O documento discute três padrões importantes para segurança da informação: COBIT, ITIL e NBR 17799. COBIT fornece um framework para governança e gestão de TI alinhada aos objetivos de negócio. ITIL foca na entrega eficaz de serviços de TI. E NBR 17799 fornece boas práticas para gestão de segurança da informação.
Este documento apresenta os objetivos e conteúdo de um curso e-learning sobre a norma NBR ISO/IEC 27001:2006. O curso visa ensinar os requisitos da norma e como implantar e manter um sistema de gestão de segurança da informação eficaz. O conteúdo programático inclui módulos sobre conceitos de segurança da informação, visão geral das normas ISO 27001 e ISO 17799, e interpretação dos requisitos da norma ISO 27001.
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
O documento discute o processo de implementação e certificação da norma ISO 27001. Apresenta os principais requisitos das normas ISO 27001 e ISO 27002 no Brasil e descreve os passos para implementar um Sistema de Gestão de Segurança da Informação (ISMS) de acordo com a ISO 27001, incluindo a avaliação de riscos, declaração de aplicabilidade, plano de tratamento de riscos e modelo PDCA.
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
O documento discute exercícios de gestão da segurança da informação baseados nas normas ISO 27001, 27002 e 27005. O resumo apresenta uma questão sobre planos de gestão de continuidade do negócio e a necessidade de testes e atualizações periódicas. Além disso, discute a importância da análise crítica da política de segurança da informação considerando tendências de ameaças e vulnerabilidades.
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
Este documento apresenta uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. A metodologia simplifica o processo de planejamento, implantação, análise crítica e modificação do sistema, permitindo classificar informações, identificar riscos e selecionar controles de segurança. A metodologia visa tornar a implantação de um SGSI acessível a qualquer organização.
Este documento apresenta os objetivos e conteúdo de um curso e-learning sobre a norma NBR ISO/IEC 27001:2006. O curso visa ensinar os requisitos da norma e como implantar e manter um sistema de gestão de segurança da informação eficaz. O conteúdo programático inclui módulos sobre conceitos de segurança da informação, visão geral das normas ISO 27001 e ISO 17799, e interpretação dos requisitos da norma ISO 27001.
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
O documento discute o processo de implementação e certificação da norma ISO 27001. Apresenta os principais requisitos das normas ISO 27001 e ISO 27002 no Brasil e descreve os passos para implementar um Sistema de Gestão de Segurança da Informação (ISMS) de acordo com a ISO 27001, incluindo a avaliação de riscos, declaração de aplicabilidade, plano de tratamento de riscos e modelo PDCA.
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
O documento discute exercícios de gestão da segurança da informação baseados nas normas ISO 27001, 27002 e 27005. O resumo apresenta uma questão sobre planos de gestão de continuidade do negócio e a necessidade de testes e atualizações periódicas. Além disso, discute a importância da análise crítica da política de segurança da informação considerando tendências de ameaças e vulnerabilidades.
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
Este documento apresenta uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. A metodologia simplifica o processo de planejamento, implantação, análise crítica e modificação do sistema, permitindo classificar informações, identificar riscos e selecionar controles de segurança. A metodologia visa tornar a implantação de um SGSI acessível a qualquer organização.
Este documento apresenta um projeto de revisão da norma ABNT NBR ISO/IEC 27002 sobre controles de segurança da informação. Ele descreve a estrutura da norma, incluindo os objetivos, escopo, referências normativas e termos e definições. Além disso, fornece diretrizes gerais sobre gestão de riscos, seleção e implementação de controles de segurança da informação.
O documento discute os requisitos de documentação para um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. A documentação deve incluir declarações de política e objetivos do SGSI, o escopo do SGSI, procedimentos e controles, a metodologia de avaliação de riscos, o relatório de avaliação de riscos e o plano de tratamento de riscos. Além disso, a documentação deve registrar decisões da direção e assegurar que as ações sejam rastreáveis às políticas
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
O documento apresenta uma série de aulas sobre segurança da informação e normas relacionadas. As aulas discutem conceitos como normas, objetivos da normalização, ISO 27000, ISO 27001, ISO/IEC 27002 e sua estrutura e aplicação prática em diferentes áreas da segurança da informação como política, recursos humanos, ativos, acesso, comunicações e gestão de incidentes.
O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
O documento discute normas de segurança da informação e a estrutura da norma ABNT NBR ISO/IEC 27002. Ele apresenta os objetivos e requisitos gerais da norma, incluindo a orientação da direção, organização interna, segurança em recursos humanos, gestão de ativos e controle de acesso.
Este documento apresenta conceitos sobre riscos de segurança, processos de avaliação e tratamento de risco, sistemas de gestão e Sistemas de Gestão de Segurança da Informação (SGSI). Inclui exemplos de riscos, controles e exercícios para identificar riscos e controles para ativos. Também explica o que é um sistema de gestão e seus elementos, além de fatores críticos para o sucesso de um SGSI.
O documento discute a ISO 27001, um padrão internacional para sistemas de gestão de segurança da informação. Ele explica os princípios, benefícios e etapas de implementação da ISO 27001, e fornece um caso de sucesso da Algar Tech, a primeira empresa brasileira certificada pela ISO 27001.
1) O documento apresenta os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
2) A norma descreve os requisitos gerais para o SGSI, incluindo a necessidade de documentação e controle de documentos.
3) As responsabilidades da direção em relação ao SGSI são detalhadas, incluindo comprometimento, gestão de recursos, auditorias internas e análise crítica.
Este documento resume três normas importantes para a gestão de segurança da informação: NBR ISO/IEC 27001, 27002 e 27005. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação. A NBR ISO/IEC 27002 fornece práticas recomendadas para a gestão de segurança da informação. A NBR ISO/IEC 27005 trata da gestão de riscos de segurança da informação.
A norma ISO 27002 fornece diretrizes e princípios para implementar a segurança da informação e estabelecer um sistema de gestão de segurança da informação. Ela cobre 15 áreas diferentes como política de segurança, gestão de ativos, segurança física, operações, acesso, aquisição de sistemas, incidentes, continuidade e conformidade. O objetivo é ajudar organizações a gerenciar riscos de segurança da informação e proteger ativos de informação.
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
O documento estabelece diretrizes e controles para a segurança da informação de acordo com a norma ISO 27001. Inclui políticas sobre segurança, gestão de ativos, segurança física, operações e recursos humanos para assegurar a confidencialidade, integridade e disponibilidade da informação da organização.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
O documento descreve os serviços e treinamentos oferecidos pela empresa CompanyWeb em governança e gestão de TI. A CompanyWeb tem 14 anos de experiência e presta serviços para grandes empresas nos setores de petróleo, bancos, bebidas e outros. O documento também apresenta um consultor especializado da empresa e detalha os diversos cursos e certificações oferecidos em áreas como governança, gestão de riscos, segurança da informação e metodologias ágeis.
Este documento resume os principais requisitos para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. Inicialmente, a organização deve definir o escopo e política do SGSI, realizar uma análise de riscos identificando ativos, ameaças, vulnerabilidades e impactos, e avaliar e tratar os riscos identificados. Em seguida, a organização deve selecionar objetivos e controles de acordo com a análise de riscos, obter aprovação
Este documento discute conceitos fundamentais de segurança da informação, como informação, ativos, confidencialidade, integridade, disponibilidade, vulnerabilidades, ameaças e impactos. Ele também fornece exemplos destes conceitos e orienta os leitores a identificar os ativos relevantes e avaliar suas vulnerabilidades e ameaças em termos de confidencialidade, integridade e disponibilidade.
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
Demonstrar como o processo de gerenciamento de segurança da informação(SI) da(o) ITIL, pode ser utilizado como melhor prática, somando a outras, para trazer SI às organizações.
Apresentação realizado no Sábado com TIC Masters da Sucesu Ceará
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
Este documento apresenta a primeira aula de um curso sobre gestão da segurança da informação com foco nos padrões ISO 27001, 27002 e 27005. O curso é ministrado por Fernando Palma e contém 50 questões sobre os temas abordados nas normas. A aula introduz o curso e discute os objetivos, estrutura e principais tópicos das normas.
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
1. Este trabalho apresenta um estudo de caso realizado na Companhia Hidro Elétrica do São Francisco (CHESF) para analisar a utilização de políticas de segurança de acordo com a norma ISO/IEC 27002.
2. Foram realizadas entrevistas e questionários com funcionários do departamento de Tecnologia da Informação da CHESF para avaliar o nível de entendimento sobre a política de segurança adotada.
3. Os resultados mostraram a importância de descrever claramente a política de segurança para os funcionários, de forma que eles tenham con
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT® 5 na segurança da
informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de Segurança da informação e boas práticas encontradas na literatura, de forma a auxiliar na implementação de uma
eficiente governança e gestão de segurança da informação.
O documento discute a Governança de TI e o framework CobiT. CobiT fornece melhores práticas para o controle e gerenciamento de processos de TI, cobrindo cinco áreas de escopo e 34 processos agrupados em quatro domínios: Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte, e Monitoramento e Avaliação. O documento também descreve os componentes, atividades e modelos de maturidade do CobiT.
Este documento apresenta um projeto de revisão da norma ABNT NBR ISO/IEC 27002 sobre controles de segurança da informação. Ele descreve a estrutura da norma, incluindo os objetivos, escopo, referências normativas e termos e definições. Além disso, fornece diretrizes gerais sobre gestão de riscos, seleção e implementação de controles de segurança da informação.
O documento discute os requisitos de documentação para um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. A documentação deve incluir declarações de política e objetivos do SGSI, o escopo do SGSI, procedimentos e controles, a metodologia de avaliação de riscos, o relatório de avaliação de riscos e o plano de tratamento de riscos. Além disso, a documentação deve registrar decisões da direção e assegurar que as ações sejam rastreáveis às políticas
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
O documento apresenta uma série de aulas sobre segurança da informação e normas relacionadas. As aulas discutem conceitos como normas, objetivos da normalização, ISO 27000, ISO 27001, ISO/IEC 27002 e sua estrutura e aplicação prática em diferentes áreas da segurança da informação como política, recursos humanos, ativos, acesso, comunicações e gestão de incidentes.
O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
O documento discute normas de segurança da informação e a estrutura da norma ABNT NBR ISO/IEC 27002. Ele apresenta os objetivos e requisitos gerais da norma, incluindo a orientação da direção, organização interna, segurança em recursos humanos, gestão de ativos e controle de acesso.
Este documento apresenta conceitos sobre riscos de segurança, processos de avaliação e tratamento de risco, sistemas de gestão e Sistemas de Gestão de Segurança da Informação (SGSI). Inclui exemplos de riscos, controles e exercícios para identificar riscos e controles para ativos. Também explica o que é um sistema de gestão e seus elementos, além de fatores críticos para o sucesso de um SGSI.
O documento discute a ISO 27001, um padrão internacional para sistemas de gestão de segurança da informação. Ele explica os princípios, benefícios e etapas de implementação da ISO 27001, e fornece um caso de sucesso da Algar Tech, a primeira empresa brasileira certificada pela ISO 27001.
1) O documento apresenta os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
2) A norma descreve os requisitos gerais para o SGSI, incluindo a necessidade de documentação e controle de documentos.
3) As responsabilidades da direção em relação ao SGSI são detalhadas, incluindo comprometimento, gestão de recursos, auditorias internas e análise crítica.
Este documento resume três normas importantes para a gestão de segurança da informação: NBR ISO/IEC 27001, 27002 e 27005. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação. A NBR ISO/IEC 27002 fornece práticas recomendadas para a gestão de segurança da informação. A NBR ISO/IEC 27005 trata da gestão de riscos de segurança da informação.
A norma ISO 27002 fornece diretrizes e princípios para implementar a segurança da informação e estabelecer um sistema de gestão de segurança da informação. Ela cobre 15 áreas diferentes como política de segurança, gestão de ativos, segurança física, operações, acesso, aquisição de sistemas, incidentes, continuidade e conformidade. O objetivo é ajudar organizações a gerenciar riscos de segurança da informação e proteger ativos de informação.
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
O documento estabelece diretrizes e controles para a segurança da informação de acordo com a norma ISO 27001. Inclui políticas sobre segurança, gestão de ativos, segurança física, operações e recursos humanos para assegurar a confidencialidade, integridade e disponibilidade da informação da organização.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
O documento descreve os serviços e treinamentos oferecidos pela empresa CompanyWeb em governança e gestão de TI. A CompanyWeb tem 14 anos de experiência e presta serviços para grandes empresas nos setores de petróleo, bancos, bebidas e outros. O documento também apresenta um consultor especializado da empresa e detalha os diversos cursos e certificações oferecidos em áreas como governança, gestão de riscos, segurança da informação e metodologias ágeis.
Este documento resume os principais requisitos para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. Inicialmente, a organização deve definir o escopo e política do SGSI, realizar uma análise de riscos identificando ativos, ameaças, vulnerabilidades e impactos, e avaliar e tratar os riscos identificados. Em seguida, a organização deve selecionar objetivos e controles de acordo com a análise de riscos, obter aprovação
Este documento discute conceitos fundamentais de segurança da informação, como informação, ativos, confidencialidade, integridade, disponibilidade, vulnerabilidades, ameaças e impactos. Ele também fornece exemplos destes conceitos e orienta os leitores a identificar os ativos relevantes e avaliar suas vulnerabilidades e ameaças em termos de confidencialidade, integridade e disponibilidade.
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
Demonstrar como o processo de gerenciamento de segurança da informação(SI) da(o) ITIL, pode ser utilizado como melhor prática, somando a outras, para trazer SI às organizações.
Apresentação realizado no Sábado com TIC Masters da Sucesu Ceará
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
Este documento apresenta a primeira aula de um curso sobre gestão da segurança da informação com foco nos padrões ISO 27001, 27002 e 27005. O curso é ministrado por Fernando Palma e contém 50 questões sobre os temas abordados nas normas. A aula introduz o curso e discute os objetivos, estrutura e principais tópicos das normas.
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
1. Este trabalho apresenta um estudo de caso realizado na Companhia Hidro Elétrica do São Francisco (CHESF) para analisar a utilização de políticas de segurança de acordo com a norma ISO/IEC 27002.
2. Foram realizadas entrevistas e questionários com funcionários do departamento de Tecnologia da Informação da CHESF para avaliar o nível de entendimento sobre a política de segurança adotada.
3. Os resultados mostraram a importância de descrever claramente a política de segurança para os funcionários, de forma que eles tenham con
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT® 5 na segurança da
informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de Segurança da informação e boas práticas encontradas na literatura, de forma a auxiliar na implementação de uma
eficiente governança e gestão de segurança da informação.
O documento discute a Governança de TI e o framework CobiT. CobiT fornece melhores práticas para o controle e gerenciamento de processos de TI, cobrindo cinco áreas de escopo e 34 processos agrupados em quatro domínios: Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte, e Monitoramento e Avaliação. O documento também descreve os componentes, atividades e modelos de maturidade do CobiT.
O documento discute o framework CobiT para governança de TI. CobiT fornece melhores práticas para o controle e gerenciamento de processos de TI, cobrindo cinco áreas de governança e 34 processos de TI organizados em quatro domínios: planejamento e organização, aquisição e implementação, entrega e suporte, e monitoramento e avaliação. O documento também descreve os componentes, objetivos de controle e modelos de maturidade do CobiT.
O documento discute o framework CobiT, que fornece práticas para gestão e controle de tecnologia da informação e recursos de informação. CobiT inclui 34 processos agrupados em 4 domínios e objetivos de controle para cada processo. Ele ajuda a gerenciamento a equilibrar riscos, controlar investimentos em TI e fornecer garantias sobre serviços de TI.
O documento apresenta uma série de perguntas sobre o framework COBIT. Ele aborda recursos, componentes, características, objetivos, benefícios e desafios relacionados à governança e gestão de TI com base no COBIT.
Governança de TI e Segurança da Informação.pptfredcobain
Governança de TI e Gestão da Segurança da Informação são temas importantes para empresas de todos os segmentos. A Governança de TI se refere à forma como uma empresa gerencia seus recursos e processos de tecnologia, visando maximizar o valor agregado a seus negócios. Já a Gestão da Segurança da Informação envolve o planejamento, implementação e controle de políticas e procedimentos para proteger a informação da empresa contra ameaças internas externas.
Para garantir eficiência em ambas as áreas, são utilizados frameworks e normas reconhecidos internacionalmente. Um dos mais conhecidos é o COBIT (Control Objectives for Information and Related Technology), que é desenvolvido pela ISACA (Information Systems Audit and Control Association). O COBIT é uma ferramenta que permite uma gestão sistemática da governança de TI, alinhada aos objetivos da organização.
Outro framework relevante é o ITIL (Information Technology Infrastructure Library), que oferece um conjunto de práticas para a gestão de serviços de TI. Ele auxilia na entrega de serviços mais eficientes e eficazes, alinhados com as necessidades de negócio da empresa.
Quanto à segurança da informação, destaca-se a norma ISO/IEC 27001, que é reconhecida mundialmente como uma das referências para a gestão da segurança da informação. A norma oferece um conjunto de requisitos para garantir a confidencialidade, integridade e disponibilidade das informações das empresas.
Além desses existem outras referências de frameworks e normas que podem ser utilizados pelas organizações para aprimorar a governança de TI e a gestão da segurança da informação. O importante é que as empresas se adequem às normas e adotem as melhores práticas para garantir a proteção dos dados e o sucesso do negócio.
O documento descreve o framework CobiT, dividido em 4 domínios e 34 processos para gerenciar a TI de uma empresa. O domínio "Adquirir e Implementar" inclui 7 processos para identificar, adquirir e implantar soluções de TI. O domínio "Entregar e Dar Suporte" inclui 13 processos para definir níveis de serviço, segurança, treinamento e gerenciamento de incidentes. O domínio "Monitorar e Avaliar" inclui 4 processos para monitorar desempenho, conformidade e governança de TI.
O documento descreve os requisitos para implementar um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001. O SGSI deve ser estabelecido considerando o contexto dos riscos de negócio da organização e incluir atividades como análise de riscos, tratamento de riscos, auditorias internas, análise crítica pela direção e melhoria contínua. A direção deve fornecer recursos e comprometimento para o sucesso do SGSI.
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
O documento apresenta um resumo da aula sobre segurança e auditoria de sistemas. Ele discute a importância de organizar a segurança através de um modelo de gestão corporativa e comitês de segurança, e introduz conceitos como ativos tangíveis e intangíveis, motivação para segurança, normas e políticas de segurança.
1. O documento discute os aspectos importantes na elaboração de uma Política de Segurança da Informação (PSI) em uma organização. 2. Inclui detalhes sobre como formar um comitê de segurança, partes que devem compor o documento final da PSI e a importância de oficializar a política. 3. Também fornece exemplos de estruturas comuns para PSI, incluindo diretrizes, normas e procedimentos.
O documento fornece perguntas e respostas sobre diversos frameworks e padrões de governança e gestão de TI, como ITIL, COBIT, VAL IT e COSO. As perguntas abordam tópicos como princípios, processos, níveis de maturidade, benefícios e componentes destes frameworks.
O documento discute conceitos e modelos de governança de TI, apresentando várias definições para governança corporativa e de TI e frameworks como COBIT, ITIL e CMMI. Também aborda a importância da governança de TI para alinhar a estratégia e os objetivos de negócio com a tecnologia da informação de uma organização.
1) O documento descreve como a Empresa Brasileira de Correios e Telégrafos vem utilizando o framework CobiT para implementar a governança de TI, realizando um diagnóstico de maturidade inicial em 2005 que avaliou os 34 processos do CobiT 3.0.
2) Foram selecionados 13 processos com baixo nível de maturidade que poderiam causar prejuízos, iniciando-se um plano de melhoria baseado na versão CobiT 4.0 para implementar novos controles.
3) O objetivo é que a
Este documento descreve como a Empresa Brasileira de Correios e Telégrafos (ECT) vem utilizando o framework CobiT para implementar a governança de TI. A ECT realizou um diagnóstico de maturidade dos processos de TI em 2005 usando o CobiT 3.0 e identificou 13 processos com baixo nível de maturidade. Desde então, a ECT iniciou um plano de melhoria desses processos usando o CobiT 4.0 para aprimorar os controles de TI e apoiar os objetivos de negócios.
Este documento discute os principais frameworks de governança e gestão de TI, como COBIT 5, ITIL e ISO 27002, e como eles se relacionam com segurança da informação. O documento também fornece um exemplo de como implementar uma campanha de conscientização em segurança da informação de acordo com a ISO 27002.
Este documento discute as principais boas práticas e recomendações mundiais utilizadas pela área de Tecnologia da Informação (TI), incluindo ISO, PMBOK, COBIT e ITIL. O documento explica cada uma dessas boas práticas, seus objetivos, processos e como elas se relacionam para melhorar a governança e gestão da TI em uma organização.
Este documento apresenta um projeto de revisão de norma técnica brasileira sobre sistemas de gestão de segurança da informação. Ele foi elaborado por uma comissão de estudo da ABNT com participação de várias organizações. O documento descreve os objetivos e escopo da norma, sua estrutura e processo de revisão, e fornece diretrizes e requisitos para o estabelecimento, implementação, monitoramento e melhoria contínua de sistemas de gestão de segurança da informação.
O documento discute conceitos de governança de TI em organizações. Apresenta o que é governança de TI, seus stakeholders e como o alinhamento da TI com o negócio é importante. Também aborda os benefícios da governança de TI e o framework COBIT, incluindo seus objetivos, componentes e como ele se relaciona com outros padrões.
Este documento resume a norma ISO 27001 de segurança da informação. Ele explica que a ISO 27001 fornece melhores práticas para proteger a confidencialidade, integridade e disponibilidade das informações de uma organização. Também descreve os benefícios da certificação, como estabelecer confiança e cumprir regulamentações como a LGPD. Por fim, resume que a implementação leva em média 12 meses e avalia diversos aspectos como políticas, controles de acesso e segurança física e operacional.
1. INFOSEC COUNCIL – 23
7. COBIT, ITIL, NBR 17799: OS PADRÕES
O uso, pela Organização, de práticas comprovadas identifica que ela
está alinhada com padrões internacionais e facilitará qualquer audi-
toria ou avaliação da organização no que se refere à proteção da
informação.
O Profissional de Segurança deve desenvolver ações alinhadas
com as melhores práticas para a proteção e controle da infor-
mação. Como padrões de mercado aceitos e seguidos pela
grande maioria das organizações e governos encontram-se o
COBIT, ITIL e a Norma NBR ISO/IEC 17799.
Essas práticas recomendam a existência de processo formal de
conscientização em segurança da informação, porém, não orien-
tam como fazer essa conscientização. Então, por que devemos considerar essas práticas? Porque, de algu-
ma forma, estaremos seguindo ou respondendo questionamentos que tomam por base essas práticas.
Além disso, todas as melhores práticas enfatizam que o elo mais fraco da segurança é exatamente o ser
humano.
Precisamos estar cientes que cada uma dessas práticas tem abordagem e escopo diferentes. Neste capí-
tulo, faremos uma breve descrição de cada um desses 3 padrões e sua inter-relação com a SI.
COBIT - COMMON OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
O COBIT é uma estrutura de relações e processos para dirigir e controlar o ambiente de TI, orientan-
do-a às metas da Organização e oferecendo métricas estruturadas com base no BSC em suas 4 perspec-
tivas: Financeira, Clientes, Processos e Inovação/Aprendizado.
Além da Auditoria de Sistemas, o COBIT é muito utilizado para a Governança de TI, seguindo padrões
para um ambiente globalizado.
Cronologia de evolução do COBIT:
• 1996: 1ª versão elaborada pela ISACF - Information Systems Audit and Control Foundation;
• 1998: 2ª versão, incluindo documentação de alto nível, controles, objetivos detalhados e
criação do ImplementationTool Set;
• 2000: 3ª versão, com o foco em Governança de TI;
• 2005: versão 4, com adequações para melhor integração com regulamentações e compliance
(Basiléia e Sarbanes-Oxley).
O COBIT não exclui qualquer padrão aceito para controles de Segurança da Informação e Auditoria; ele
os agrega às suas recomendações! Por exemplo:
• Padrões técnicos: ISO, EDIFACT etc.;
• Códigos de conduta: OECD, ISACA, Conselho Europeu etc.;
• Critérios de Qualificação para Sistemas e Processos de TI: ITSEC, TCSEC, ISO9000, SPICE,
TickIT, Common Criteria etc.;
• Padrões profissionais para Auditoria: COSO, IFAC, AICIPA, CICA, ISACA, IIA, PCIE, GAO.
O COBIT 4.0 trata TI em 4 dimensões, denominados Domínios:
• Planejar e Organizar: Implica uma visão estratégica para a Governança de TI, que busca a
melhor realização dos objetivos organizacionais na área tecnológica;
• Adquirir e Implementar: Qualifica tanto a Identificação de soluções a serem desenvolvi-
das e/ou adquiridas como a implementação e integração ao ambiente, assegurando que o
ciclo de vida destas soluções é adequado ao ambiente organizacional;
• Entregar e Suportar: Domínio responsável em verificar o tratamento de serviços deman-
dados pelos processos de Negócios, recursos para a continuidade operacional, o treinamento e
a segurança das operações. É neste domínio que se assegura a entrega de informações através
do processamento de dados dos sistemas aplicativos, bem como todo o suporte necessário para
sua operação no mal ou em situações anômalas;
• Monitorar: Administra o processo de controles da organização de TI e a garantia de inde-
pendência nas Auditorias existentes. É fundamental para avaliar contínua e regularmente a
qualidade e a conformidade dos controles implantados.
Nesses 4 domínios existem, de forma detalhada, 34 processos de controles de alto nível e para estes
processos foram criados 318 objetivos de controles necessários para analisar e atender aos requisitos de
TI e, conseqüentemente, aos objetivos do Negócio.
Como resultado de avaliação desses objetivos, criam-se as estratégias para mitigação de riscos existentes,
baseados nos resultados obtidos.
Para cada um dos 34 processos, o COBIT contempla os Fatores Críticos de Sucesso e determina os
Indicadores de Resultados (KGI) e Indicadores de Performance (KPI), que geram as métricas para a avali-
INFOSEC COUNCIL – 22
2. INFOSEC COUNCIL – 24 INFOSEC COUNCIL – 25
ação da Governança de TI, para Diretrizes de Auditoria e para a Segurança da Informação.
O COBIT apresenta um modelo para atestar a maturidade de cada processo em uma escala de 5 está-
gios possíveis, sendo eles:
0 – Não existe;
1 – Inicial;
2 – Repetível e intuitivo;
3 – Processos definidos;
4 – Gerenciados;
5 – Processos otimizados.
Para o Security Officer, o COBIT é utilizado como um modelo para um Programa de Segurança da
Informação, INTEGRANDO segurança com os objetivos de TI relacionados aos negócios e também
estruturando Políticas, Normas e Procedimentos de Segurança da Informação.
Nos Processos, existem objetivos focados para SI, tais como:
DS5: Garantir a Segurança dos Sistemas;
PO9: Avaliar e Gerenciar Riscos de TI;
DS3: Gerência de Performance e Capacidade;
DS7:Treinamentos a Usuários;
DS10: Gerência de Problemas e Incidentes;
DS12: Gerência de Ambientes (Segurança Física).
A estratégia do COBIT 4.0 faz com que ele assuma diversas funções dentro da Organização:
• Uma Ferramenta: para a Governança de TI;
• Aderência da TI ao Negócio: Requisições orientadas e fundamentadas das áreas-fim da
Organização, atendendo aos objetivos estratégicos;
• Garantia de Qualidade: Harmonia e detalhamento para atender aos padrões e práticas de mer-
cado, tais como: ITIL, ISO 17799, PMBOK e PRINCE2;
• Gestão de Risco: Controles objetivos e detalhados;
• Governança Corporativa: habilita e facilita a Arquitetura empresarial (RACI–Responsible,
Accountable, Consulted and Informed);
• Procedural: Definição de fluxos e processos de TI;
• Comunicação:Unifica a linguagem e divulga os processos deTI,em todos os níveis da Organização;
• Feedback: estimula os comentários, sugestões e recomendações de evolução.
Referências:
IT Governance Institute – COBIT 3.0 e 4.0 www.itgovernance.org e www.isaca.org
Information System Control Journal volume 6 2005
VALMIR SCHREIBER, CISA – presidente da ISACA-SP
ITIL – IT INFASTRUCTURE LIBRARY
O ITIL é um conjunto de padrões que provê os fundamentos para o processo de gerenciamento dos
recursos tecnológicos daTI.Apresenta uma abordagem prática dos processos de produção e entrega dos
serviços, baseada em experiência. Seu foco, portanto, é no serviço prestado pela TI das Organizações,
visando aumentar a qualidade desses serviços.
Na Gestão de Segurança, o ITIL possui um processo específico para a Segurança da Informação, enfati-
zando a importância do adequado gerenciamento da SI e considerando os SLA’s entre os processos do
Negócio e os daTI.Além disso, recomenda que o gerenciamento de Segurança é parte integrante do tra-
balho de cada Gerente, em todos os níveis.
FUNDAMENTOS - Valor da Informação:
• Confidencialidade;
• Integridade;
• Disponibilidade;
• Privacidade;
• Anonimato;
• Autenticidade;
• Não Repúdio.
NEGÓCIO
TECNOLOGIA
PLANEJAMENTO
DA SEGURANCA
SLA
3. INFOSEC COUNCIL – 26 INFOSEC COUNCIL – 27
Os Processos de Apoio são:
• SLA;
• Segurança;
• Informação;
• Rede e Operações.
Como itens fundamentais para a Segurança, o ITIL recomenda fortemente alguns procedimentos que
possibilitam essa evolução:
• Catálogo de Serviços: a TI deve publicar na Organização um descritivo de seus serviços, com
as respectivas condições, que atendem a cada requisito do Negócio;
• OLA’s (Operational Level Agreement): deve ser estabelecido com cada tomador INTERNO de
serviço; é um SLA mais“enxuto”, mas prevendo integralmente os serviços e suas condições, inclu-
sive custos internos;
• UC’s – Underpinning Contracts: são aqueles estabelecidos com provedores externos, nos quais
devem ser previstas todas as condições, incluindo bônus, penalidades, condições de saída, etc;
• BD dos ativos existentes e suas configurações atualizadas, incluindo SW, HW, documentação
atualizada, Procedimentos e classificação quanto à Segurança (ver quadro “Valor da Informação”,
acima);
• Criação de um Service Desk como ponto focal de contato para todos os Usuários de TI; é a
área “dona” de todos os incidentes e seu foco é a continuidade de serviço e manutenção do SLA;
incluem-se aí os incidentes de Segurança;
• Gestão de Problemas: nessa área são estudados os incidentes, determinando sua relação, causas
e medidas para evitá-los; essa abordagem permite detectar “brechas” de Segurança e deve pre-
ver forte documentação dos incidentes e soluções;
• Gestão de Mudanças: coordena TODAS as mudanças em infra-estrutura de TI, apóia-se na do-
cumentação dos incidentes e é responsável end-to-end da mudança;
OBS: Falhas na Gestão de Mudanças são, historicamente, as causas mais freqüentes de incidentes
de Segurança.
ATUAÇÃO RECOMENDADA:
O ITIL é dividido em 10 Processos Principais e 4 Processos de Apoio (satélites). Os Processos Principais
são agrupados em dois Grupos:
Grupo de Suporte aos Serviços (Service Support Set):
• Gestão de Configuração e de Ativos;
• Controle de Incidentes / Help Desk;
• Gestão de Problemas;
• Gestão de Mudanças;
• Gestão de Liberação.
Grupo de Serviços Prestados (Service Delivery set):
• Gestão de Níveis de Serviço (SLA);
• Gestão de Disponibilidade;
• Gestão de Desempenho e Capacidade;
• Plano de Continuidade de Negócios;
• Custeio e Gestão Financeira.
Prevenção/
Redução
Detecção
Repressão
Correção
Avaliação
Ameaça
Incidente
Danos
Recuperação
4. INFOSEC COUNCIL – 28 INFOSEC COUNCIL – 29
2) Foi criada uma seção específica sobre Análise/Avaliação e tratamento de riscos. Essa seção recomen-
da que:
a. A análise/avaliação de riscos de SI inclua um enfoque para estimar a magnitude do risco e a
comparação contra critérios definidos;
b.As análises/avaliações de riscos de SI periódicas, contemplando as mudanças nos requisitos de SI e
na situação de risco;
c.A análise/avaliação de riscos de SI tenha um escopo claramente definido, que pode ser em toda
a Organização ou em parte dela.
A análise/avaliação de riscos é uma das três fontes principais para que uma Organização identifique os
seus requisitos de SI, além de legislações vigentes, estatutos, regulamentações e cláusulas contratuais que
a Organização deva atender; e os princípios, objetivos e requisitos do negócio que venha apoiar as ope-
rações da Organização.
3) Existe uma nova definição de SI, agora contemplando outras propriedades: autenticidade, não repúdio
e confiabilidade. Os componentes principais para a preservação e proteção da informação, como a con-
fidencialidade, a integridade e a disponibilidade, foram mantidos na nova definição.
4) O conceito de ativos foi ampliado para incluir pessoas e imagem/reputação da Organização, além dos
ativos de informação, ativos de software, ativos físicos e serviços já existentes na versão 2000.
5) Uma nova seção sobre Gestão de Incidentes de SI.
6) Os controles existentes foram atualizados, melhorados e incorporados com outros controles.
7) 17 novos controles foram incorporados na versão 2005.
No Brasil, a ABNT (Associação Brasileira de Normas Técnicas) lançou no dia 24/08/2005 a versão NBR
ISO IEC 17799:2005; a partir de 2007 será numerada como NBR ISO IEC 27002.
• Comitê de Mudanças: autoriza, avalia e aceita as mudanças necessárias; deve ter representantes
de todas as áreas (TI, Segurança e Negócio); facilita a introdução das medidas de Segurança e sua
evolução; detecta novas vulnerabilidades;
• Gestão de Liberação: seu objetivo é controlar a implantação e a distribuição de novas versões
de SW; sua ação é disparada pelo Comitê de Mudanças e controla todos os SW corretos, reco-
nhecidos, registrados, legais e autorizados; deve prever sempre uma situação de rollback em caso
de problemas.
Referências:
www.itsmf.com • www.itsmf.com.br • www.itil.com.uk • www.cert.br • www.itil.org.uk
Valmir Schreiber – presidente da ISACA-SP
Astor Calasso – diretor da ISACA-SP
A NORMA NBR ISO IEC 17799:2005
A NBR ISO IEC 17799 é um código de boas práticas para a gestão da Segurança da Informação, atua-
lizado pelo Comitê Internacional da ISO IEC.
Aprovada pela ISO (em Genebra - 15/06/2005), é o resultado de um trabalho de cinco anos, que envolve
aproximadamente 100 especialistas em SI de 35 Países.
Mais de 4500 comentários foram analisados e discutidos nas várias reuniões realizadas em Seoul, Berlin,
Varsóvia, Québec, Paris, Cingapura, Fortaleza e Viena, entre 2001 e 2005.
A nova versão apresenta os mais modernos conceitos sobre Gestão da Segurança da Informação exis-
tentes no mercado. As principais mudanças foram:
1) Tornou a norma “user friendly”, ou seja, de fácil leitura e entendimento. Apresenta o OBJETIVO DO
CONTROLE, define qual o CONTROLE a ser implementado e apresenta DIRETRIZES para a sua imple-
mentação. Além disso, ainda apresenta INFORMAÇÕES ADICIONAIS, como, por exemplo, aspectos
legais e referências a outras normas.
5. INFOSEC COUNCIL – 30 INFOSEC COUNCIL – 31
PORQUE ADOTAR A NBR ISO IEC 17799:2005
As normas publicadas pela Organização Internacional de Normalização, a ISO, têm uma grande aceitação
no mercado. Um exemplo disso é a norma ISO 9001:2000, que trata da Gestão da Qualidade, conside-
rada como a mais difundida norma da ISO que existe no mundo.
No caso da NBR ISO IEC 17799, que é um Código de Boas Práticas para a Segurança da Informação, a
sua aplicação é um pouco mais restrita que a ISO 9001:2000, pois ela não é uma norma voltada para fins
certificação.
Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores da economia, pois todas as
Organizações, independentemente do seu porte ou do ramo de atuação, do setor público ou privado,
precisam proteger as suas informações sensíveis e críticas.
As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas 11 seções abaixo, totalizando
39 categorias principais de SI:
• Política de Segurança da Informação;
• Organizando a Segurança da Informação;
• Gestão de Ativos;
• Segurança em Recursos Humanos;
• Segurança Física e do Ambiente;
• Gerenciamento das Operações e Comunicações;
• Controle de Acesso;
• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
• Gestão de Incidentes de Segurança da Informação;
• Gestão da Contunuidade de Negócios;
• Conformidade.
A NOVA FAMÍLIA DA NORMAS ISO IEC 27000
Como forma de dar suporte à implantação da ISO IEC 27001:2005,o Comitê da ISO IEC que trata da segu-
rança da informação decidiu pela criação de uma família de normas sobre Gestão da Segurança da
Informação. Esta família foi batizada pela série ISO IEC 27000, a exemplo da série ISO 9000 das normas de
qualidade e da série ISO 14000 das normas sobre meio ambiente.
Esta nova família estará relacionada com os requisitos mandatórios da ISO IEC 27001:2005, como, por
exemplo, a definição do escopo do Sistema de Gestão da Segurança da Informação, a avaliação de riscos,
a identificação de ativos e a eficácia dos controles implementados.
Na reunião do Comitê ISO IEC, em Nov/2005 (Kuala Lumpur-Malásia), foram aprovadas as seguintes nor-
mas e projetos de norma desta nova família:
Número: ISO IEC NWIP 27000 (NWIP= New Work Item Proposal)
Título: Information Security Management Systems – Fundamentals and Vocabulary
Situação: Ainda nos primeiros estágios de desenvolvimento. Previsão de publicação como norma inter-
nacional: 2008/2009.
Aplicação: Apresentar os principais conceitos e modelos de SI.
Número: ISO IEC 27001:2005
Título: Information Security Management Systems - Requirements
Situação: Norma aprovada e publicada pela ISO em 15/10/2005. A ABNT publicará como Norma
Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006.
Aplicação: Todas as Organizações; define requisitos para estabelecer, implementar, operar, monitorar,
revisar, manter e melhorar um SGSI. É a norma usada para fins de certificação e substitui a norma Britânica
BS 7799-2:2002. Será a base para as Organizações que desejem implantar um SGSI.
Número: ISO IEC 27002:2005 (Atual ISO IEC 17799)
Título: Information Technology – Code of Practice for IS Management
Situação: Norma aprovada e publicada pela ISO em 15/06/2005. No Brasil, a ABNT publicou como
Norma Brasileira NBR ISO IEC 17799 no dia 24/08/2005. A partir de 2007, será numerada como NBR
ISO IEC 27002.
Aplicação: Guia prático de diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a
gestão de SI em uma Organização. Os objetivos de controle e os controles atendem aos requisitos iden-
tificados na análise/avaliação de riscos.
Número: ISO IEC 1 st WD 27003
Título: Information Security Management Systems - Implementation Guidance
Situação: Em desenvolvimento, denominado de WD - Working Draft. Previsão de publicação como
norma internacional: 2008-2009.
Aplicação: Fornecer um guia prático para implementação de um SGSI, baseado na ISO IEC 27001.
6. INFOSEC COUNCIL – 32
8. PROGRAMAS DE CONSCIENTIZAÇÃO EM SI
Qual o valor informação que você possui?
A pergunta acima é fundamental para iniciar a maioria das campanhas sobre segurança
da informação em empresas ou instituições.
Na verdade, quando falamos em segurança da informação não nos referimos apenas
a algo que pertence somente à instituição na qual realizamos o nosso trabalho.A segu-
rança da informação traz consigo um pouco de cada um de nós porque somos nós
quem produzimos a informação. Portanto, alterar as informações institucionais é o
mesmo que alterar informações pessoais, e ninguém deseja ter sua privacidade inva-
dida ou seus segredos íntimos revelados. A preservação da intimidade é algo natural
às pessoas e às sociedades humanas.
É por esse motivo que o responsável pela conscientização em relação à segurança da informação deve
iniciar seu trabalho pelas pessoas que trabalham na instituição e expandir gradativamente sua conscienti-
zação para a sociedade. Somente assim poderá atingir corações e mentes, sensibilizando-os para um tema
tão delicado e com presença tão constante na sociedade contemporânea.
Vejamos um pequeno exemplo de como fazer um trabalho de conscientização.Tomaremos como exem-
plo o relato de uma experiência sobre a utilização do e-mail coorporativo.
Certa vez, trabalhando em uma Organização pública eu precisava alertar as pessoas das vulnerabilidades
a que elas estavam expostas ou que expunham suas instituições com o simples uso do e-mail via Internet.
Então enviei, durante uma campanha de conscientização, um e-mail com o seguinte texto, que expressa a
mais pura verdade técnica:
“Você sabia que os administradores dos servidores de rede, em especial os dos servidores de e-mail, podem ler
seus e-mails com grande facilidade?”
Como podemos constatar, o e-mail acima teve por objetivo despertar no Usuário um sentimento de
invasão de privacidade, já que o fato nele relatado não é de conhecimento da maioria das pessoas que
utilizam os sistemas de correio eletrônico.
As reações ao e-mail foram diversas. A primeira veio da área de Tecnologia da Informação, que nos acusou
Número: ISO IEC 2nd WD 27004
Título: Information Security Management - Measurements
Situação: Vários comentários já foram discutidos e incorporados ao projeto. Previsão de publicação
como norma internacional: 2008-2009.
Aplicação: Fornece diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficá-
cia dos controles de SI implementados, dos processos de SI e do SGSI.
Número: ISO IEC 2 nd CD 27005
Título: Information Security Management Systems - Information Security Risk Management
Situação: Em estágio avançado, vem sendo discutido há mais de 2 anos. Previsão de publicação como
norma internacional: 2007.
Aplicação: Fornece diretrizes para o gerenciamento de riscos de SI.
Ariosto Farias Jr. – Delegado do Brasil do Comitê ISO IEC JTC1/SC27, Coordenador do ABNT/CB21/SC02 e
Chairman do THE BRAZILIAN 7799 USER GROUP
INFOSEC COUNCIL – 33
7. INFOSEC COUNCIL – 34 INFOSEC COUNCIL – 35
a cada informação produzida uma nota que expresse o seu valor. Feito isso, verifique se algum documen-
to importante será deixado sobre a mesa após o fim da rotina diária ou mesmo numa simples saída para
o almoço.
Como poderemos verificar, é muito fácil fazer uma campanha de segurança quando buscamos envolver
nossos colaboradores e executivos de forma pessoal. Outro fator muito importante é solicitar a colabo-
ração de todos os setores da empresa. Faça uma pequena reunião com todos: jurídico, recursos humanos
e capacitação. Conscientize todos sobre a importância de sua participação para o sucesso da ação.
Você tem em mãos um assunto que está na moda.Todos nós estamos permanentemente expostos aos
riscos na sociedade moderna. Ajudar as pessoas com a sua proteção pessoal é a melhor maneira de se
criar um ambiente positivo em relação à segurança da informação no mundo corporativo.
Ao compreendermos o valor das informações que estão em nossas mãos poderemos aumentar o nível
de segurança na sociedade, e isso só é possível pela conscientização. Lembre-se de João Batista, aquele
personagem bíblico que falava que era a voz que clamava no deserto. O responsável pela segurança da
informação é o João Batista da instituição.
TC João Rufino de Sales
Revisão – Marcelo Felipe Moreira Persegona M.S.C.
de quebrar a confiança do Usuário na sua área e aproveitaram a oportunidade para informar que jamais
os administradores da instituição fizeram qualquer tipo de acesso a contas particulares dos servidores. A
segunda reação veio dos Usuários, que queriam saber se realmente essa prática existia na instituição. Para
acalmar os ânimos, comunicamos que o e-mail apenas informava que era fácil aos administradores de rede
terem acesso a tudo que trafega pela sua rede de computadores, e que o alerta contido no e-mail não
significava que os mesmos estivessem fazendo isso.
Polêmica à parte, a maioria dos nossos Usuários, a partir de uma simples mensagem de e-mail, ficou bas-
tante conscientizada da necessidade de cuidar do que escrevem em suas mensagens eletrônicas, e apren-
deram que a única mensagem segura para se postar em um e-mail é aquela que em nenhuma hipótese
as comprometeriam - a qual poderia ser lida por qualquer um durante o percurso entre o emissor e o
destinatário.
Outro ponto interessante que pode ser tratado com facilidade diz respeito à classificação das infor-
mações.Toda informação, seja ela da instituição ou pessoal, tem um valor intrínseco, mas somente algu-
mas delas possuem potencial para causar prejuízo se forem disponibilizadas de maneira inadequada.
Alguns autores dizem que a diferença de uma pessoa bem sucedida e uma pessoa comum é a sua capaci-
dade de decidir e separar adequadamente o que é urgente e o que é importante. Com as informações
acontece algo bastante semelhante. O segredo do sucesso está em proteger aquelas mais importantes.
Quando falamos sobre o assunto nas instituições, a maioria das pessoas pensa assim: “De novo aqueles
paranóicos da segurança querendo colocar o carimbo de secreto em todos os documentos e mandan-
do aquela cartinha dizendo que quem revelar os segredos vai para rua”. É justamente esse comporta-
mento negativo em relação a segurança que precisa ser revertido.
O assunto, como disse, é de difícil abordagem e não vale a pena para quem precisa chegar num auditório
falando sobre a importância da informação e sobre os graus de sigilo adotados pela sua instituição. Ao
invés disso, faça o seguinte: implemente um plano de visitas aos locais de trabalho de cada pessoa, do dire-
tor ao mais humilde funcionário, reúna um grupo de no máximo dez pessoas e chegue no horário em
que todos estejam envolvidos em suas atividades de rotina. Eu descobri nas minhas visitas que o único
papel que as pessoas conseguem atribuir de maneira palpável à noção de valor é ao papel moeda. Isso
mesmo, ao dinheiro. Ele é um excelente assistente para o seu trabalho de informar ao Usuário da
importância de atribuir segurança e proteção às informações.
Na maioria das vezes você vai encontrar sobre as mesas um número considerável de documentos sem
o menor tratamento de segurança, quer seja em meio físico ou digital. Sugira que cada colaborador anexe
8. INFOSEC COUNCIL – 37
A lista, que nunca se esgota, inclui planos estratégicos, tecnologia, listas de clientes, dados de funcionários,
orçamentos, dados contábeis e financeiros, idéias, projetos de marketing, planos de fusões e/ou incorpo-
rações, estratégias de relações trabalhistas, chegando até a reveses momentâneos e superáveis, mas de
impacto negativo sobre a imagem da empresa.
A proteção dessas informações, que estão entre os bens da empresa e integram seus ativos, é parte das
atividades diárias da organização como um todo. Não pode ser vista como responsabilidade de uma área
isolada, porque as informações estão no meio que as contém (papéis, disquetes, computadores etc.) e,
principalmente, na cabeça de qualquer um que delas tenha conhecimento.
Qualquer programa de proteção de informações deve, portanto, prever ações de proteção de meios e
ambientes, além de ser amparado por procedimentos e atitudes dos funcionários, sem o qual não atingirá
seus objetivos.
Algumas noções podem orientar programas de divulgação, como, por exemplo, a informação, que é de pro-
priedade da empresa e não do funcionário; a discrição, que deve orientar as atitudes de proteção; os pro-
cedimentos, que devem estar estabelecidos formalmente etc.
No ambiente físico, podem ser desenvolvidas ações de proteção sobre documentos em geral, originados da
empresa ou a ela destinados. Como regra geral, todos os documentos são importantes e são de pro-
priedade da empresa,cabendo dispensar-lhe o devido cuidado no recebimento,transporte,manuseio e guar-
da, para que possam produzir o efeito desejado.
Essa proteção deve alcançar materiais como impressos, anotações, cópias, carbonos, planos, diagramas, cro-
quis, mapas e outros, bem como partes, rascunhos ou fragmentos, além de fotos, negativos, slides, fitas de
vídeo e outros suportes de imagens, materiais gráficos das diversas fases de produção de documento clas-
sificado, materiais de informática de maneira geral, inclusive listagens.
A proteção desses documentos e materiais somente será efetiva se acompanhada da proteção dos ambi-
entes físicos em que se encontram e aqueles onde são produzidas ou discutidas as informações sensíveis,
assim como os sistemas pelos quais essas informações circulam.
Esses tópicos são complexos por tratarem da proteção contra monitoramento, transmissão ou intercep-
tação de comunicações, quer verbal, quer por telefone, fax, microondas, rádio, Internet ou o que seja, o
que exige controle sobre áreas, conhecimento técnico e equipamentos que permitam detecção de dis-
positivos, verificação constante de linhas, acompanhamento de manutenções, limpezas, entregas, retiradas
de móveis etc.
9. AMBIENTE FÍSICO E AMBIENTE VIRTUAL: TRATAMENTOS ISOLADOS?
Transmitimos e queremos proteger a informação independente de onde ela
esteja: ambiente físico, ambiente virtual ou na mente das pessoas.
O ambiente físico deve ser contemplado no processo de conscientização
da informação do Usuário, o que é mais fácil nas empresas onde já existe
um bom tratamento das questões de segurança patrimonial. Em geral, nes-
sas empresas também já existe uma percepção clara da importância das
normas e de seu cumprimento, o que faz com que a migração dessa per-
cepção para o ambiente virtual se dê de forma natural, desde que esti-
mulada.
Importante é dar ao Usuário uma visão clara de que as informações a pro-
teger estão por toda parte, de modo que os ambientes físico e virtual não
podem ser tratados de maneira excludente ou isolada.
Com efeito, a livre circulação de informações é condição de vida e de trabalho, de acesso a tecnologias e
a métodos de produção, o que faz com que ela esteja em toda parte, por necessidade de negócios e de
organização social.
Mas a informação também é vital para a atividade criminosa contra as empresas, o que por si justifica a
conscientização do Usuário para a importância da proteção das informações nos diversos ambientes em
que ela circula.
Um programa de proteção e conscientização pode ser amparado pelo conhecimento de alguns cami-
nhos possíveis para a realização dessa proteção e pela integração dos Usuários nas medidas de proteção.
Essa proteção pode começar por um inventário das informações empresariais a serem protegidas, e aí se
incluem todas aquelas que poderão ser utilizadas em prejuízo da empresa se forem do conhecimento de
outras pessoas além das que delas necessitam para realizar seu trabalho.
Outra providência é a classificação das informações para efeito de uniformização da linguagem dentro da
empresa, além dos critérios de classificação para evitar a inclusão de informações sem maior importância,
para que não se deixe de incluir dados que, depois, se percebe que eram vitais.
INFOSEC COUNCIL – 36
9. INFOSEC COUNCIL – 38 INFOSEC COUNCIL – 39
10. SI EXTRAPOLANDO A ORGANIZAÇÃO
Quanto mais o Usuário praticar a segurança, mais protegida a Organização estará.
Segurança da Informação pode ser entendida como o processo de proteger informações garantindo sua inte-
gridade, disponibilidade e confidencialidade.
A adoção de um modelo corporativo de gestão de segurança da informação permite à organização equa-
cionar os desafios de proteção da informação levando em conta elementos essenciais para a segurança:
ambientes físico e lógico, pessoas e processos.
E por que não extrapolar esse modelo para fora da organização e incorporar as melhores práticas de segu-
rança em nossas vidas? A conscientização de nossas famílias no ambiente doméstico é tão importante quan-
to no ambiente corporativo.
No ambiente físico, podemos considerar o cuidado com as mídias de computador (CDs, disquetes, DVDs
etc.) onde são armazenados os backups dos computadores domésticos. O cuidado com o manuseio dos
próprios computadores seguindo padrões para instalação elétrica e cabeamento de dados, proteção contra
danos ambientais (calor, umidade, chuva etc.) e a restrição de alimentos, bebidas e fumo próximos aos
equipamentos.
O ambiente lógico traz diferentes ameaças pelo crescente aumento do uso da Internet. O indiscriminado
acesso a diferentes websites abre a possibilidade de infecção dos computadores por softwares maliciosos
como: vírus, bombas lógicas (códigos que permanecem inativos por um determinado período de tempo),
cavalos de tróia (códigos maliciosos“disfarçados” de programas inofensivos) e worms (programas que rodam
de forma independente).
Outro ponto de atenção é o acesso feito a partir de computadores domésticos a websites bancários. Nesse
caso, as boas práticas de segurança são tão importantes na empresa como em casa, pois as mais avançadas
barreiras eletrônicas de proteção conseguem bloquear a ação dos fraudadores eletrônicos.
Sem orientação adequada, o Internauta doméstico se expõe aos mais variados truques e vulnerabilidades
dos fraudadores eletrônicos, que têm como finalidade o roubo de dados bancários para efetuar transações
financeiras indevidas.
Também os sites de comércio eletrônico, amplamente acessados a partir do ambiente doméstico, merecem
atenção redobrada quando se faz uso de cartões de crédito para o pagamento de compras eletrônicas.
A invasão de sistemas, por seu turno, pode ocorrer por conta da habilidade do invasor, mas pode ocor-
rer também por conta de informações obtidas na própria empresa, sem maiores dificuldades, a não ser
que os Usuários internos estejam bem informados e comprometidos com a proteção.
Um Usuário não informado e não comprometido com a empresa pode fornecer informações sensíveis a
terceiros nas mais diversas situações, tais como:
• Para demonstrar que é bem informado(a);
• Compulsivamente, sob o efeito de álcool ou outras drogas;
• Em restaurantes e encontros sociais, perto de pessoas que não conhece e que podem estar ali somente
porque ele(a) está e porque sabem que costuma falar demais fora da empresa;
• Para agradar pessoas a quem deve favores ou de quem quer favores;
• Por dinheiro ou para obter vantagens;
• Por estar apaixonado(a) por pessoa cujo objetivo é a informação e que não hesita em jogar com
emoções para conseguir seu intento, para uso próprio ou a serviço de outros;
• Por estar sendo chantageado(a) etc.
A espionagem industrial é desenvolvida para obter segredos empresariais, geralmente associados ao dife-
rencial competitivo da empresa visada.Traz imensos problemas para governos, empresas, universidades,
institutos de pesquisa e outros.
Vemos, então, que é um engano a empresa não dispensar ao assunto a atenção devida; pode ser vítima
de espionagem e perder mercado, funcionários, produtos, oportunidades e imagem, sem entender o
porquê.
A proteção adequada assenta-se sobre a proteção do ambiente físico, do ambiente virtual e deve contar
com a participação consciente dos Usuários nas medidas e programas de proteção, sem a qual as diver-
sas barreiras, físicas ou virtuais, poderão ser vencidas de alguma forma.
Dioniso Campos – Gerente de Seg. Corporativa / Nextel e VP / ASIS e Ricardo Franco Coelho – Coordenador
Segurança-SP,VP da ASIS e ABSEG
10. INFOSEC COUNCIL – 40
12. CONCLUSÃO
Por muito tempo – e ainda hoje – considerada como um “departamento” ou sim-
plesmente uma “atividade a mais” dentro da área de Infra-estrutura de TI, a
Segurança da Informação sofreu uma radical mudança em sua percepção dentro
das Organizações.
Seja pela crescente e cada vez mais complexa regulamentação emergente, que
atribui novas e pesadas responsabilidades aos Gestores das Empresas, seja pela
diferenciação exigida pelos respectivos mercados, a SI passa a ser percebida
pelo Negócio como um atributo fundamental para a consecução dos seus
objetivos estratégicos. Não mais uma restrição de acesso às informações, mas
um elemento de qualificação dos processos. Não mais como uma questão téc-
nica ou tecnológica, mas um fator que permeia toda a cadeia do Negócio e o
viabiliza.
E, principalmente, não mais uma responsabilidade exclusiva de um técnico enclausurado em uma torre
sombria, permanentemente debruçado sobre manuais e registros de incidentes, às voltas com temas
como vírus, ataques, hackers, dispositivos sensores de incidentes físicos, falta de energia, links corrompidos
etc.
A Gestão do Risco tornou-se uma questão de negócio, responsabilizando toda a hierarquia da
Organização, sendo uma preocupação que atinge desde o Board Director até o mais singelo Colaborador.
Co-responsabilidade é a palavra chave. Fundamental então se torna a ampla compreensão dessa questão.
As diversas Áreas da Organização devem cerrar fileiras em torno do tema estabelecendo verdadeiras
parcerias em que a proatividade seja a regra. Por exemplo:
• O Gestor do Negócio estabelece os requisitos básicos para a Operação;
• O Gestor Jurídico deve analisar amplamente e acompanhar o ambiente legal e fiscal, estabele-
cendo as regras de adequação e atendimento às regulamentações internas e externas;
• O Gestor Financeiro deve prover o atendimento às imposições dos Acionistas, sua expectativa
de retorno e, principalmente, de perenidade do Negócio;
• O Gestor Operacional deve propor alternativas de processos que atendam às regras de
fornecimento dos produtos e serviços;
• O Gestor deTI (CIO, CTO, Sistemas etc.) deve garantir que as boas práticas estejam presentes
em cada sistema, desde a sua concepção;
O elemento humano pode ser considerado fator decisivo para a implementação de boas práticas de segu-
rança fora da organização. Uma nova modalidade de ataque, chamada engenharia social, vem sendo massi-
vamente aplicada em pessoas desinformadas e ingênuas.
Os tipos mais comuns de ataques são:
• Por telefone: Uma pessoa se identifica como funcionário de uma instituição bancária solicitando a
confirmação ou recadas tramento de dados pessoais;
• Por e-mail: Uma mensagem solicitando cadastramento de dados pessoais ou informando pendên-
cias financeiras remetem o internauta a websites falsos;
• Salas de bate-papo (Chat): Os golpistas vão ganhando a confiança das vítimas até obterem seus
dados pessoais, como telefone, endereço residencial, endereço escolar etc.;
• Pessoalmente: As pessoas são abordadas geralmente por golpistas bem vestidos, educados e que
se expressam muito bem, tentando obter algum tipo de informação.
O grande problema é que muitos Internautas domésticos, independentemente da idade, estão dando seus
primeiros passos na Internet e não têm noção dos perigos existentes na “grande rede”.
Muitos provedores de acesso à Internet, e principalmente a mídia, têm dado atenção aos golpes exis-
tentes e ajudado na divulgação e prevenção.
Christiane Mecca
INFOSEC COUNCIL – 41
11. INFOSEC COUNCIL – 42 INFOSEC COUNCIL – 43
• A Auditoria Interna, inclusive a de Sistemas, deve zelar para que as regras de negócio sejam
respeitadas e cumpridas com segurança e confiabilidade;
• O Gestor de Marketing, junto com o Gestor de RH, deve garantir que as mensagens, as
atribuições e a atitude individual esperadas (e exigidas!) de cada Colaborador sejam por ele co-
nhecidas, praticadas e sua responsabilidade seja cobrada;
• O CSO, por fim, deve observar e fazer observar todas as regras de melhor utilização da TI e
de operação dos processos criados.
No exemplo acima, pode até parecer que estão simplesmente enumeradas as funções básicas de cada
área. E é verdade! A melhor garantia de que os processos de uma Organização tenham uma boa atuação
e de que os investimentos e a sua própria reputação estejam protegidos é a colocação em prática des-
ses princípios fundamentais. Com isso, criar-se-á um ambiente em que as responsabilidades não sejam vis-
tas como fronteiras estritamente definidas, mas como uma atribuição constante e permanente; uma
questão maior que a todos envolve e afeta.
Uma prática que tem apresentado bons resultados é justamente a criação de Comitês de Segurança da
Informação, compostos por representantes de todas as áreas acima mencionadas. É uma forma de unir os
diversos interesses setoriais em torno de uma agenda comum.
Não por acaso, este tema de “Formação de Cultura em SI” foi o escolhido como o primeiro trabalho a
ser tratado pelo INFOSEC COUNCIL. Ele foi derivado exatamente dessa visão compartilhada pelos
Profissionais do Grupo, com enorme experiência no tema, de que a Cultura é o ponto primeiro de todo
o trabalho a ser desenvolvido pelos Gestores de SI das Organizações.
Pouco ou nada adiantará a Organização empregar esforços, investimentos, planejamento e dedicação à
Segurança da Informação se isso tudo não for precedido de uma verdadeira “evangelização” de toda a
Equipe em prol desse ambiente.Afinal, quando tudo falha, a única coisa que pode fazer a diferença – e faz
– é a atitude das pessoas.
Em resumo, todo o trabalho em Segurança da Informação deverá sempre compreender um trabalho de
inter-relacionamento e de uma verdadeira formação de Espírito de Equipe dentro da Organização.
O compartilhamento de objetivos e o alinhamento estratégico são fundamentais.
Essa é a base.
Astor Calasso - diretor / ISACA-SP