação com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. CONFIDENCIAL INTERNA PÚBLICA Existem várias formas de classifi- car a informação quanto ao seu ní- vel de sigilo. Algumas são previstas em normas - como a NBR ISO/IEC 27002:2013 - ou manuais de boas práticas. O importante é que os ní- veis de sigilo sejam adaptados para a realidade de cada organização e am- plamente divulgados, para que todos conheçam o significado de cada nível e saibam lidar com eles.
  • 7. CIAL 7 São assuntos que requeiram alto grau de segurança e cujo teor ou características podem ser de conhecimento apenas de pessoas que estejam autorizadas a isso. São documentos considerados secretos os referentes a planos, programas e medidas governamentais e os assuntos extraídos de matéria ultrassecreta que necessitam de maior difusão, sem comprometer seu sigilo. Essa classificação é dada aos assuntos que requeiram excepcional grau de segurança e cujo teor ou características só devam ser do conhecimento de pessoas intimamente ligadas ao seu estudo ou manuseio. São normalmente assuntos ligados a temas como política governamental de alto nível e segredos de Estado como: negociações para alianças políticas e militares, planos de guerra, descobertas e experimentos científicos de valor excepcional etc. SECRETA ULTRASSECRETA Podem ser citadas também as seguintes classificações de sigilo para as informações
  • 8. 8 Política de Segurança da Informação (PSI) As políticas de segurança da informação definem os direitos e as responsabilidades de cada um em relação à Segurança da Informação. Em geral, essas políticas são consolidadas em um documen- to geral, chamado simplesmente de Política de Segurança da Infor- mação - PSI. Embora muitas vezes seja focada na área de Tecnolo- gia da Informação, o ideal é que a PSI aborde todos os aspectos da Segurança da Informação e de maneira organizacional, mesmo aqueles que não estão diretamen- te envolvidos com recursos com- putacionais. Esse documento geral deve ser fo- cado nos requisitos de estratégia de negócio, regulamentações e legislação, além do ambiente de riscos e ameaças da segurança da informação, atuais e futuros. A PSI deve conter declarações relativas às definições de Segu- rança da Informação, objetivos e princípios para orientar todas as atividades relativas à seguran- ça da informação. Também deve POLÍTICAS conter a atribuição de responsa- bilidades gerais e específicas para o gerenciamento de segurança da informação e os processos de tra- tamento dos desvios e exceções. O documento principal deve pos- suir uma linguagem simples e direta, sem entrar em detalhes técnicos. A PSI é um documento voltado para todos os colaborado- res internos e partes externas re- levantes e, como tal, deve ter uma linguagem acessível para que seja compreendida por todos. A PSI pode ser apoiada por políti- cas específicas do tema, detalha- das de forma a considerar as ne- cessidades de grupos específicos de interesse dentro da organiza- ção ou para cobrir determinados tópicos. São exemplos disso: con- trole de acesso, segurança física do ambiente, política de backup e senhas, identificação pessoal, en- tre outros.
  • 9. 9 Quem é responsável? De acordo com a NBR ISO/IEC 27002:2013, a PSI deve ser definida pelo mais alto nível da organização e deve ser aprovada pela direção da organização. Cada política de segurança da informação, ou seja, cada item principal da PSI deve ter um gestor responsável pelo seu desenvolvimento, análise crítica e avaliação periódica. Quem deve ter acesso? A PSI deve ser comunicada a todos os colabo- radores da organização, ou seja, funcionários, dirigentes, prestadores de serviço, estagiários e até mesmo ao público externo, em alguns casos. Essa informação deve estar facilmen- te acessível a todos os usuários e constar em programas de conscientização e educação cor- porativos. Os desdobramentos da PSI, ou seja, o detalhamento de cada política também deve estar disponível de forma simples e rápida para todos os envolvidos em tal política. Pode ser modificada? A PSI não só pode como deve passar por um processovde revisão e modificação. O gestor de cada política deve fazer periodicamente uma análise crítica e avaliação de suas polí- ticas. Essa análise deve incluir a avaliação de oportunidades para melhoria da política de segurança da informação da organização e para que ela se adeque às mudanças no am- biente organizacional, às circunstâncias do negócio, às condições legais ou ao ambiente de tecnologia. Objetivos de segurança Ao definir a PSI, os gestores devem pensar PSI nos objetivos de segurança a serem atingidos. É comum ver organizações tentando classi- ficar todas as suas informações com um alto grau de sigilo. No entanto, isso custa caro, e na maioria das vezes não é necessário. Saber adequar as políticas à realidade de cada orga- nização é fundamental para o sucesso da im- plantação de uma PSI. Ameaças, riscos e impactos Além dos objetivos de segurança, é necessário conhecer os riscos e ameaças à segurança da in- formação. O que é mais importante para a orga- nização: o sigilo das informações, sua disponibili- dade ou a garantia de que nenhuma informação será perdida? Todos são pontos importantes, mas é necessária uma priorização para criar uma boa PSI e para auxiliar na criação de um Plano de Contingência. O Plano de Contingência irá definir as ações tomadas para diminuir os riscos e o impacto das possíveis ameaças à Segurança da Infor- mação. Políticas de backup e redundância ou mesmo treinamentos de prevenção e com- bate a incêndios são exemplos de Planos de Contingência. Sanções e punições Infelizmente, de nada adianta criar regras se as pessoas envolvidas não as seguirem. Dessa forma, a PSI também deve definir as sanções e punições a serem aplicadas para situações em que as políticas definidas sejam desrespeitadas. Divulgação Finalmente, uma vez que seja criada a PSI, é fundamental que ela seja amplamente divul- gada entre os colaboradores internos da orga- nização,e faça parte de programas de treina- mento e de reciclagem constantes.
  • 10. 10 O papel de Ministros, servidores, estagiários e terceirizados no processo de Segurança da Informação. Todos os dias trafegam milhares de informa- ções no STJ, seja por seus corredores, seja através dos sistemas informa- tizados. Cada processo judicial ou administrativo representa um con- junto de informações, destinado a receptores específicos, sejam eles os próprios Ministros e servidores do STJ, sejam as partes envolvidas em cada processo. É essen- cial que essas informa- ções consigam chegar a seus destinatários - e somente a eles. PAPÉIS É natural nos lembrarmos da Segurança da Informação apenas enquanto ela está nos computado- res e sistemas informatizados. Assim, utilizamos senhas de acesso e antivírus, exigimos criptografia e outros contro- les. No entanto, a principal falha de segurança em qualquer sistema está fora dele: o ser humano. A forma mais fácil de conseguir qualquer informa- ção sigilosa é através da chamada Engenharia So- cial, que nada mais é do que conseguir enganar al- guém para ter acesso a informações privilegiadas. Seja ouvindo conversas alheias ou perguntando diretamente, pessoas mal intencionadas podem conseguir diversas informações importantes sem precisar sequer chegar perto de um computador.
  • 11. 11 O papel da Tecnologia da Informação no processo de Segurança da Informação. Dessa forma, todos que frequentam o STJ - Ministros, servidores, estagiários ou terceirizados - devem ter consciência da importância do sigilo e da discrição em relação às informações classificadas. Não adianta ter um ambiente tecnológico se- guro se as informações são impressas e deixadas sobre a mesa, em um local onde qualquer um pode ter acesso. Da mesma forma, não adianta ter senha no compu- tador se o usuário tem o costume de sair de sua mesa e deixar o computador des- bloqueado. Ou ainda, não adianta ter todo o cuidado com informações sigilosas es- critas, mas comentá-las de forma aberta e descuidada em um ambiente público, como o restaurante. Assim, é importante não só que apenas as pessoas autorizadas para cada nível de si- gilo tenham acesso àquelas informações, mas também que tais pessoas sejam cui- dadosas ao lidar com essas informações, evitando que elas sejam transmitidas - seja de forma voluntária ou involuntária - para pessoas que não estão autorizadas. Comoprocessojudicialeletrônicoeaautoma- tização cada vez maior dos processos adminis- trativos do Tribunal, a área de Tecnologia da Informação passa a ter um papel fundamental no processo de Segurança da Informação. A área é responsável por manter todo o parque computacional do STJ - desde as estações de trabalho aos servidores de aplicação e de da- dos - em plenas condições de funcionamento e de segurança. É essencial que os dados se- jam mantidos íntegros e bem preservados, além de estarem disponíveis para o pron- to acesso por parte dos usuá- rios autorizados. Não escreva sua SENHA
  • 12. 12 10 dicas sobre Segurança da Informação DICAS Não efetue gravação ou cópia, nem se aproprie ou repasse documentação confi- dencial a que tiver acesso. Não repasse informações confidenciais Procure estar ciente da política de segurança do STJ e dos serviços que você uti- liza (como Webmail e redes sociais). Conheça a política de segurança Fique atento à política de confidencialidade do STJ e seja cuidadoso ao divulgar informações profissionais, principalmente em blogs e redes sociais. Confidencialidade e Privacidade Não basta que a informação esteja protegida na rede em meio digital, é preciso também pensar na seguran- ça depois que imprimimos ou copiamos os arquivos. Documentos impressos sobre a mesa ou em gavetas sem tranca são possíveis fontes de vazamento de informa- ções sigilosas. Cuidados depois da impressão ou cópia dos arquivos Bloqueie sua máquina em caso de ausência e a desligue ao final do expediente. Bloqueio da máquina
  • 13. 13 Mantenha suas senhas em sigilo absoluto, não revelan- do a outras pessoas nem as anotando. Cuidado com suas senhas Mensagens recebidas da Internet que não são de in- teresse do órgão não devem ser repassadas através do correio eletrônico corporati- vo. A mesma orientação vale para mensagens sobre vírus ou ameaças de segurança que aconselham o repasse das mensagens para outras pessoas. Nesses casos, o usuário deve eliminar a mensagem e jamais repassar internamente na empresa. Cuidado com mensagens oriundas da internet Você deve informar ao responsável quando se deparar com algo que possa comprometer a segurança da informação no Tribunal. Encontrou algo de errado? Comunique ao responsável Você é responsável pelas informações armazenadas nos equipamentos de seu uso exclusivo. Responsabilidade pelas informações A utilização do correio ele- trônico deve ser restrita às atividades de interesse da em- presa e as mensagens trans- mitidas pelo correio eletrônico não devem conter dados e informações confidenciais ou vitais do órgão, a não ser que adequadamente protegidas por senha ou criptografia e em conformidade com as políticas de segurança. Uso do correio eletrônico
  • 14. 14 Normas e publicações relacionadas • Família de Normas ISO/IEC 27000 Fornece diretrizes para práticas de gestão de segurança da informação e nor- mas de segurança da informação para as organizações. • Boas Práticas em Segurança da Informação - TCU - 4ª Edição - 2012 Publicação do Tribunal de Contas da União com o intuito de despertar a atenção para os aspectos da segurança da informação nas instituições governamentais. • Decreto n.º 3.505, de 13.06.2000 Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. • Cartilha de Segurança para Internet - cert.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Contém recomendações e dicas sobre como aumentar a segurança ao navegar na internet. • Portaria STJ n. 898 de 31 de dezembro de 2009 Dispõe sobre a implantação do Programa de Gestão Documental - AGILIS. • Portaria STJ n. 898 de 31 de dezembro de 2009 - Anexo 1 Dispõe sobre as rotinas e procedimentos de criação, captura e digitalização do Programa de Gestão Documental - AGILIS. • Plano de classificação e tabelas de temporalidade dos documentos da Administração Judiciária do Superior Tribunal de Justiça - STJ Define o Plano de Classificação e Tabela de Temporalidade dos Documentos da Administração Judiciária do STJ. • Portaria STJ n. 445 de 13 de novembro de 2012 Dispõe sobre o uso do serviço de correio eletrônico e sobre a administração do respectivo software no Superior Tribunal de justiça. • Resolução STJ n. 8 de 13 de novembro de 2009 Institui o Código de Conduta do Superior Tribunal de Justiça. • Resolução STJ n. 20 de 9 de agosto de 2012 Dispõe sobre a certificação digital no Superior Tribunal de Justiça e dá outras providências. • Portaria STJ n. 25 de 1º de fevereiro de 2008 Institui a política de utilização dos recursos de tecnologia da informação no âmbito do Superior Tribunal de Justiça. NORMASEREFERÊNCIAS
  • 15. EQUIPE COORDENAÇÃO DESIGN Wadson Sampaio Pereira Gustavo de Moura Rocha Vitor Dutra Freire João Augusto Mendes Vale Eliane Maria Cordeiro Tomás Leonardo Ramos Paz Paulo Henrique Rocha de Souza Sérgio Giovane Canavarro Alves Camila Melo de Carvalho Michel Viana Oliveira Silvia Caldas Ferreira Vitor Dutra Freire
  • 16. Um programa de conscientização sobre segurança da informação tem como objetivo principal influenciar servidores e colaborado- res a mudarem seus hábitos, bem como criar a consciência de que todos são corresponsáveis pela Segurança da Informação. Esse processo de conscientização deve ser contínuo, para manter os usuários alertas e para prepará-los para os novos riscos e ameaças que surgem a cada dia. Além dos aspectos gerais de Segurança da Informação, cada área deve ter um treinamento adequado a sua realidade. As políticas podem ser gerais, aplicadas a todos, ou específicas, aplicadas nas situações em que é necessária a existência de políticas e treina- mentos específicos para determinados cargos ou grupos distintos dentro da organização, como, por exemplo, os gestores, o pessoal da tecnologia, os usuários de microcomputadores, o pessoal das áreas não técnicas, os assistentes administrativos, recepcionistas e o pessoal da segurança física. Um órgão que leva a Segurança da Informação a sério mantém os riscos e ameaças sob controle e não coloca em jogo a sua imagem organizacional. Com isso, toda a instituição ganha e mantém seu objetivo maior: prestar um serviço de qualidade para o cidadão brasileiro.