SlideShare uma empresa Scribd logo

Trabalho SASI

Rodrigo Coimbra
Rodrigo Coimbra

Seminário de Segurança e Auditoria de Sistemas de Informação

Tecnologia
1 de 20
Baixar para ler offline
Segurança e Auditoria de Sistemas de Informação Prof. Rêmulo Maia Período: 2015/1 AAlunos Empresa Cristiano Mesquita Garcia (201010706) Eduardo Almeida Soares (201020439) Elder Ferreira (200920461) Rodrigo Tavares Coimbra (201410761)
A Organização A Empresa A HI Transportes tem por razão social o nome de HI Transportes LTDA. Foi fundada em 1982, atuando na área de transportes de carga granel. Hoje, a empresa é considerada de médio porte, contando com um quadro de aproximadamente 272 funcionários, sendo 166 motoristas e 106 funcionários administrativos. A HI possui, ainda, um faturamento anual aproximado de R$ 72 milhões. A Empresa presta serviços na área de transporte de granéis sólidos minerais, químicos e agrícolas. Atua também no transporte de produtos perigosos e matérias­primas para indústrias química, siderúrgicas, de cimento, de papel e celulose, fertilizantes, usinas de açúcar e álcool, entre outras. Atualmente, tem como principais clientes: AngloAmerican, AcelorMittal, Belocal, Heringer, Gerdau, Imerys, InterCement, Lafarge, Petrocoque, Samarco, Suzano, Tortuga, Usiminas e Votorantim. Como principais concorrentes, a HI considera: CESARoma Transportes e Rodolatina Transportes. Cenário A empresa possui sua matriz situada na cidade de Lavras/MG. a HI Transportes atua nas regiões Sudeste e Centro­Oeste, com filiais em Atibaia/SP, Cubatão/SP, Ipatinga/MG, São José da Lapa/MG, Perdões/MG e Barro Alto/GO. A HI tem como política a busca permanente pela eficácia e qualidade na prestação dos serviços de transporte, de forma sustentável, acreditando no comprometimento de seus colaboradores, zelando pela saúde, segurança, patrimônio, meio ambiente, responsabilidade social, respeitando os clientes e a legislação aplicável, em prol de melhorias contínuas de seus processos, através da inovação de seus equipamentos. Missão, Visão e Valores ● Missão “Conduzir seus negócios com responsabilidade, oferecendo transporte rodoviário de carga, priorizando a satisfação do cliente e relações duradouras. Garantindo qualidade, segurança, eficiência e fidelidade no serviço prestado.” 1
● Visão “Ser empresa referência no mercado nacional de transporte de carga.” ● Valores “Ética e transparência na condução de seus negócios. Respeito em relacionamentos internos e externos. Comprometimento com o desenvolvimento sustentável. Honestidade como princípio básico para gerir o patrimônio humano e físico.” Organograma O organograma completo da HI Transportes é mostrado na Figura 1. Já o organograma específico da área de TI, contendo o Coordenador de TI, Analista de TI e Sistemas, Estagiário e Consultor é mostrado na Figura 2. Figura 1: Organograma completo da HI Transportes Ltda. 2
Figura 2: Organograma área de TI Funções e Responsabilidades do gestor de Segurança da Informação A responsabilidade sobre a Segurança da Informação é distribuída entre os integrantes da Tecnologia da Informação, especialmente entre o Analista de TI e Sistemas e o Consultor. As atribuições do Analista de TI, que foi o entrevistado, são, entre outras: ● Monitoramento de Servidores; ● Monitoramento de Controladores de Rede; ● Análise de Desempenho de Servidores e Rede; ● Gerência instalação e manutenção de softwares nos servidores; ● Coordenação da equipe de suporte ao ERP e ao TMS (Track Management System). Tecnologia de Informação A TI na HI O Departamento de Tecnologia da Informação, conta com 3 (três) funcionários próprios: um Coordenador de TI & Sistemas, um Analista de TI & Sistemas e um Estagiário. Há também um consultor para tratar da parte de infra­estrutura (Servidores/Rede). 3
A HI Transportes possui 40 computadores na matriz, sendo 3 servidores, 3 patch panels e 1 switch Dell. A empresa também possui um software de gestão chamado Visual Rodopar, bem como um sistema de folha de pagamento, como será apresentado na próxima Seção. Sistemas de Informação A HI Transportes conta com 2 (dois) Sistemas de Informação para auxílio na gestão das atividades operações e estratégicas. São eles: Visual Rodopar Visual Rodopar é um sistema de gestão avançado que permite o gerenciamento de transporte de cargas e logística para empresas de qualquer tamanho. O sistema foi adquirido juntamente com os módulos de controle ERP (Enterprise Resource Planning), WMS (Warehouse Management System, para gerência de armazéns e carga), TMS (Track Management System, para rastreio de caminhões e cargas) e BI (Business Intelligence). Este sistema é utilizado em todos os setores da empresa, auxiliando desde a entrega da carga até mesmo no cálculo de combustível. A exceção da utilização do sistema é apenas por parte folha de pagamento dos funcionários. ADP Folha ADP Folha é um sistema Web de controle de ponto e gestão da folha de pagamento dos funcionários, onde é gerenciado o histórico de pagamentos, cálculo de acordos sindicais, recálculo de salário por grupo de funcionários, geração de guias de recolhimento, entre outras atividades. Além destes sistemas, a HI Transportes conta também com um sistema de rastreamento tempo­real via satélite da frota da empresa: o OnixSat. Com este sistema, também é possível fazer bloqueios, emitir alertas e trocar mensagens com o motorista. A HI conta com outros sistemas auxiliares, como o AMANDA, utilizado para Backup; Google for Work, utilizado para emails, criação e compartilhamento de documentos; Google Vault, para auditoria de emails e conversas utilizando Google Hangout; e o próprio Google Hangout, para chamadas e vídeo conferências. 4
Diagnóstico da Gestão de Seg. da Informação Foi utilizada a ISO 27002 como guia, foram avaliados os seguintes pontos, com seu respectivo número de seção na norma e com sua capacidade avaliada de acordo com o framework COBIT 5: 5 ­ Política de Segurança da Informação Este item diz respeito à criação de um documento de política de segurança da informação aprovado pela direção e comunicado aos funcionários. Na empresa não existe um documento como este. Logo, este processo se encontra incompleto. 6 ­ Organizando a Segurança da Informação Este item refere­se ao comprometimento da direção, à atribuição de responsabilidades sobre a SI, acordos de confidencialidade, e contato com autoridades e grupos especiais (especialistas), além da identificação de riscos relacionados às partes externas. Neste quesito, as atribuições são definidas e estão sobre o Analista de TI e Sistemas e o consultor externo. Há um início de comprometimento da direção com a SI. Não há acordos de confidencialidade, e os contatos com autoridades e grupos especiais ficam por conta do consultor em segurança. Neste caso, o processo é considerado realizado, pois existe e é executado, no entanto tem muito o que melhorar. 7 ­ Gestão de Ativos Diz respeito à responsabilidade por ativos e classificação da informação. Quanto à responsabilidade sobre os ativos, ela está sobre o Analista de TI e Sistemas, que gerencia os ativos, embora não haja nada formalizado, portanto, realizado. No entanto, quanto à classificação da informação, não existe nada especificado, sendo classificado como incompleto. Pesando ambos para uma única saída, temos que a gestão de ativos é considerada incompleta. 8 ­ Segurança em Recursos Humanos No que se refere à segurança em recursos humanos, a função deste controle é documentar papéis e responsabilidades antes, durante e após a contratação de pessoal, a fim de reduzir o risco de roubo, fraude ou mau uso de recursos. Neste ponto, também não há 5
nada documentado em sua maioria. Segundo o Analista de TI e Sistemas, os funcionários são orientados a não deixar o recinto com informações importantes à mostra, computador desbloqueado, entre outros pontos. Além desta, não há nenhum outro tipo de conscientização. As permissões de acesso aos sistemas são revogadas com a saída do funcionário da empresa. Este processo foi classificado como incompleto. 9 ­ Segurança Física e do Ambiente Neste ponto, que também inclui a segurança de equipamentos, ainda há muito o que se fazer. A construção da empresa é muito aberta, embora conte com portão eletrônico, câmeras de vigilância e vigias noturnos. Há terrenos baldios nas redondezas, e a construção não tem muros na frente. A estrutura se assemelha mais a de um escritório. Quanto aos equipamentos, não há nenhum dispositivo, como cadeados, para impedir roubo. Há um cofre, onde fica armazenado o backup extra. O descarte de equipamentos como disco rígido é realizado somente após a formatação completa. Este processo é considerado realizado. 10 ­ Gerenciamento das Operações e Comunicações No que diz respeito ao gerenciamento das operações e comunicações, não há documentação que regulamente as operações dentro do contexto da organização, como por exemplo os critérios de aceitação para novos sistemas e atualizações. Na proteção da integridade dos softwares e da informação, existe a proteção com o auxílio de antivírus e um firewall, além do monitoramento por parte do Analista e do Consultor externo. São realizados 5 backups durante o dia. Um dos backups é armazenado em um cofre físico. A segurança de serviços de redes é monitorada pelo Analista de TI e Sistemas, mas o Consultor também auxilia na verificação. As mensagens eletrônicas e conversas do Google Hangout são armazenadas e podem ser auditadas com a ajuda da ferramenta Google Vault. Este processo foi avaliado como realizado, porém não existe nada formalizado. 11 ­ Controle de Acesso Os privilégios são gerenciados também pelo Analista de TI e Sistemas, porém há pouca conscientização sobre a utilização de senhas fortes e a análise crítica dos direitos de acesso de usuário. 6
Há política de mesa limpa devido a treinamentos, como em 5S. Os usuários possuem ID único de uso intransferível e os Sistemas Operacionais são programados para fazer logoff por inatividade. Este processo foi avaliado como incompleto. 12 ­ Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Os sistemas que foram adquiridos já são utilizados em/por outras empresas, o que trouxe a suposição que o sistema funciona corretamente. Como não existe desenvolvimento e manutenção de Sistemas de Informação na empresa, este processo foi avaliado como incompleto. 13 ­ Gestão de Incidentes de Segurança da Informação Eventos de segurança são monitorados através do monitoramento de rotina realizado pelo Analista de TI e Sistemas, porém não há uma documentação para o aprendizado nem documentação de evidências. Este processo foi avaliado como realizado. 14 ­ Gestão da Continuidade do Negócio Não há uma gestão de continuidade de negócio. Mesmo para o backup que é guardado num cofre, não há uma cópia redundante em outra localização para o caso de uma catástrofe. Este processo foi avaliado como incompleto. A tabela abaixo resume a situação dos níveis de capacidade da Segurança da Informação na Empresa, de acordo com o COBIT 5. Cód Processo Nível de Capacidade Incompleto Realizado Gerenciado Estabelecido Previsível Em Otimização 5 Política de Segurança da Informação X 6 Organizando a Segurança da Informação X 7 Gestão de Ativos X 7
8 Segurança em Recursos Humanos X 11 Segurança Física e do Ambiente X 10 Gerenciamento das Operações e Comunicações X 11 Controle de Acesso X 12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação X 13 Gestão de Incidentes de Segurança da Informação X 14 Gestão da Continuidade do Negócio X Como é planejado o investimento em SI da empresa O investimento em segurança da informação na empresa HI Transportes ocorre por demanda, ou seja o capital investido é de acordo com as necessidades do negócio da empresa. Como as decisões são tomadas Segundo o Analista de Sistemas, as decisões da empresa relacionadas a segurança da informação são tomadas conforme os problemas ocorrem, não possuindo então um padrão para tal devido a falta de planejamento em SI. Como se garante segurança, quais as formas de controle, como se administra, como se investe, como se controla o patrimônio e as atividades utilizando a TI? A HI transporte utiliza vários recursos tecnológicos como uma forma de controle de segurança da informação. Será detalhado abaixo, os mecanismos que ela utiliza conforme 8
descrito pelo analista de sistemas da organização: Para previnir ataques de intrusos a suas preciosas informações a empresa utiliza um Firewall UTM da empresa BluePex, que é uma evolução do firewall tradicional, unindo a execução de várias funções de segurança em um único dispositivo. Esta unificação das funções permite o gerenciamento da segurança em um único painel, facilitando a prevenção, detecção e ação contra ameaças de variadas fontes. O UTM também garante que as soluções de segurança encontradas nele sejam compatíveis e complementares, diminuindo brechas ou falhas de segurança. Há também na empresa um sistema de backup denominado AMANDA. Sistema no qual possuí livre distribuição e necessita de um servidor de sistema Linux para instalação. Através dessa ferramenta todas as informações da organização são gravadas diariamente em fitas LTO (Linear Tape­Open), que é um padrão que foi desenvolvido pela Hewlett­Packard, IBM e Certance com objetivo de atender a servidores de médio porte. Para a segurança e controle de sua frota de veículos, a HI transportes utiliza o sistema de rastreamento via satélite OnixSat, que possibilita monitorar o status de sua frota em tempo real, permitindo verificar a localização de veículos no mapa, bem como os principais pontos de referência: postos policiais, postos de combustível e assistências técnicas autorizadas. Outra vantagem é a possibilidade de se obter relatórios para análise de mensagens, posições, comandos e alertas recebidos e enviados para o motorista, Além de possibilitar a comunicação entre operador e motorista através de macros no computador de bordo. Na matriz da empresa, há um backup de todas as máquinas disponíveis, através de um perfil denominado "nômade", possibilitando que usuário veja em seu desktop apenas um espelho de toda informação que está contida no servidor, sendo que o backup Amanda faz a segurança de toda informação uma vez ao dia. Todos os e­mails da organização são auditorados por uma ferramenta denominada VAULT que é fornecida pela Google. O Google Apps Vault é um complemento do Google Apps que permite reter, arquivar, pesquisar e exportar as mensagens de e­mail e bate­papo de toda organização de acordo com as necessidades de compliance e descoberta eletrônica. também permitindo que o usário pesquise e exporte os arquivos da organização no Google Drive. O Google Apps Vault é inteiramente baseado na Web, portanto não há necessidade de fazer nenhuma instalação ou manutenção de software. Há também na empresa um antívirus, Symantec, que é responsável pelo controle de dispositivos móveis, de arquivo nos computadores da organização, evitando ameaças. O antivírus Symantec possuí excelente desempenho e gerenciamento inteligente para ambientes físicos e virtuais. Utilizando a maior rede de informações globais do mundo inteiro, 9
a Symantec identificando proativamente arquivos em risco e interrompendo ameaças de dia zero sem prejudicar o desempenho dos computadores da organização. Qualquer computador que queira se conectar ao domínio da organização é forçado a instalar o antivírus Symantec por questões de segurança. Logo, os visitantes necessitam de uma rede paralela para se conectarem a Web quando dentro da organização, o que protege a rede principal. O backup completo do banco de dados da HI transportes ocorre à 00:00h, paralelamente ocorrem 4 backups diferenciais a cada 6 horas, para a segurança completa da informação. Por medida de segurança, os logs de modificação do sistemas são gravados a cada hora no banco de dados. Todos os backups realizados, são armazenados em um servidor paralelo, no qual a cada início de “turno” do departamento de tecnologia da informação, são transferidos para um disco rígido externo onde é depositado em um cofre da empresa. Elaboração do PESI (Plano Estratégico de Segurança da Informação) Plano Estratégico de Segurança da Informação Código de Registro: PESI ­ 001 data : 26/05/2015 Localidade : Lavras ­ Minas Gerais Assunto : Plano estratégico de Segurança da Informação ­ HI transportes Elaborado por : Grupo 04 1 Disposições Iniciais 1.1 Finalidade Este documento tem por finalidade apresentar o planejamento estratégico de Segurança da Informação para empresa HI Transportes. 1.2 Metodologia 10
O processo de preparação do plano estratégico de Segurança da Informação, englobou as seguintes etapas: 1. Reunião para entendimento do projeto e definição de escopo 2. Planejamento de entrevistas com a alta direção 3. Extração dos requisitos com a alta direção 4. Definição do modelo de Gestão de SI. 5. Mapeamento das áreas de Negócio 6. Diagnóstico de governança de SI e gestão de SI 7. Realização da analise e avaliação de riscos. 2 Diagnósticos da Segurança da Informação Nesta etapa tem­se que identiticar cada área da organização e posteriormente identificar os responsáveis por cada área e sua relevância para os seus objetivos estratégicos. 2.1 Mapeamento da Organização Nome do processo Área Responsável Relevância Vendas Comercial Dir. Com&Oper Muito alta Faturamento Financeira Dir. Admi.Financ Muito alta Logística Transporte Dir. Com&Ope Altíssima Marketing Comercial Ger. Admi.Financ Média Licitações Jurídica Dir. Jurídico Muito Alta 2.2 Análise sobre a Governança de SI Análise da escala de relevância do processo da área da organização Mapeamento Área/Processo Classificação do Impacto Classificação da Prioridade Relevância Criticidade Processo Rel. Processo C I D G U T Comercial Vendas MA MA MA A AT AT A MA A Financeira Faturamento MA MA MA MA AT AT A MA A Transporte Logística MA MA MA MA AT AT A AT AT 11
Comunicação Marketing M M M M B M A M M Jurídicas Contrato A MA MA MA MA AT A MA A Para facilitar a disposição dos dados da tabela acima, foi construído um esquema de siglas para a legenda: Siglas: C Confidencialidade AT Altíssimo I Integridade MA Muito Alto D Disponibilidade A Alto G Gravidade M Médio U Urgência B Baixo T Tendência MB Muito baixo Consolidação dos resultados do estudo de impacto e prioridade 3 Posicionamento estratégico de SI 3.1 Missão e Visão Missão: Prover segurança eficiente às informações da organização, propondo soluções de tecnologia da informação para garantia de tal, assegurando o alinhamento do negócio com os objetivos de Segurança da Informação e garantindo continuidade do negócio. Visão: Ser empresa atualizada quanto as questões de Segurança da Informação, alinhando as questões de Segurança da Informação com os objetivos de negócio. 3.2 Objetivos de Segurança da Informação 1 Objetivo: Proteção das áreas críticas da organização contras possíveis ataques e ameaças, implantando controles de Segurança da Informação, para que se possa garantir a integridade 12
destas. 2 Objetivo: Não permitir a interrupção das atividades dos processos organizacionais, garantindo a continuidade do negócio, protegendo os processos críticos contra falhas, ameaças ou desastres, garantindo a retomada das ações em tempo considerável. 3 Objetivo: Implantação de Governança de Segurança da Informação, que estabeleça diretrizes gerais de Segurança da Informação. 4 Objetivo: Educação, treinamento e conscientização dos recursos humanos quantos as questões relacionadas com a Segurança da Informação. 3.3 Matriz dos objetivos estratégicos X objetivos de SI 13
4. Implantação do Plano Estratégico de Segurança da Informação 4.1 Plano de Ação 14
15
4.2 Período de Planejamento 4.3 Fatores Críticos de Sucesso ­ Apoio político e financeiro da empresa, para que se possam ser desenvolvidas as etapas de ações de Segurança da Informação ­ Divulgação da Segurança da Informação no âmbito empresarial de modo claro e eficiente ­ Entendimento da Segurança da Informação como parte do planejamento estratégico da empresa ­ Treinamento adequado para certificação de Segurança da Informação ­ Aquisição da infraestrutura necessária para implementação do plano de ação. ­ Estrutura de gerenciamento de Segurança da Informação. 5 Aprovação Aprovado por :______________________________________________ Presidente do comitê de SI 16
Conclusão A HI Transportes Ltda. é uma empresa que atua no ramo de transporte de granéis. Apesar de ser uma empresa em franco crescimento, com muitos funcionários e diversas filiais, deixa a desejar quanto às questões relacionadas à Segurança da Informação. Como previsto, a segurança da informação é tratada pela empresa mais como um gasto do que como investimento. O objetivo deste trabalho foi propor uma série de ações de melhoria da Segurança da Informação na organização, utilizando como base as normas internacionais ISO/IEC 27002, avaliando os processos de segurança da informação com auxílio do COBIT 5. Este trabalho foi de grande valia para os integrantes do grupo 4, que puderam estar em contato direto com segurança da informação em uma empresa do mundo real, analisando e sugerindo melhorias de acordo com o conhecimento obtido no decorrer do semestre. Esta experiência prática proporcionou uma visão mais ampla e profunda sobre as questões de Segurança da Informação, que até então passam despercebidas. O plano de ação resultante do trabalho será entregue aos profissionais responsáveis pela tecnologia da informação na empresa objeto de estudo. 17
Apêndice  Perguntas levantadas para HI Transportes   1. Qual o ramo de negócio da HI Transportes?  2. Existem filiais? Se sim, onde?   3. Desde quando a empresa existe?   4. Quantos funcionários?   5. Quem são os principais clientes?   6. Quem são os principais concorrentes?   7. Quais são os principais produtos transportados?   8. Qual o faturamento anual da empresa?   9. Existem missão, visão e valores da empresa? Se sim, quais são?   10. Como os funcionários estão organizados na empresa?   11. Como é organizada a TI?  12. Quais são os sistemas de informação utilizados pela empresa?  13. Vocês possuem ferramentas ou equipamentos auxiliares? Se sim, quais?  14. Quais/quantos equipamentos vocês possuem?  15. Quem são os responsáveis pela Seg. da Informação?  16. Existem treinamentos em Seg. da Inf.  dos funcionários?  17. Como a empresa protege suas informações?  18. Como a empresa enxerga as questoes de Seg. da Informação? Como e quanto é  investido?  19. Existem políticas de segurança da informação? De quanto em quanto tempo estas  políticas são revisadas?  20. A direção é comprometida com a segurança da informação na empresa?  21. As atribuições de responsabilidades sobre a segurança da informação são  formalmente definidas?  22. Como é tratada a proteção da informação?  23. Os profissionais responsáveis pela Seg. da Informação se mantém atualizados?  24. Existe acessos externo aos dados da empresa? VPN  25. Os equipamentos são identificados e gerenciados? Quem é responsável pela  gerência dos ativos? Existe uma documentação que regula o uso de informações e  ativos?  26. Os equipamentos são classificados por ordem de importância?  27. Os funcionários recém contratados recebem instruções sobre proteção da  informação? Eles são informados sobre suas responsabilidades e sobre o que  uma quebra de sigilo pode acarretar? Eles assinam um termo de sigilo sobre as  informações?  28. Quando os funcionários são demitidos, suas permissões são revogadas?  29. A rede interna possui algum tipo de proteção?  30. Existe uma manutenção preventiva dos equipamentos?  31. Existe alguma política de descarte de equipamentos?  32. Existem políticas que objetivam minimizar as falhas nos sistemas?  33. Existe alguma política de aceitação e validação de sistemas? 
34. Existem políticas para proteger a integridade de software e das informações?  35. Vocês realizam atividades de backup? Como são feitos? Qual a frequência? Onde  voces armazenam o backup?  36. Existe política de utilização de mídias pessoas nos computadores da empresa?  37. Existe algum mecanismo que monitora o envio de email e troca de mensanges?  38. Existem registros de auditoria?  39. Os relógios são sincronizados?  40. As permissões dos usuários são analisadas criticamente de tempos em tempos?  41. Existe uma orientação sobre utilização de senhas seguras?  42. Existem equipamentos sem monitoramento?  43. Existe política de mesa limpa e tela limpa?  44. Os usuários possuem ID único?  45. Existe política de análise e especificação de requisitos de segurança para  aquisição de novos sistemas?  46. Os SO são atualizados periodicamente?  47. Eventos de segurança da informapção são notificados à direção?  48. Existe uma gestão de conhecimentos para as lições aprendidas com as incidentes  de segurança da informação?  49. Existem mecanismos que garantam a continuidade do negócio?  50. Existe um plano de continuidade de negócio? Ele é revisado periodicamente?  51. Quantos e quais são os departamentos da empresa?   52. Qual seria a gravidade de uma falha de segurança em cada departamento?  53. Qual a urgência na correção de uma falha de segurança em cada departamento?  54. O quão grave é uma falha de confidencialidade em cada departamento?  55. O quão grave é uma falha de integridade em cada departamento?  56. O quão grave é uma falha de disponibilidade em cada departamento?   

Recomendados

ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoSidney Modenesi, MBCI
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Governança TI halan
Governança TI halanGovernança TI halan
Governança TI halanHalan Ridolphi
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioSidney Modenesi, MBCI
 

Recomendados

ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoSidney Modenesi, MBCI
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Governança TI halan
Governança TI halanGovernança TI halan
Governança TI halanHalan Ridolphi
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioSidney Modenesi, MBCI
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2Catia Marques
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TICompanyWeb
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosCIMCORP
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013Adriano Martins Antonio
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoRui Gomes
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasLuiz Sales Rabelo
 
Palestra Forense Digital
Palestra Forense DigitalPalestra Forense Digital
Palestra Forense DigitalNadaObvio!
 
Excel as a potent forensic accounting tool
Excel as a potent forensic accounting toolExcel as a potent forensic accounting tool
Excel as a potent forensic accounting toolDhruv Seth
 
Trabalho De SASI
Trabalho De SASITrabalho De SASI
Trabalho De SASICristiano Garcia
 
POC2 - Bernardo M. R.
POC2 - Bernardo M. R.POC2 - Bernardo M. R.
POC2 - Bernardo M. R.asoso2010
 
Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 

Mais conteúdo relacionado

Mais procurados

Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TICompanyWeb
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosCIMCORP
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoRui Gomes
 

Mais procurados (16)

Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Sox
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TI
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 

Destaque

Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasLuiz Sales Rabelo
 
Palestra Forense Digital
Palestra Forense DigitalPalestra Forense Digital
Palestra Forense DigitalNadaObvio!
 
Excel as a potent forensic accounting tool
Excel as a potent forensic accounting toolExcel as a potent forensic accounting tool
Excel as a potent forensic accounting toolDhruv Seth
 
POC2 - Bernardo M. R.
POC2 - Bernardo M. R.POC2 - Bernardo M. R.
POC2 - Bernardo M. R.asoso2010
 
Arch Linux – Simplesmente Linux
Arch Linux – Simplesmente LinuxArch Linux – Simplesmente Linux
Arch Linux – Simplesmente LinuxLuiz Thiago
 
Data mining and Forensic Audit
Data mining and Forensic AuditData mining and Forensic Audit
Data mining and Forensic AuditDhruv Seth
 
FRAUD, MONEY LAUNDERING AND FORENSIC AUDIT
FRAUD, MONEY LAUNDERING AND FORENSIC AUDITFRAUD, MONEY LAUNDERING AND FORENSIC AUDIT
FRAUD, MONEY LAUNDERING AND FORENSIC AUDITEMAC Consulting Group
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 

Destaque (15)

Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
 
Palestra Forense Digital
Palestra Forense DigitalPalestra Forense Digital
Palestra Forense Digital
 
Excel as a potent forensic accounting tool
Excel as a potent forensic accounting toolExcel as a potent forensic accounting tool
Excel as a potent forensic accounting tool
 
Trabalho De SASI
Trabalho De SASITrabalho De SASI
Trabalho De SASI
 
POC2 - Bernardo M. R.
POC2 - Bernardo M. R.POC2 - Bernardo M. R.
POC2 - Bernardo M. R.
 
Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011
 
Arch Linux – Simplesmente Linux
Arch Linux – Simplesmente LinuxArch Linux – Simplesmente Linux
Arch Linux – Simplesmente Linux
 
Forensic audit
Forensic auditForensic audit
Forensic audit
 
Investigation and forensic audit in a computerized work environment
Investigation and forensic audit in a computerized work environmentInvestigation and forensic audit in a computerized work environment
Investigation and forensic audit in a computerized work environment
 
Data mining and Forensic Audit
Data mining and Forensic AuditData mining and Forensic Audit
Data mining and Forensic Audit
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
FRAUD, MONEY LAUNDERING AND FORENSIC AUDIT
FRAUD, MONEY LAUNDERING AND FORENSIC AUDITFRAUD, MONEY LAUNDERING AND FORENSIC AUDIT
FRAUD, MONEY LAUNDERING AND FORENSIC AUDIT
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Case study on forensic audit
Case study on forensic auditCase study on forensic audit
Case study on forensic audit
 

Semelhante a Trabalho SASI

Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Cap.09 (eti) análise de projetos em tecnologia e sgsi
Cap.09 (eti) análise de projetos em tecnologia e sgsiCap.09 (eti) análise de projetos em tecnologia e sgsi
Cap.09 (eti) análise de projetos em tecnologia e sgsiPaulo Henrique C. Andrade
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
Leandro Jesus_Processos como um elo entre a TI e a estratégia Recurso
Leandro Jesus_Processos como um elo entre a TI e a estratégia RecursoLeandro Jesus_Processos como um elo entre a TI e a estratégia Recurso
Leandro Jesus_Processos como um elo entre a TI e a estratégia RecursoEloGroup
 
Road Show 2013 - Leandro Jesus_Processos como um elo entre a TI e a estratégi...
Road Show 2013 - Leandro Jesus_Processos como um elo entre a TI e a estratégi...Road Show 2013 - Leandro Jesus_Processos como um elo entre a TI e a estratégi...
Road Show 2013 - Leandro Jesus_Processos como um elo entre a TI e a estratégi...EloGroup
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoDaiana de Ávila
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geralTiago Andrade
 
Governança de TI.pptx
Governança de TI.pptxGovernança de TI.pptx
Governança de TI.pptxssusera0a510
 
Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL diegofarias2014
 
1. infosistema corporativo 2012
1. infosistema corporativo 20121. infosistema corporativo 2012
1. infosistema corporativo 2012Jorge Pereira
 

Semelhante a Trabalho SASI (20)

Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Relatorio_TIC_2012
Relatorio_TIC_2012Relatorio_TIC_2012
Relatorio_TIC_2012
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Cap.09 (eti) análise de projetos em tecnologia e sgsi
Cap.09 (eti) análise de projetos em tecnologia e sgsiCap.09 (eti) análise de projetos em tecnologia e sgsi
Cap.09 (eti) análise de projetos em tecnologia e sgsi
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 
Leandro Jesus_Processos como um elo entre a TI e a estratégia Recurso
Leandro Jesus_Processos como um elo entre a TI e a estratégia RecursoLeandro Jesus_Processos como um elo entre a TI e a estratégia Recurso
Leandro Jesus_Processos como um elo entre a TI e a estratégia Recurso
 
Road Show 2013 - Leandro Jesus_Processos como um elo entre a TI e a estratégi...
Road Show 2013 - Leandro Jesus_Processos como um elo entre a TI e a estratégi...Road Show 2013 - Leandro Jesus_Processos como um elo entre a TI e a estratégi...
Road Show 2013 - Leandro Jesus_Processos como um elo entre a TI e a estratégi...
 
Portfolio em grupo ads - 6. semestre enviar
Portfolio em grupo ads - 6. semestre enviarPortfolio em grupo ads - 6. semestre enviar
Portfolio em grupo ads - 6. semestre enviar
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geral
 
Governança de TI.pptx
Governança de TI.pptxGovernança de TI.pptx
Governança de TI.pptx
 
Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL
 
1. infosistema corporativo 2012
1. infosistema corporativo 20121. infosistema corporativo 2012
1. infosistema corporativo 2012
 
5S_folder 2016 v1
5S_folder 2016 v15S_folder 2016 v1
5S_folder 2016 v1
 

Trabalho SASI

  • 1. Segurança e Auditoria de Sistemas de Informação Prof. Rêmulo Maia Período: 2015/1 AAlunos Empresa Cristiano Mesquita Garcia (201010706) Eduardo Almeida Soares (201020439) Elder Ferreira (200920461) Rodrigo Tavares Coimbra (201410761)
  • 2. A Organização A Empresa A HI Transportes tem por razão social o nome de HI Transportes LTDA. Foi fundada em 1982, atuando na área de transportes de carga granel. Hoje, a empresa é considerada de médio porte, contando com um quadro de aproximadamente 272 funcionários, sendo 166 motoristas e 106 funcionários administrativos. A HI possui, ainda, um faturamento anual aproximado de R$ 72 milhões. A Empresa presta serviços na área de transporte de granéis sólidos minerais, químicos e agrícolas. Atua também no transporte de produtos perigosos e matérias­primas para indústrias química, siderúrgicas, de cimento, de papel e celulose, fertilizantes, usinas de açúcar e álcool, entre outras. Atualmente, tem como principais clientes: AngloAmerican, AcelorMittal, Belocal, Heringer, Gerdau, Imerys, InterCement, Lafarge, Petrocoque, Samarco, Suzano, Tortuga, Usiminas e Votorantim. Como principais concorrentes, a HI considera: CESARoma Transportes e Rodolatina Transportes. Cenário A empresa possui sua matriz situada na cidade de Lavras/MG. a HI Transportes atua nas regiões Sudeste e Centro­Oeste, com filiais em Atibaia/SP, Cubatão/SP, Ipatinga/MG, São José da Lapa/MG, Perdões/MG e Barro Alto/GO. A HI tem como política a busca permanente pela eficácia e qualidade na prestação dos serviços de transporte, de forma sustentável, acreditando no comprometimento de seus colaboradores, zelando pela saúde, segurança, patrimônio, meio ambiente, responsabilidade social, respeitando os clientes e a legislação aplicável, em prol de melhorias contínuas de seus processos, através da inovação de seus equipamentos. Missão, Visão e Valores ● Missão “Conduzir seus negócios com responsabilidade, oferecendo transporte rodoviário de carga, priorizando a satisfação do cliente e relações duradouras. Garantindo qualidade, segurança, eficiência e fidelidade no serviço prestado.” 1
  • 3. ● Visão “Ser empresa referência no mercado nacional de transporte de carga.” ● Valores “Ética e transparência na condução de seus negócios. Respeito em relacionamentos internos e externos. Comprometimento com o desenvolvimento sustentável. Honestidade como princípio básico para gerir o patrimônio humano e físico.” Organograma O organograma completo da HI Transportes é mostrado na Figura 1. Já o organograma específico da área de TI, contendo o Coordenador de TI, Analista de TI e Sistemas, Estagiário e Consultor é mostrado na Figura 2. Figura 1: Organograma completo da HI Transportes Ltda. 2
  • 4. Figura 2: Organograma área de TI Funções e Responsabilidades do gestor de Segurança da Informação A responsabilidade sobre a Segurança da Informação é distribuída entre os integrantes da Tecnologia da Informação, especialmente entre o Analista de TI e Sistemas e o Consultor. As atribuições do Analista de TI, que foi o entrevistado, são, entre outras: ● Monitoramento de Servidores; ● Monitoramento de Controladores de Rede; ● Análise de Desempenho de Servidores e Rede; ● Gerência instalação e manutenção de softwares nos servidores; ● Coordenação da equipe de suporte ao ERP e ao TMS (Track Management System). Tecnologia de Informação A TI na HI O Departamento de Tecnologia da Informação, conta com 3 (três) funcionários próprios: um Coordenador de TI & Sistemas, um Analista de TI & Sistemas e um Estagiário. Há também um consultor para tratar da parte de infra­estrutura (Servidores/Rede). 3
  • 5. A HI Transportes possui 40 computadores na matriz, sendo 3 servidores, 3 patch panels e 1 switch Dell. A empresa também possui um software de gestão chamado Visual Rodopar, bem como um sistema de folha de pagamento, como será apresentado na próxima Seção. Sistemas de Informação A HI Transportes conta com 2 (dois) Sistemas de Informação para auxílio na gestão das atividades operações e estratégicas. São eles: Visual Rodopar Visual Rodopar é um sistema de gestão avançado que permite o gerenciamento de transporte de cargas e logística para empresas de qualquer tamanho. O sistema foi adquirido juntamente com os módulos de controle ERP (Enterprise Resource Planning), WMS (Warehouse Management System, para gerência de armazéns e carga), TMS (Track Management System, para rastreio de caminhões e cargas) e BI (Business Intelligence). Este sistema é utilizado em todos os setores da empresa, auxiliando desde a entrega da carga até mesmo no cálculo de combustível. A exceção da utilização do sistema é apenas por parte folha de pagamento dos funcionários. ADP Folha ADP Folha é um sistema Web de controle de ponto e gestão da folha de pagamento dos funcionários, onde é gerenciado o histórico de pagamentos, cálculo de acordos sindicais, recálculo de salário por grupo de funcionários, geração de guias de recolhimento, entre outras atividades. Além destes sistemas, a HI Transportes conta também com um sistema de rastreamento tempo­real via satélite da frota da empresa: o OnixSat. Com este sistema, também é possível fazer bloqueios, emitir alertas e trocar mensagens com o motorista. A HI conta com outros sistemas auxiliares, como o AMANDA, utilizado para Backup; Google for Work, utilizado para emails, criação e compartilhamento de documentos; Google Vault, para auditoria de emails e conversas utilizando Google Hangout; e o próprio Google Hangout, para chamadas e vídeo conferências. 4
  • 6. Diagnóstico da Gestão de Seg. da Informação Foi utilizada a ISO 27002 como guia, foram avaliados os seguintes pontos, com seu respectivo número de seção na norma e com sua capacidade avaliada de acordo com o framework COBIT 5: 5 ­ Política de Segurança da Informação Este item diz respeito à criação de um documento de política de segurança da informação aprovado pela direção e comunicado aos funcionários. Na empresa não existe um documento como este. Logo, este processo se encontra incompleto. 6 ­ Organizando a Segurança da Informação Este item refere­se ao comprometimento da direção, à atribuição de responsabilidades sobre a SI, acordos de confidencialidade, e contato com autoridades e grupos especiais (especialistas), além da identificação de riscos relacionados às partes externas. Neste quesito, as atribuições são definidas e estão sobre o Analista de TI e Sistemas e o consultor externo. Há um início de comprometimento da direção com a SI. Não há acordos de confidencialidade, e os contatos com autoridades e grupos especiais ficam por conta do consultor em segurança. Neste caso, o processo é considerado realizado, pois existe e é executado, no entanto tem muito o que melhorar. 7 ­ Gestão de Ativos Diz respeito à responsabilidade por ativos e classificação da informação. Quanto à responsabilidade sobre os ativos, ela está sobre o Analista de TI e Sistemas, que gerencia os ativos, embora não haja nada formalizado, portanto, realizado. No entanto, quanto à classificação da informação, não existe nada especificado, sendo classificado como incompleto. Pesando ambos para uma única saída, temos que a gestão de ativos é considerada incompleta. 8 ­ Segurança em Recursos Humanos No que se refere à segurança em recursos humanos, a função deste controle é documentar papéis e responsabilidades antes, durante e após a contratação de pessoal, a fim de reduzir o risco de roubo, fraude ou mau uso de recursos. Neste ponto, também não há 5
  • 7. nada documentado em sua maioria. Segundo o Analista de TI e Sistemas, os funcionários são orientados a não deixar o recinto com informações importantes à mostra, computador desbloqueado, entre outros pontos. Além desta, não há nenhum outro tipo de conscientização. As permissões de acesso aos sistemas são revogadas com a saída do funcionário da empresa. Este processo foi classificado como incompleto. 9 ­ Segurança Física e do Ambiente Neste ponto, que também inclui a segurança de equipamentos, ainda há muito o que se fazer. A construção da empresa é muito aberta, embora conte com portão eletrônico, câmeras de vigilância e vigias noturnos. Há terrenos baldios nas redondezas, e a construção não tem muros na frente. A estrutura se assemelha mais a de um escritório. Quanto aos equipamentos, não há nenhum dispositivo, como cadeados, para impedir roubo. Há um cofre, onde fica armazenado o backup extra. O descarte de equipamentos como disco rígido é realizado somente após a formatação completa. Este processo é considerado realizado. 10 ­ Gerenciamento das Operações e Comunicações No que diz respeito ao gerenciamento das operações e comunicações, não há documentação que regulamente as operações dentro do contexto da organização, como por exemplo os critérios de aceitação para novos sistemas e atualizações. Na proteção da integridade dos softwares e da informação, existe a proteção com o auxílio de antivírus e um firewall, além do monitoramento por parte do Analista e do Consultor externo. São realizados 5 backups durante o dia. Um dos backups é armazenado em um cofre físico. A segurança de serviços de redes é monitorada pelo Analista de TI e Sistemas, mas o Consultor também auxilia na verificação. As mensagens eletrônicas e conversas do Google Hangout são armazenadas e podem ser auditadas com a ajuda da ferramenta Google Vault. Este processo foi avaliado como realizado, porém não existe nada formalizado. 11 ­ Controle de Acesso Os privilégios são gerenciados também pelo Analista de TI e Sistemas, porém há pouca conscientização sobre a utilização de senhas fortes e a análise crítica dos direitos de acesso de usuário. 6
  • 8. Há política de mesa limpa devido a treinamentos, como em 5S. Os usuários possuem ID único de uso intransferível e os Sistemas Operacionais são programados para fazer logoff por inatividade. Este processo foi avaliado como incompleto. 12 ­ Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Os sistemas que foram adquiridos já são utilizados em/por outras empresas, o que trouxe a suposição que o sistema funciona corretamente. Como não existe desenvolvimento e manutenção de Sistemas de Informação na empresa, este processo foi avaliado como incompleto. 13 ­ Gestão de Incidentes de Segurança da Informação Eventos de segurança são monitorados através do monitoramento de rotina realizado pelo Analista de TI e Sistemas, porém não há uma documentação para o aprendizado nem documentação de evidências. Este processo foi avaliado como realizado. 14 ­ Gestão da Continuidade do Negócio Não há uma gestão de continuidade de negócio. Mesmo para o backup que é guardado num cofre, não há uma cópia redundante em outra localização para o caso de uma catástrofe. Este processo foi avaliado como incompleto. A tabela abaixo resume a situação dos níveis de capacidade da Segurança da Informação na Empresa, de acordo com o COBIT 5. Cód Processo Nível de Capacidade Incompleto Realizado Gerenciado Estabelecido Previsível Em Otimização 5 Política de Segurança da Informação X 6 Organizando a Segurança da Informação X 7 Gestão de Ativos X 7
  • 9. 8 Segurança em Recursos Humanos X 11 Segurança Física e do Ambiente X 10 Gerenciamento das Operações e Comunicações X 11 Controle de Acesso X 12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação X 13 Gestão de Incidentes de Segurança da Informação X 14 Gestão da Continuidade do Negócio X Como é planejado o investimento em SI da empresa O investimento em segurança da informação na empresa HI Transportes ocorre por demanda, ou seja o capital investido é de acordo com as necessidades do negócio da empresa. Como as decisões são tomadas Segundo o Analista de Sistemas, as decisões da empresa relacionadas a segurança da informação são tomadas conforme os problemas ocorrem, não possuindo então um padrão para tal devido a falta de planejamento em SI. Como se garante segurança, quais as formas de controle, como se administra, como se investe, como se controla o patrimônio e as atividades utilizando a TI? A HI transporte utiliza vários recursos tecnológicos como uma forma de controle de segurança da informação. Será detalhado abaixo, os mecanismos que ela utiliza conforme 8
  • 10. descrito pelo analista de sistemas da organização: Para previnir ataques de intrusos a suas preciosas informações a empresa utiliza um Firewall UTM da empresa BluePex, que é uma evolução do firewall tradicional, unindo a execução de várias funções de segurança em um único dispositivo. Esta unificação das funções permite o gerenciamento da segurança em um único painel, facilitando a prevenção, detecção e ação contra ameaças de variadas fontes. O UTM também garante que as soluções de segurança encontradas nele sejam compatíveis e complementares, diminuindo brechas ou falhas de segurança. Há também na empresa um sistema de backup denominado AMANDA. Sistema no qual possuí livre distribuição e necessita de um servidor de sistema Linux para instalação. Através dessa ferramenta todas as informações da organização são gravadas diariamente em fitas LTO (Linear Tape­Open), que é um padrão que foi desenvolvido pela Hewlett­Packard, IBM e Certance com objetivo de atender a servidores de médio porte. Para a segurança e controle de sua frota de veículos, a HI transportes utiliza o sistema de rastreamento via satélite OnixSat, que possibilita monitorar o status de sua frota em tempo real, permitindo verificar a localização de veículos no mapa, bem como os principais pontos de referência: postos policiais, postos de combustível e assistências técnicas autorizadas. Outra vantagem é a possibilidade de se obter relatórios para análise de mensagens, posições, comandos e alertas recebidos e enviados para o motorista, Além de possibilitar a comunicação entre operador e motorista através de macros no computador de bordo. Na matriz da empresa, há um backup de todas as máquinas disponíveis, através de um perfil denominado "nômade", possibilitando que usuário veja em seu desktop apenas um espelho de toda informação que está contida no servidor, sendo que o backup Amanda faz a segurança de toda informação uma vez ao dia. Todos os e­mails da organização são auditorados por uma ferramenta denominada VAULT que é fornecida pela Google. O Google Apps Vault é um complemento do Google Apps que permite reter, arquivar, pesquisar e exportar as mensagens de e­mail e bate­papo de toda organização de acordo com as necessidades de compliance e descoberta eletrônica. também permitindo que o usário pesquise e exporte os arquivos da organização no Google Drive. O Google Apps Vault é inteiramente baseado na Web, portanto não há necessidade de fazer nenhuma instalação ou manutenção de software. Há também na empresa um antívirus, Symantec, que é responsável pelo controle de dispositivos móveis, de arquivo nos computadores da organização, evitando ameaças. O antivírus Symantec possuí excelente desempenho e gerenciamento inteligente para ambientes físicos e virtuais. Utilizando a maior rede de informações globais do mundo inteiro, 9
  • 11. a Symantec identificando proativamente arquivos em risco e interrompendo ameaças de dia zero sem prejudicar o desempenho dos computadores da organização. Qualquer computador que queira se conectar ao domínio da organização é forçado a instalar o antivírus Symantec por questões de segurança. Logo, os visitantes necessitam de uma rede paralela para se conectarem a Web quando dentro da organização, o que protege a rede principal. O backup completo do banco de dados da HI transportes ocorre à 00:00h, paralelamente ocorrem 4 backups diferenciais a cada 6 horas, para a segurança completa da informação. Por medida de segurança, os logs de modificação do sistemas são gravados a cada hora no banco de dados. Todos os backups realizados, são armazenados em um servidor paralelo, no qual a cada início de “turno” do departamento de tecnologia da informação, são transferidos para um disco rígido externo onde é depositado em um cofre da empresa. Elaboração do PESI (Plano Estratégico de Segurança da Informação) Plano Estratégico de Segurança da Informação Código de Registro: PESI ­ 001 data : 26/05/2015 Localidade : Lavras ­ Minas Gerais Assunto : Plano estratégico de Segurança da Informação ­ HI transportes Elaborado por : Grupo 04 1 Disposições Iniciais 1.1 Finalidade Este documento tem por finalidade apresentar o planejamento estratégico de Segurança da Informação para empresa HI Transportes. 1.2 Metodologia 10
  • 12. O processo de preparação do plano estratégico de Segurança da Informação, englobou as seguintes etapas: 1. Reunião para entendimento do projeto e definição de escopo 2. Planejamento de entrevistas com a alta direção 3. Extração dos requisitos com a alta direção 4. Definição do modelo de Gestão de SI. 5. Mapeamento das áreas de Negócio 6. Diagnóstico de governança de SI e gestão de SI 7. Realização da analise e avaliação de riscos. 2 Diagnósticos da Segurança da Informação Nesta etapa tem­se que identiticar cada área da organização e posteriormente identificar os responsáveis por cada área e sua relevância para os seus objetivos estratégicos. 2.1 Mapeamento da Organização Nome do processo Área Responsável Relevância Vendas Comercial Dir. Com&Oper Muito alta Faturamento Financeira Dir. Admi.Financ Muito alta Logística Transporte Dir. Com&Ope Altíssima Marketing Comercial Ger. Admi.Financ Média Licitações Jurídica Dir. Jurídico Muito Alta 2.2 Análise sobre a Governança de SI Análise da escala de relevância do processo da área da organização Mapeamento Área/Processo Classificação do Impacto Classificação da Prioridade Relevância Criticidade Processo Rel. Processo C I D G U T Comercial Vendas MA MA MA A AT AT A MA A Financeira Faturamento MA MA MA MA AT AT A MA A Transporte Logística MA MA MA MA AT AT A AT AT 11
  • 13. Comunicação Marketing M M M M B M A M M Jurídicas Contrato A MA MA MA MA AT A MA A Para facilitar a disposição dos dados da tabela acima, foi construído um esquema de siglas para a legenda: Siglas: C Confidencialidade AT Altíssimo I Integridade MA Muito Alto D Disponibilidade A Alto G Gravidade M Médio U Urgência B Baixo T Tendência MB Muito baixo Consolidação dos resultados do estudo de impacto e prioridade 3 Posicionamento estratégico de SI 3.1 Missão e Visão Missão: Prover segurança eficiente às informações da organização, propondo soluções de tecnologia da informação para garantia de tal, assegurando o alinhamento do negócio com os objetivos de Segurança da Informação e garantindo continuidade do negócio. Visão: Ser empresa atualizada quanto as questões de Segurança da Informação, alinhando as questões de Segurança da Informação com os objetivos de negócio. 3.2 Objetivos de Segurança da Informação 1 Objetivo: Proteção das áreas críticas da organização contras possíveis ataques e ameaças, implantando controles de Segurança da Informação, para que se possa garantir a integridade 12
  • 14. destas. 2 Objetivo: Não permitir a interrupção das atividades dos processos organizacionais, garantindo a continuidade do negócio, protegendo os processos críticos contra falhas, ameaças ou desastres, garantindo a retomada das ações em tempo considerável. 3 Objetivo: Implantação de Governança de Segurança da Informação, que estabeleça diretrizes gerais de Segurança da Informação. 4 Objetivo: Educação, treinamento e conscientização dos recursos humanos quantos as questões relacionadas com a Segurança da Informação. 3.3 Matriz dos objetivos estratégicos X objetivos de SI 13
  • 15. 4. Implantação do Plano Estratégico de Segurança da Informação 4.1 Plano de Ação 14
  • 16. 15
  • 17. 4.2 Período de Planejamento 4.3 Fatores Críticos de Sucesso ­ Apoio político e financeiro da empresa, para que se possam ser desenvolvidas as etapas de ações de Segurança da Informação ­ Divulgação da Segurança da Informação no âmbito empresarial de modo claro e eficiente ­ Entendimento da Segurança da Informação como parte do planejamento estratégico da empresa ­ Treinamento adequado para certificação de Segurança da Informação ­ Aquisição da infraestrutura necessária para implementação do plano de ação. ­ Estrutura de gerenciamento de Segurança da Informação. 5 Aprovação Aprovado por :______________________________________________ Presidente do comitê de SI 16
  • 18. Conclusão A HI Transportes Ltda. é uma empresa que atua no ramo de transporte de granéis. Apesar de ser uma empresa em franco crescimento, com muitos funcionários e diversas filiais, deixa a desejar quanto às questões relacionadas à Segurança da Informação. Como previsto, a segurança da informação é tratada pela empresa mais como um gasto do que como investimento. O objetivo deste trabalho foi propor uma série de ações de melhoria da Segurança da Informação na organização, utilizando como base as normas internacionais ISO/IEC 27002, avaliando os processos de segurança da informação com auxílio do COBIT 5. Este trabalho foi de grande valia para os integrantes do grupo 4, que puderam estar em contato direto com segurança da informação em uma empresa do mundo real, analisando e sugerindo melhorias de acordo com o conhecimento obtido no decorrer do semestre. Esta experiência prática proporcionou uma visão mais ampla e profunda sobre as questões de Segurança da Informação, que até então passam despercebidas. O plano de ação resultante do trabalho será entregue aos profissionais responsáveis pela tecnologia da informação na empresa objeto de estudo. 17
  • 19. Apêndice  Perguntas levantadas para HI Transportes   1. Qual o ramo de negócio da HI Transportes?  2. Existem filiais? Se sim, onde?   3. Desde quando a empresa existe?   4. Quantos funcionários?   5. Quem são os principais clientes?   6. Quem são os principais concorrentes?   7. Quais são os principais produtos transportados?   8. Qual o faturamento anual da empresa?   9. Existem missão, visão e valores da empresa? Se sim, quais são?   10. Como os funcionários estão organizados na empresa?   11. Como é organizada a TI?  12. Quais são os sistemas de informação utilizados pela empresa?  13. Vocês possuem ferramentas ou equipamentos auxiliares? Se sim, quais?  14. Quais/quantos equipamentos vocês possuem?  15. Quem são os responsáveis pela Seg. da Informação?  16. Existem treinamentos em Seg. da Inf.  dos funcionários?  17. Como a empresa protege suas informações?  18. Como a empresa enxerga as questoes de Seg. da Informação? Como e quanto é  investido?  19. Existem políticas de segurança da informação? De quanto em quanto tempo estas  políticas são revisadas?  20. A direção é comprometida com a segurança da informação na empresa?  21. As atribuições de responsabilidades sobre a segurança da informação são  formalmente definidas?  22. Como é tratada a proteção da informação?  23. Os profissionais responsáveis pela Seg. da Informação se mantém atualizados?  24. Existe acessos externo aos dados da empresa? VPN  25. Os equipamentos são identificados e gerenciados? Quem é responsável pela  gerência dos ativos? Existe uma documentação que regula o uso de informações e  ativos?  26. Os equipamentos são classificados por ordem de importância?  27. Os funcionários recém contratados recebem instruções sobre proteção da  informação? Eles são informados sobre suas responsabilidades e sobre o que  uma quebra de sigilo pode acarretar? Eles assinam um termo de sigilo sobre as  informações?  28. Quando os funcionários são demitidos, suas permissões são revogadas?  29. A rede interna possui algum tipo de proteção?  30. Existe uma manutenção preventiva dos equipamentos?  31. Existe alguma política de descarte de equipamentos?  32. Existem políticas que objetivam minimizar as falhas nos sistemas?  33. Existe alguma política de aceitação e validação de sistemas? 
  • 20. 34. Existem políticas para proteger a integridade de software e das informações?  35. Vocês realizam atividades de backup? Como são feitos? Qual a frequência? Onde  voces armazenam o backup?  36. Existe política de utilização de mídias pessoas nos computadores da empresa?  37. Existe algum mecanismo que monitora o envio de email e troca de mensanges?  38. Existem registros de auditoria?  39. Os relógios são sincronizados?  40. As permissões dos usuários são analisadas criticamente de tempos em tempos?  41. Existe uma orientação sobre utilização de senhas seguras?  42. Existem equipamentos sem monitoramento?  43. Existe política de mesa limpa e tela limpa?  44. Os usuários possuem ID único?  45. Existe política de análise e especificação de requisitos de segurança para  aquisição de novos sistemas?  46. Os SO são atualizados periodicamente?  47. Eventos de segurança da informapção são notificados à direção?  48. Existe uma gestão de conhecimentos para as lições aprendidas com as incidentes  de segurança da informação?  49. Existem mecanismos que garantam a continuidade do negócio?  50. Existe um plano de continuidade de negócio? Ele é revisado periodicamente?  51. Quantos e quais são os departamentos da empresa?   52. Qual seria a gravidade de uma falha de segurança em cada departamento?  53. Qual a urgência na correção de uma falha de segurança em cada departamento?  54. O quão grave é uma falha de confidencialidade em cada departamento?  55. O quão grave é uma falha de integridade em cada departamento?  56. O quão grave é uma falha de disponibilidade em cada departamento?