O documento discute três padrões importantes para segurança da informação: COBIT, ITIL e NBR 17799. COBIT fornece um framework para governança e gestão de TI alinhada aos objetivos de negócio. ITIL foca na entrega eficaz de serviços de TI. E NBR 17799 fornece boas práticas para gestão de segurança da informação.
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
Este documento apresenta os objetivos e conteúdo de um curso e-learning sobre a norma NBR ISO/IEC 27001:2006. O curso visa ensinar os requisitos da norma e como implantar e manter um sistema de gestão de segurança da informação eficaz. O conteúdo programático inclui módulos sobre conceitos de segurança da informação, visão geral das normas ISO 27001 e ISO 17799, e interpretação dos requisitos da norma ISO 27001.
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
O documento descreve os serviços e treinamentos oferecidos pela empresa CompanyWeb em governança e gestão de TI. A CompanyWeb tem 14 anos de experiência e presta serviços para grandes empresas nos setores de petróleo, bancos, bebidas e outros. O documento também apresenta um consultor especializado da empresa e detalha os diversos cursos e certificações oferecidos em áreas como governança, gestão de riscos, segurança da informação e metodologias ágeis.
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
Demonstrar como o processo de gerenciamento de segurança da informação(SI) da(o) ITIL, pode ser utilizado como melhor prática, somando a outras, para trazer SI às organizações.
Apresentação realizado no Sábado com TIC Masters da Sucesu Ceará
Segurança da Informação com Windows ServerGuilherme Lima
O documento discute segurança da informação em Windows Server 2008. Ele aborda noções fundamentais de segurança da informação, gestão de segurança da informação, riscos, ameaças e vulnerabilidades em TI, e estabelecimento de controles e contramedidas de segurança. A agenda inclui uma discussão de 120 minutos sobre cada um desses tópicos, além de 90 minutos sobre perícia forense.
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O documento apresenta uma comparação entre as normas ISO 31000 e ISO 27005 para gestão de riscos. A norma ISO 31000 fornece princípios e diretrizes gerais para gestão de riscos, enquanto a ISO 27005 foca especificamente na gestão de riscos de segurança da informação. O autor analisa os conceitos apresentados em cada norma e avalia o nível de aderência entre elas.
O documento discute três padrões importantes para segurança da informação: COBIT, ITIL e NBR 17799. COBIT fornece um framework para governança e gestão de TI alinhada aos objetivos de negócio. ITIL foca na entrega eficaz de serviços de TI. E NBR 17799 fornece boas práticas para gestão de segurança da informação.
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
Este documento apresenta os objetivos e conteúdo de um curso e-learning sobre a norma NBR ISO/IEC 27001:2006. O curso visa ensinar os requisitos da norma e como implantar e manter um sistema de gestão de segurança da informação eficaz. O conteúdo programático inclui módulos sobre conceitos de segurança da informação, visão geral das normas ISO 27001 e ISO 17799, e interpretação dos requisitos da norma ISO 27001.
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
O documento descreve os serviços e treinamentos oferecidos pela empresa CompanyWeb em governança e gestão de TI. A CompanyWeb tem 14 anos de experiência e presta serviços para grandes empresas nos setores de petróleo, bancos, bebidas e outros. O documento também apresenta um consultor especializado da empresa e detalha os diversos cursos e certificações oferecidos em áreas como governança, gestão de riscos, segurança da informação e metodologias ágeis.
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
Demonstrar como o processo de gerenciamento de segurança da informação(SI) da(o) ITIL, pode ser utilizado como melhor prática, somando a outras, para trazer SI às organizações.
Apresentação realizado no Sábado com TIC Masters da Sucesu Ceará
Segurança da Informação com Windows ServerGuilherme Lima
O documento discute segurança da informação em Windows Server 2008. Ele aborda noções fundamentais de segurança da informação, gestão de segurança da informação, riscos, ameaças e vulnerabilidades em TI, e estabelecimento de controles e contramedidas de segurança. A agenda inclui uma discussão de 120 minutos sobre cada um desses tópicos, além de 90 minutos sobre perícia forense.
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O documento apresenta uma comparação entre as normas ISO 31000 e ISO 27005 para gestão de riscos. A norma ISO 31000 fornece princípios e diretrizes gerais para gestão de riscos, enquanto a ISO 27005 foca especificamente na gestão de riscos de segurança da informação. O autor analisa os conceitos apresentados em cada norma e avalia o nível de aderência entre elas.
Este documento apresenta um projeto de revisão da norma ABNT NBR ISO/IEC 27002 sobre controles de segurança da informação. Ele descreve a estrutura da norma, incluindo os objetivos, escopo, referências normativas e termos e definições. Além disso, fornece diretrizes gerais sobre gestão de riscos, seleção e implementação de controles de segurança da informação.
O documento discute o processo de implementação e certificação da norma ISO 27001. Apresenta os principais requisitos das normas ISO 27001 e ISO 27002 no Brasil e descreve os passos para implementar um Sistema de Gestão de Segurança da Informação (ISMS) de acordo com a ISO 27001, incluindo a avaliação de riscos, declaração de aplicabilidade, plano de tratamento de riscos e modelo PDCA.
A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
A norma ISO 27002 fornece um conjunto de controles de segurança da informação em 11 capítulos e 133 controles, baseada em melhores práticas. Embora não seja uma norma técnica, ela é útil para melhorar a segurança da informação e a governança de TI de uma organização e diferenciá-la de competidores, além de auxiliar no cumprimento de legislações. Seu objetivo principal é salvaguardar a confidencialidade, integridade e disponibilidade da informação de uma organização.
O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
O documento estabelece diretrizes e controles para a segurança da informação de acordo com a norma ISO 27001. Inclui políticas sobre segurança, gestão de ativos, segurança física, operações e recursos humanos para assegurar a confidencialidade, integridade e disponibilidade da informação da organização.
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
1. Este trabalho apresenta um estudo de caso realizado na Companhia Hidro Elétrica do São Francisco (CHESF) para analisar a utilização de políticas de segurança de acordo com a norma ISO/IEC 27002.
2. Foram realizadas entrevistas e questionários com funcionários do departamento de Tecnologia da Informação da CHESF para avaliar o nível de entendimento sobre a política de segurança adotada.
3. Os resultados mostraram a importância de descrever claramente a política de segurança para os funcionários, de forma que eles tenham con
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
Este documento apresenta uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. A metodologia simplifica o processo de planejamento, implantação, análise crítica e modificação do sistema, permitindo classificar informações, identificar riscos e selecionar controles de segurança. A metodologia visa tornar a implantação de um SGSI acessível a qualquer organização.
A norma ISO 27002 fornece diretrizes e princípios para implementar a segurança da informação e estabelecer um sistema de gestão de segurança da informação. Ela cobre 15 áreas diferentes como política de segurança, gestão de ativos, segurança física, operações, acesso, aquisição de sistemas, incidentes, continuidade e conformidade. O objetivo é ajudar organizações a gerenciar riscos de segurança da informação e proteger ativos de informação.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
O documento discute a implementação de sistemas de gestão da segurança da informação de acordo com as normas ISO 27000. A norma ISO 27001 define os requisitos para um sistema de gestão de segurança da informação efetivo. A implementação deve seguir o ciclo PDCA de planejamento, implementação, verificação e ação para melhoria contínua.
1) O documento apresenta os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
2) A norma descreve os requisitos gerais para o SGSI, incluindo a necessidade de documentação e controle de documentos.
3) As responsabilidades da direção em relação ao SGSI são detalhadas, incluindo comprometimento, gestão de recursos, auditorias internas e análise crítica.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
O documento discute a ISO 27001, um padrão internacional para sistemas de gestão de segurança da informação. Ele explica os princípios, benefícios e etapas de implementação da ISO 27001, e fornece um caso de sucesso da Algar Tech, a primeira empresa brasileira certificada pela ISO 27001.
O documento descreve os requisitos para implementar um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001. O SGSI deve ser estabelecido considerando o contexto dos riscos de negócio da organização e incluir atividades como análise de riscos, tratamento de riscos, auditorias internas, análise crítica pela direção e melhoria contínua. A direção deve fornecer recursos e comprometimento para o sucesso do SGSI.
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
O documento discute exercícios de gestão da segurança da informação baseados nas normas ISO 27001, 27002 e 27005. O resumo apresenta uma questão sobre planos de gestão de continuidade do negócio e a necessidade de testes e atualizações periódicas. Além disso, discute a importância da análise crítica da política de segurança da informação considerando tendências de ameaças e vulnerabilidades.
Este documento resume três normas importantes para a gestão de segurança da informação: NBR ISO/IEC 27001, 27002 e 27005. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação. A NBR ISO/IEC 27002 fornece práticas recomendadas para a gestão de segurança da informação. A NBR ISO/IEC 27005 trata da gestão de riscos de segurança da informação.
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
Demonstrando como o processo de gerenciamento de segurança da informação(SI) do framework de gerenciamento de serviços de TI, ITIL, pode ser utilizado como melhor prática, somando a outras, de segurança cibernética.
Governança de TI e Segurança da InformaçãoTI Infnet
O documento discute a importância da governança de TI e segurança da informação, destacando que ambas lidam com pessoas, processos e tecnologias. A governança de TI alinha objetivos com o negócio e otimiza recursos, enquanto a segurança da informação protege ativos, gerencia riscos e atende requisitos legais. O documento também apresenta os frameworks Cobit e ISO 27000, que fornecem melhores práticas para governança e segurança.
O documento discute a importância da gestão da segurança da informação nas organizações. Gerenciar a segurança da informação requer definir, operar e monitorar um sistema de gestão de segurança da informação para manter os riscos de segurança dentro de níveis aceitáveis. Isso envolve estabelecer um ISMS de acordo com a política da empresa, manter um plano de tratamento de riscos de segurança da informação e monitorar e revisar regularmente o ISMS.
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT® 5 na segurança da
informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de Segurança da informação e boas práticas encontradas na literatura, de forma a auxiliar na implementação de uma
eficiente governança e gestão de segurança da informação.
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
O documento apresenta um resumo da aula sobre segurança e auditoria de sistemas. Ele discute a importância de organizar a segurança através de um modelo de gestão corporativa e comitês de segurança, e introduz conceitos como ativos tangíveis e intangíveis, motivação para segurança, normas e políticas de segurança.
Este documento apresenta um projeto de revisão da norma ABNT NBR ISO/IEC 27002 sobre controles de segurança da informação. Ele descreve a estrutura da norma, incluindo os objetivos, escopo, referências normativas e termos e definições. Além disso, fornece diretrizes gerais sobre gestão de riscos, seleção e implementação de controles de segurança da informação.
O documento discute o processo de implementação e certificação da norma ISO 27001. Apresenta os principais requisitos das normas ISO 27001 e ISO 27002 no Brasil e descreve os passos para implementar um Sistema de Gestão de Segurança da Informação (ISMS) de acordo com a ISO 27001, incluindo a avaliação de riscos, declaração de aplicabilidade, plano de tratamento de riscos e modelo PDCA.
A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
A norma ISO 27002 fornece um conjunto de controles de segurança da informação em 11 capítulos e 133 controles, baseada em melhores práticas. Embora não seja uma norma técnica, ela é útil para melhorar a segurança da informação e a governança de TI de uma organização e diferenciá-la de competidores, além de auxiliar no cumprimento de legislações. Seu objetivo principal é salvaguardar a confidencialidade, integridade e disponibilidade da informação de uma organização.
O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
O documento estabelece diretrizes e controles para a segurança da informação de acordo com a norma ISO 27001. Inclui políticas sobre segurança, gestão de ativos, segurança física, operações e recursos humanos para assegurar a confidencialidade, integridade e disponibilidade da informação da organização.
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
1. Este trabalho apresenta um estudo de caso realizado na Companhia Hidro Elétrica do São Francisco (CHESF) para analisar a utilização de políticas de segurança de acordo com a norma ISO/IEC 27002.
2. Foram realizadas entrevistas e questionários com funcionários do departamento de Tecnologia da Informação da CHESF para avaliar o nível de entendimento sobre a política de segurança adotada.
3. Os resultados mostraram a importância de descrever claramente a política de segurança para os funcionários, de forma que eles tenham con
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
Este documento apresenta uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. A metodologia simplifica o processo de planejamento, implantação, análise crítica e modificação do sistema, permitindo classificar informações, identificar riscos e selecionar controles de segurança. A metodologia visa tornar a implantação de um SGSI acessível a qualquer organização.
A norma ISO 27002 fornece diretrizes e princípios para implementar a segurança da informação e estabelecer um sistema de gestão de segurança da informação. Ela cobre 15 áreas diferentes como política de segurança, gestão de ativos, segurança física, operações, acesso, aquisição de sistemas, incidentes, continuidade e conformidade. O objetivo é ajudar organizações a gerenciar riscos de segurança da informação e proteger ativos de informação.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
O documento discute a implementação de sistemas de gestão da segurança da informação de acordo com as normas ISO 27000. A norma ISO 27001 define os requisitos para um sistema de gestão de segurança da informação efetivo. A implementação deve seguir o ciclo PDCA de planejamento, implementação, verificação e ação para melhoria contínua.
1) O documento apresenta os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
2) A norma descreve os requisitos gerais para o SGSI, incluindo a necessidade de documentação e controle de documentos.
3) As responsabilidades da direção em relação ao SGSI são detalhadas, incluindo comprometimento, gestão de recursos, auditorias internas e análise crítica.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
O documento discute a ISO 27001, um padrão internacional para sistemas de gestão de segurança da informação. Ele explica os princípios, benefícios e etapas de implementação da ISO 27001, e fornece um caso de sucesso da Algar Tech, a primeira empresa brasileira certificada pela ISO 27001.
O documento descreve os requisitos para implementar um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001. O SGSI deve ser estabelecido considerando o contexto dos riscos de negócio da organização e incluir atividades como análise de riscos, tratamento de riscos, auditorias internas, análise crítica pela direção e melhoria contínua. A direção deve fornecer recursos e comprometimento para o sucesso do SGSI.
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
O documento discute exercícios de gestão da segurança da informação baseados nas normas ISO 27001, 27002 e 27005. O resumo apresenta uma questão sobre planos de gestão de continuidade do negócio e a necessidade de testes e atualizações periódicas. Além disso, discute a importância da análise crítica da política de segurança da informação considerando tendências de ameaças e vulnerabilidades.
Este documento resume três normas importantes para a gestão de segurança da informação: NBR ISO/IEC 27001, 27002 e 27005. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação. A NBR ISO/IEC 27002 fornece práticas recomendadas para a gestão de segurança da informação. A NBR ISO/IEC 27005 trata da gestão de riscos de segurança da informação.
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
Demonstrando como o processo de gerenciamento de segurança da informação(SI) do framework de gerenciamento de serviços de TI, ITIL, pode ser utilizado como melhor prática, somando a outras, de segurança cibernética.
Governança de TI e Segurança da InformaçãoTI Infnet
O documento discute a importância da governança de TI e segurança da informação, destacando que ambas lidam com pessoas, processos e tecnologias. A governança de TI alinha objetivos com o negócio e otimiza recursos, enquanto a segurança da informação protege ativos, gerencia riscos e atende requisitos legais. O documento também apresenta os frameworks Cobit e ISO 27000, que fornecem melhores práticas para governança e segurança.
O documento discute a importância da gestão da segurança da informação nas organizações. Gerenciar a segurança da informação requer definir, operar e monitorar um sistema de gestão de segurança da informação para manter os riscos de segurança dentro de níveis aceitáveis. Isso envolve estabelecer um ISMS de acordo com a política da empresa, manter um plano de tratamento de riscos de segurança da informação e monitorar e revisar regularmente o ISMS.
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT® 5 na segurança da
informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de Segurança da informação e boas práticas encontradas na literatura, de forma a auxiliar na implementação de uma
eficiente governança e gestão de segurança da informação.
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
O documento apresenta um resumo da aula sobre segurança e auditoria de sistemas. Ele discute a importância de organizar a segurança através de um modelo de gestão corporativa e comitês de segurança, e introduz conceitos como ativos tangíveis e intangíveis, motivação para segurança, normas e políticas de segurança.
Este documento discute os principais frameworks de governança e gestão de TI, como COBIT 5, ITIL e ISO 27002, e como eles se relacionam com segurança da informação. O documento também fornece um exemplo de como implementar uma campanha de conscientização em segurança da informação de acordo com a ISO 27002.
1. O documento discute os aspectos importantes na elaboração de uma Política de Segurança da Informação (PSI) em uma organização. 2. Inclui detalhes sobre como formar um comitê de segurança, partes que devem compor o documento final da PSI e a importância de oficializar a política. 3. Também fornece exemplos de estruturas comuns para PSI, incluindo diretrizes, normas e procedimentos.
O documento discute os conceitos fundamentais de segurança da informação, incluindo a gestão da segurança da informação e estrutura organizacional para sua implementação, os riscos, ameaças e vulnerabilidades em TI, e estabelecimento de controles e contramedidas de segurança.
1 - O documento apresenta o Plano Estratégico de Segurança da Informação (PESI) de uma organização, incluindo os novos desafios, a importância da governança e os objetivos de segurança da informação.
2 - O PESI é composto por quatro fases que incluem diagnóstico, requisitos, posicionamento estratégico e plano estratégico, com o objetivo de elevar a capacidade dos processos de segurança.
3 - O software Módulo Risk Manager pode auxiliar na implantação do PESI automatizando an
Este documento discute um método de gestão de riscos para sistemas de gerenciamento da segurança da informação baseado na norma AS/NZS 4360:2004. Ele propõe usar essa norma como metodologia para análise e avaliação de riscos em projetos de segurança da informação conduzidos pela norma NBR ISO/IEC 27001:2006.
O documento discute a Governança de TI e o framework CobiT. CobiT fornece melhores práticas para o controle e gerenciamento de processos de TI, cobrindo cinco áreas de escopo e 34 processos agrupados em quatro domínios: Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte, e Monitoramento e Avaliação. O documento também descreve os componentes, atividades e modelos de maturidade do CobiT.
O documento discute o framework CobiT para governança de TI. CobiT fornece melhores práticas para o controle e gerenciamento de processos de TI, cobrindo cinco áreas de governança e 34 processos de TI organizados em quatro domínios: planejamento e organização, aquisição e implementação, entrega e suporte, e monitoramento e avaliação. O documento também descreve os componentes, objetivos de controle e modelos de maturidade do CobiT.
Este documento resume a política de segurança da informação do Conselho da Justiça Federal (CJF) e aborda as principais ameaças virtuais, a política de segurança em si, a Resolução No 006/2008-CJF e os documentos acessórios que complementam a política.
O documento discute os principais aspectos da governança de TI em uma organização, incluindo um modelo genérico de governança de TI, um roteiro para a implantação da governança de TI e os principais modelos de melhores práticas, como COBIT, ITIL e PMBOK.
O documento apresenta uma série de perguntas sobre o framework COBIT. Ele aborda recursos, componentes, características, objetivos, benefícios e desafios relacionados à governança e gestão de TI com base no COBIT.
O documento discute a importância da auditoria de sistemas de informação para garantir a segurança e integridade da informação nas empresas. Ele explica como a informação é um ativo valioso que requer proteção e como as políticas de segurança, treinamento de funcionários e auditoria dos sistemas podem ajudar a mitigar riscos.
O documento discute o framework CobiT, que fornece práticas para gestão e controle de tecnologia da informação e recursos de informação. CobiT inclui 34 processos agrupados em 4 domínios e objetivos de controle para cada processo. Ele ajuda a gerenciamento a equilibrar riscos, controlar investimentos em TI e fornecer garantias sobre serviços de TI.
Este documento apresenta um projeto de revisão de norma técnica brasileira sobre sistemas de gestão de segurança da informação. Ele foi elaborado por uma comissão de estudo da ABNT com participação de várias organizações. O documento descreve os objetivos e escopo da norma, sua estrutura e processo de revisão, e fornece diretrizes e requisitos para o estabelecimento, implementação, monitoramento e melhoria contínua de sistemas de gestão de segurança da informação.
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
Este documento discute a importância da segurança da informação e fornece diretrizes para o desenvolvimento de uma política de segurança da informação. Ele explica que a segurança da informação envolve a proteção de ativos de informação contra ameaças por meio de controles como políticas, processos e hardware/software. Também fornece exemplos de itens que devem ser abordados em uma política de segurança, como uso da rede, senhas, e-mail e controle de acesso físico.
O documento discute o que é informação e política de segurança da informação (PSI), e fornece diretrizes para elaborar e implementar uma PSI em uma organização. A PSI deve estabelecer normas e procedimentos para proteger os recursos de TI e informações da empresa, e deve ser revisada periodicamente. Implementar com sucesso uma PSI requer treinamento dos funcionários e apoio da alta gestão.
O documento discute conceitos de governança de TI em organizações. Apresenta o que é governança de TI, seus stakeholders e como o alinhamento da TI com o negócio é importante. Também aborda os benefícios da governança de TI e o framework COBIT, incluindo seus objetivos, componentes e como ele se relaciona com outros padrões.
Semelhante a Política e cultura de segurança da informação - aspectos burocráticos (20)
Construtivismo Imersivo - Revisão Sistemática da LiteraturaBruno Oliveira
1. O documento apresenta uma revisão sistemática de estudos sobre o uso de tecnologias imersivas aplicadas à educação com base no paradigma construtivista.
2. Foram analisados 19 estudos empíricos que abordaram principalmente realidade virtual aplicada a ensino superior nas áreas de ciências exatas e naturais.
3. Os principais resultados apontaram aumento de motivação dos alunos, porém também apontaram desafios como precisão tecnológica e custos.
Visão geral de big data e mercado financeiroBruno Oliveira
O documento discute a supervisão de operações de alta frequência no mercado de capitais brasileiro. Apresenta a agenda do tópico, incluindo introdução ao mercado de capitais e supervisão, processos e fontes de dados utilizadas, arquitetura tecnológica e exemplo de consulta de análise de volatilidade. Também aborda os ganhos obtidos com big data e referências bibliográficas.
O documento discute o uso da Internet das Coisas (IoT) para monitorar e melhorar o meio ambiente no campus da USP. Ele aborda o monitoramento de árvores, emissão de gases e qualidade da água, identificando desafios atuais e oportunidades de usar sensores para coletar dados e tomar decisões mais informadas sobre a sustentabilidade.
O documento discute uma proposta de uso de wearables (braceletes) para pagamentos de forma segura e fácil, substituindo os atuais meios de pagamento limitados por cartões. O wearable permitiria que consumidores e comerciantes realizassem transações financeiras de forma mais rápida e simples através de biometria e interação entre usuários.
Miscelânea de ideias
Link do artigo original é este aqui:
https://medium.com/finan%C3%A7as-tecnologia/storytelling-quando-as-marcas-contam-est%C3%B3rias-de-pessoas-para-pessoas-15d7896a8231
Pensamento estratégico e geração de vantagem competitivaBruno Oliveira
O documento discute estratégias empresariais, abordando tópicos como pensamento estratégico, vantagem competitiva, tomada de decisões e formulação da estratégia por meio de missão, visão, valores, análise SWOT e hipóteses de negócio.
Projeto de pesquisa - Tecnologias imersivas e letramento financeiroBruno Oliveira
O documento discute o uso de tecnologias imersivas para melhorar o letramento financeiro de estudantes brasileiros. Atualmente, o nível de letramento financeiro no Brasil é baixo e iniciativas existentes não têm sido eficazes. As tecnologias imersivas podem fornecer experiências financeiras que precedam o conhecimento. O autor propõe desenvolver e avaliar soluções de realidade virtual para educar financeiramente estudantes.
Computação em Névoa - Introdução, estado da arte e aplicaçõesBruno Oliveira
Apresentação sobre computação em névoa
Um survey sobre os principais conceitos e o estado da arte da tecnologia e principais aplicações
Trabalho apresentação como conclusão final do curso de MBA em Internet das Coisas na Escola Politécnica da USP
O conteúdo deste trabalho foi dividido em diversas postagens, e gerou uma página no medium: https://medium.com/internet-das-coisas/tagged/n%C3%A9voa
A monografia, na íntegra, pode ser visualizada em https://pt.slideshare.net/brunosiol/monografia-computao-na-nvoa
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...Bruno Oliveira
Apresentação da resenha do artigo EmoFindAR: Evaluation of a Mobile Multiplayer Augmented Reality Game for Primary School Children
Texto da resenha em https://medium.com/finan%C3%A7as-tecnologia/avalia%C3%A7%C3%A3o-de-jogo-de-realidade-aumentada-emofindar-76740e3fef70
Revisão do uso de Realidade Virtual na EducaçãoBruno Oliveira
O documento faz uma revisão de literatura de 53 artigos sobre ambientes virtuais de aprendizagem publicados entre 1999-2009. A maioria dos estudos focou em ciência, tecnologia e matemática e usou abordagens construtivistas. As características dos ambientes virtuais que mais contribuíram para a aprendizagem foram a imersão, o senso de presença e experiências de primeira ordem.
O documento apresenta uma apresentação sobre feedbacks. Ele discute o que é feedback, como dar feedback de maneira efetiva e como dar feedbacks honestos e produtivos. A apresentação inclui três seções principais: 1) o que é feedback, 2) como dar feedback e 3) como dar feedbacks honestos e produtivos.
Apresentação utilizada para defesa do título de Especialista em Gestão de Negócio pela ESALQ/USP
Artigo pode ser visualizado em:
https://medium.com/@bruno_live/mercado-financeiro-03-an%C3%A1lise-da-proposta-de-valor-dos-novos-modelos-de-neg%C3%B3cio-no-mercado-b9c5635954df
O documento descreve um sistema de monitoramento e cuidado inteligente para idosos desenvolvido pela HUMANIZATECNO CARE. O sistema usa sensores, beacons e smartbands para monitorar padrões de movimento, detectar quedas e fornecer informações de saúde em tempo real para cuidadores. O objetivo é permitir que idosos envelheçam de forma segura e independente em suas casas.
Modelagem de sistemas - Pensamento sistêmicoBruno Oliveira
Apresentação realizada no Centro de Tecnologia Renato Archer (Campinas), em 2011, sobre aspectos de modelagem de sistemas, utilizando pensamento sistêmico
Project Model Generation - Um case de implementação de escritório de projetos...Bruno Oliveira
O documento apresenta a metodologia Project Model Generation (PMG) implantada na empresa júnior Unitec para planejamento e gerenciamento de projetos. A PMG utiliza o canvas de projeto para mapear de forma visual os principais elementos dos projetos em cinco etapas. A metodologia foi aplicada com sucesso em 10 projetos internos envolvendo 15 estagiários, atingindo aproximadamente 80% dos objetivos e 85% dos requisitos dos projetos.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
2. Política e Cultura de Segurança
26/01/2012
Bruno Silva de Oliveira– DSSI/CTI
3. Introdução
• Conteúdo baseado na unidade do curso de
especialização em Gestão da Segurança da
Informação e Comunicações na Universidade
de Brasília
• Será usada a mesma organização de conteúdo
das aulas, aproveitando em alguns pontos
para acrescentar outros autores
4. Introdução
• Autor do curso foi João Souza Neto
• Doutor em Engenharia Elétrica pela UnB, Mestre e,
Engenharia Eletrônica pelo Philips International
Institute da Holanda
• Professor do Mestrado em Gestão do
Conhecimento e Tecnologia da Informação na UnB
5. Introdução
• A apresentação seguirá a seguinte sequência:
– Normas de Segurança da Informação
– Governança de Segurança da Informação
– Política de Segurança da Informação
– Cultura de Segurança da Informação
6. NORMAS DE SEGURANÇA DA
INFORMAÇÃO
Neste capítulo, são apresentadas as principais normas de segurança da informação
nacionais e internacionais. O objetivo deste capítulo é definir o contexto normativo
sob o qual são elaborados, executados e gerenciados a governança de segurança da
informação, a política de segurança da informação e o programa de conscientização
em segurança da informação.
7. A Família de Normas ISO 27000
• Primeira norma com foco em segurança da
informação: BS 7799 (British Standard
Institute)
• Em 2001, é publicada a versão brasileira NBR
ISO 17799.
• A segunda parte da norma (sistema de gestão
das melhores práticas) se tornou a ISO 27001.
• A primeira parte da norma (melhores práticas
de segurança) se tornou a ISO 27002.
8. A Família de Normas ISO 27000
• Outras normas da família:
– ISO 27005/2008 -> Gestão de Risco em SI
– ISO 27006/2007 -> Auditoria e certificação de SI
• A ISO 27001 é a única com certificação, mas a
questão de definição do escopo para certificação,
pode ser definido como uma falha da norma,
porque possibilita que ocorra a situação da parte
certificada da organização estar em ótima
situação em SI e o restante estar em um nível
inferior
9. ISO/IEC 13335
• A norma ISSO/IEC 13335 abrange técnicas
para gerenciamento da segurança das
tecnologias da informação e de comunicação
• As funções de gerenciamento de segurança
estão estruturadas conforme abaixo:
– Visão geral (planejamento, implementação,
operação e manutenção)
– Condições ambientais e culturais
– Gerenciamento de riscos
10. Common Criteria (ISO/IEC 15408)
• Norma desenvolvida por diversos países para
avaliar a segurança da tecnologia da
informação. Logo tornou se a ISSO/IEC 15408
• O processo de avaliação dessa norma
estabelece um nível de confiança, cujos
requerimentos devem ser atendidos pela
funcionalidade de segurança dos produtos de
TI e pelas medidas de segurança aplicadas a
esses produtos.
11. Common Criteria (ISO/IEC 15408)
Parte 1: Introdução e Modelo Geral
• A parte um da norma trata ainda dos pacotes e perfis de
proteção, da avaliação dos resultados, da especificação dos
alvos de segurança, da especificação dos perfis de
proteção, dos requerimentos de segurança e da
conformidade
Parte 2: Componentes funcionais de segurança
• A parte dois da norma é a base dos requisitos funcionais de
segurança expressos no perfil de proteção ou no ativo de
segurança.
12. Common Criteria (ISO/IEC 15408)
Parte 3: Componentes de garantia de
segurança
• A parte três da norma trata dos componentes de garantia
de segurança que estabelecem um caminho padrão para
expressar os requisitos de segurança para os alvos de
avaliação. Esta parte da norma foi desenvolvida para os
clientes, desenvolvedores e avaliadores de segurança de
produtos de TI.
13. GOVERNANÇA DE SEGURANÇA DA
INFORMAÇÃO
O governo da segurança da informação significa encarar a segurança
adequada dos ativos de informação como um requisito não negociável de se
estar no mercado.
14. Governaça de Segurança da
Informação (ITGI, 2006)
• Para o ITGI (IT Governance Institute) a governança de
segurança da informação consiste na liderança,
estruturas organizacionais e processos que protegem
a informação.
• O fator crítico para o sucesso dessa governança é a
comunicação efetiva entre as partes interessadas
baseada em relacionamentos construtivos, uma
linguagem comum e a ação sinérgica das partes
interessadas.
15. Governaça de Segurança da
Informação (ITGI, 2006)
Os 5 resultados básicos da governança de segurança da informação
incluem:
1. O alinhamento estratégico da segurança da informação com a estratégia de
negócios para apoiar os objetivos organizacionais;
2. A gestão de riscos por meio da execução de medidas apropriadas para gerir e
mitigar riscos e reduzir impactos potenciais nos recursos da informação a um nível
aceitável;
3. A gestão de recursos por meio da utilização de conhecimento em segurança da
informação e da infra-estrutura de forma eficaz e eficiente;
4. A medição de desempenho por meio da medição, monitoramento, registro e
divulgação de métricas de governança de segurança da informação para garantir o
alcance dos objetivos organizacionais;
5. Entrega de valor pela otimização dos investimentos em segurança da informação
em apoio aos objetivos organizacionais.
16. Governaça de Segurança da
Informação (NIST, 2006)
• O NIST (National Institute of Standards and
Technology) define governança da segurança da
informação como o processo de estabelecer e manter
um framework e as estruturas e processos gerenciais
que o suportam para prover garantia de que as
estratégias de segurança da informação estão
alinhadas e apóiam os objetivos de negócio.
17. Governaça de Segurança da
Informação (NIST, 2006)
Figura 1 – Componentes da
Governança de Segurança da
Informação (NIST, 2006)
18. CobiT
• O CobiT (Control Objectives for Information and related
Technology) é um guia, formulado como um framework,
escrito para a auditoria e o controle da TI.
• Ele foi desenvolvido pelo ITGI e pelo ISACA (Information
Systems Audit and Control Association) e tem a missão de
pesquisar, desenvolver, publicar e promover um
framework de controle de governança de TI
19. CobiT
Figura 2 – Áreas de Foco do CobiT 4.1
No formato de um diamante, a
figura 2 mostra as 5 áreas de
foco e a governança de TI no
centro. Essa representação
demonstra que as áreas de foco
atuam na definição, implantação
e execução da governança de TI
20. CobiT
• Cada processo do CobiT é dividido em:
– Descrição do Processo: descreve a identificação do processo, o que
ele cobre, como ele satisfaz os requisitos de negócio da TI, no que ele
foca e como é medido;
– Objetivos de controle: descrevem cada objetivo de controle do
processo;
– Diretrizes de gerenciamento: mostram as entradas e saídas
relacionadas aos processos, a tabela RACI (Responsible, Accountable,
Consulted and Informed), a qual define a responsabilidade de cada
função e os objetivos e métricas do processo;
– Modelo de maturidade: descreve o nível de maturidade para o
processo (0 - Não existente, 1 - Inicial, 2
21. Risk IT Framework
• O Risk IT framework foi um uma iniciativa do ITGI para
auxiliar as empresas na gestão dos riscos relacionados
à TI e tem o intuito de ser um complemento do CobiT.
• Estabelece boas práticas e provê um framework para
a identificação, governo e gerência do risco da TI nas
empresas.
23. Risk IT Framework
• Os tipos de risco podem ser:
– Risco da entrega de serviço de TI, associado ao desempenho e a
disponibilidade do serviço de TI e que pode destruir ou reduzir o valor da
organização;
– Risco da entrega da solução de TI, associado à contribuição da TI para
soluções de negócio novas ou aprimoradas, usualmente na forma de projetos
ou programas; e
– Risco da realização dos benefícios da TI, associado às oportunidades
(perdidas) de usar a tecnologia para melhorar a eficiência e a efetividade dos
processos de negócio ou para usar a tecnologia como habilitadora de novas
iniciativas de negócio.
• É importante observar que o risco da TI sempre existe, seja ele
reconhecido ou não pela organização
24. Risk IT Framework
• Na figura 4, mostra-se que
os componentes de Risk IT,
estão divididos em três
domínios, cada um com
três processos:
• Governança de risco:
• Estabelecer e manter uma visão comum de risco
• Integrar-se à gestão do risco corporativo;
• Criar uma consciência do risco nas decisões de
negócio.
• Avaliação de risco:
• Coletar dados;
• Analisar o risco;
• Manter o perfil de risco.
• Resposta ao risco:
• Articular o risco;
• Gerenciar o risco;
• Reagir aos eventos.
26. POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
Neste capítulo é abordada a necessidade de garantir a confiabilidade,
integridade e disponibilidade da informação dentro da empresa
27. Política de Segurança
• A política de SI (PSI) é a fundação da segurança de
informação de uma organização.
• Uma política adequada e efetiva contém
informação suficiente sobre o que deve ser feito
para proteger a informação e as pessoas de uma
organização..
28. Política de Segurança
• Etapas do processo de implementação de uma
PSI envolvem:
– Desenvolvimento:
• definição dos requisitos corporativos da PSI e
estabelecer padrões para documentação da política.
– Aprovação:
• gerenciar a transição da identificação das necessidades
da política até a obtenção da autorização por meio de
uma diretiva gerencial;
29. Política de Segurança
– Implementação
• solicitação e recepção ao apoio executivo e contar com
o envolvimento das áreas de negócio, e desenvolver
um programa de conscientização de segurança
corporativo;
– Conformidade
• avaliação da conformidade e da efetividade da política
estabelecida e ter ações corretivas para a não
conformidade;
– Manutenção
• condução de revisões formais da política e estabelecer
um processo de gestão de mudanças.
30. Política de Segurança
• A PSI estabelece regras de alto nível para a proteção de
recursos tecnológicos da organização e para os dados
armazenados nesses recursos (SANS, 2001)
• A norma NBR ISO/IEC 17799 define PSI como provedor de
orientação e apoio da direção para a SI (ABNT, 2005)
• A PSI é um conjunto de leis, regras e práticas que regulam
como os ativos que incluem informações sensíveis são
gerenciados, protegidos e distribuídos dentro da organização
(ITSEC)
31. Política de Segurança
• As características mais comuns em PSI são:
– Definição dos requisitos dos controles de segurança
da organização;
– Definição do comportamento apropriado dos
colaboradores e de outras partes interessadas;
– Comunicação com toda a organização o consenso
com respeito a requisitos e práticas de segurança;
32. Política de Segurança
– Prover, para a gerência e outras partes interessadas,
incluindo auditores, indicadores para a validação da
maturidade em segurança da informação e medidas
para a conformidade com o regulatório;
– Definição das condições sob as quais o
compartilhamento de informações e o acesso às
aplicações de negócio são permitidas.
33. Política de Segurança
• Entretanto, há muitos problemas que afetam
a implantação das PSI :
– Políticas desenvolvidas apenas para atender requisitos
regulatórios e de auditoria, sem relação com as necessidades
reais de segurança da organização nem com os requisitos de
negócio;
– Políticas desenvolvidas de forma isolada pelas equipes de
segurança sem levar em consideração necessidades específicas
de negócio;
– Políticas muito genéricas para poder, efetivamente, direcionar a
gestão da segurança da informação corporativa e a
implementação dos controles;
34. Política de Segurança
– Políticas que misturam política com padrões, normas
e procedimentos;
– Falhas da alta administração em demonstrar
compromisso e apoio claros e explícitos;
– Uso de linguagem e terminologia não apropriadas
para o público alvo; e
– Comunicação e conscientização deficientes da política
e dos requisitos de conformidade.
35. Decreto n° 3505 – PSI da APF
• O decreto Nº 3.505, de 13 de junho de 2000,
institui a política de segurança da informação
nos órgãos e entidades da Administração
Pública Federal (Presidência da República,
2000). O decreto estabelece, no seu artigo 1º,
que os pressupostos básicos da política são:
36. Decreto n° 3505 – PSI da APF
I. assegurar a garantia ao direito individual e
coletivo das pessoas, à inviolabilidade da sua
intimidade e ao sigilo da correspondência e
das comunicações, nos termos previstos na
Constituição;
II. proteção de assuntos que mereçam
tratamento especial;
III. capacitação dos segmentos das tecnologias
sensíveis;
37. Decreto n° 3505 – PSI da APF
IV. uso soberano de mecanismos de segurança
da informação, com o domínio de
tecnologias sensíveis e duais;
V. criação, desenvolvimento e manutenção de
mentalidade de segurança da informação;
VI. capacitação científico-tecnológica do País
para uso da criptografia na segurança e
defesa do Estado;
38. Decreto n° 3505 – PSI da APF
VII.conscientização dos órgãos e das entidades
da Administração Pública Federal sobre a
importância das informações processadas e
sobre o risco da sua vulnerabilidade.
39. Decreto n° 3505 – PSI da APF
• Como objetivos da política da informação, o decreto
estabelece no seu artigo 3°
I. dotar os órgãos e as entidades da Administração Pública
Federal de instrumentos jurídicos, normativos e
organizacionais que os capacitem científica, tecnológica
e administrativamente a assegurar a confidencialidade, a
integridade, a autenticidade, o não-repúdio e a
disponibilidade dos dados e das informações tratadas,
classificadas e sensíveis;
II. eliminar a dependência externa em relação a sistemas,
equipamentos, dispositivos e atividades vinculadas à
segurança dos sistemas de informação;
40. Decreto n° 3505 – PSI da APF
II. promover a capacitação de recursos humanos para o
desenvolvimento de competência científico-tecnológica em
segurança da informação;
III. estabelecer normas jurídicas necessárias à efetiva
implementação da segurança da informação;
V. promover as ações necessárias à implementação e
manutenção da segurança da informação;
VI. VI. promover o intercâmbio científico-tecnológico entre os
órgãos e as entidades da Administração Pública Federal e as
instituições públicas e privadas, sobre as atividades de
segurança da informação;
41. Decreto n° 3505 – PSI da APF
VII. promover a capacitação industrial do País com vistas
à sua autonomia no desenvolvimento e na
fabricação de produtos que incorporem recursos
criptográficos, assim como estimular o setor
produtivo a participar competitivamente do
mercado de bens e de serviços relacionados com a
segurança da informação; e
VIII.assegurar a interoperabilidade entre os sistemas de
segurança da informação.
42. Norma ABNT NBR ISSO/IEC
17799:2005
• A norma ABNT NBR ISO/IEC 17799 define a PSI
• O objetivo da política é prover uma orientação e apoio da
direção para a segurança da informação de acordo com os
requisitos do negócio e com as leis e regulamentações
relevantes.
• A norma estabelece ainda que convém à direção estabelecer
uma política clara, alinhada aos objetivos do negócio e
demonstrar apoio e comprometimento com a SI
• A norma preza pela criação de um documento da PSI aprovada
pela direção e que seja publicada e comunicada a todos os
funcionários
43. Norma ABNT NBR ISSO/IEC
17799:2005
• Nesse sentido, que o documento da política contenha
declaraçõeconvém s relativas a:
a) uma definição de segurança da informação, suas metas globais,
escopo e importância da segurança da informação como um
mecanismo que habilita o compartilhamento da informação;
b) uma declaração do comprometimento da direção, apoiando as
metas e princípios da segurança da informação, alinhada aos
objetivos e estratégias do negócio;
c) uma estrutura para estabelecer os objetivos de controle e os
controles, incluindo a estrutura de análise/avaliação e
gerenciamento de risco;
44. Norma ABNT NBR ISSO/IEC
17799:2005
d. breve explanação das políticas, princípios, normas e
requisitos de conformidade de segurança da
informação específicos para a organização, incluindo:
1. conformidade com a legislação e com requisitos
regulamentares e contratuais;
2. requisitos de conscientização, treinamento e educação em
segurança da informação;
3. gestão da continuidade do negócio; e
4. consequências das violações na política de segurança da
informação.
45. Norma ABNT NBR ISSO/IEC
17799:2005
e. definição das responsabilidades gerais e específicas
na gestão da segurança da informação, incluindo o
registro dos incidentes de segurança da informação;
f. referências à documentação que possam apoiar a
política, por exemplo, políticas e procedimentos de
segurança mais detalhados de sistemas de
informação específicos ou regras de segurança que
os usuários devem seguir.
46. Norma Complementar
n°03/IN01/DSIC/GSIPR
• A Norma Complementar nº 03/IN01/DSIC/GSIPR, de
30 de junho de 2009, estabelece diretrizes, critérios e
procedimentos para elaboração, institucionalização,
divulgação e atualização da Política de Segurança da
Informação e Comunicações (POSIC) nos órgãos e
entidades da Administração Pública Federal, direta e
indireta (GSI, 2009).
47. Elaboração da POSIC
• Quanto à elaboração da POSIC, a Norma
Complementar estabelece:
1. Recomenda-se que, para a elaboração da POSIC, seja
instituído um Grupo de Trabalho constituído por
representantes dos diferentes setores do órgão ou entidade
da APF como, por exemplo, segurança patrimonial,
tecnologia da informação, recursos humanos, jurídico,
financeiro e planejamento;
2. A elaboração da POSIC deve levar em consideração a
natureza e finalidade do órgão ou entidade da APF,
alinhando-se sempre que possível à sua missão e ao
planejamento estratégico;
48. Elaboração da POSIC
3. Recomenda-se que, na elaboração da POSIC, sejam incluídos os
seguintes itens:
a) Escopo: neste item recomenda-se descrever o objetivo e a abrangência da
Política de Segurança da Informação e Comunicações, definindo o limite no qual
as ações de segurança da informação e comunicações serão desenvolvidas no
órgão ou entidade da APF;
b) Conceitos e definições: neste item recomenda-se relacionar todos os conceitos
e suas definições a serem utilizados na Política de Segurança da Informação e
Comunicações do órgão ou entidade da APF que possam gerar dificuldades de
interpretações ou significados ambíguos;
c) Referências legais e normativas: neste item recomenda-se relacionar as
referências legais e normativas utilizadas para a elaboração da Política de
Segurança da Informação e Comunicações do órgão ou entidade da APF;
d) Princípios: neste item recomenda-se relacionar os princípios que regem a
segurança da informação e comunicações no órgão ou entidade da APF;
49. Elaboração da POSIC
e) Diretrizes Gerais: neste item recomenda-se estabelecer
diretrizes sobre, no mínimo, os seguintes temas,
considerando as Normas específicas vigentes no
ordenamento jurídico:
i. Tratamento da Informação;
ii. Tratamento de Incidentes de Rede;
iii. Gestão de Risco;
iv. Gestão de Continuidade;
v. Auditoria e Conformidade;
vi. Controles de Acesso;
vii. Uso de e-mail;
viii. Acesso à Internet.
50. Elaboração da POSIC
f) Penalidades: neste item identificam-se as consequências e penalidades para os casos de
violação da Política de Segurança da Informação e Comunicações ou de quebra de
segurança, devendo ser proposto um termo de responsabilidade;
g) Competências e Responsabilidades: neste item recomendam-se os seguintes
procedimentos:
I. Definir a estrutura para a Gestão da Segurança da Informação e Comunicações;
II. Instituir o Gestor de Segurança da Informação e Comunicações do órgão ou entidade da APF, dentre servidores
públicos civis ou militares, conforme o caso, com as seguintes responsabilidades:
i. Promover cultura de segurança da informação e comunicações;
ii. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
iii. Propor recursos necessários às ações de segurança da informação e comunicações;
iv. Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a
Incidentes em Redes Computacionais;
v. Realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da
informação e comunicações;
vi. Manter contato permanente e estreito com o Departamento de Segurança da Informação e
Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de
assuntos relativos à segurança da informação e comunicações;
vii. Propor Normas e procedimentos relativos à segurança da informação e comunicações no âmbito do
órgão ou entidade da APF.
51. Elaboração da POSIC
III. Instituir o Comitê de Segurança da Informação e Comunicações do órgão ou
entidade da APF com as seguintes responsabilidades:
i. Assessorar na implementação das ações de segurança da informação e comunicações no órgão
ou entidade da APF;
ii. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre
segurança da informação e comunicações; e
iii. Propor Normas e Procedimentos internos relativos à segurança da informação e comunicações,
em conformidade com as legislações existentes sobre o tema.
4. POSIC precisa ser objetiva, simples, de fácil leitura e
entendimento;
5. POSIC poderá ser complementada por Normas e
Procedimentos que a referenciem.
52. CULTURA DE SEGURANÇA DA
INFORMAÇÃO
Cultura é um padrão de comportamentos, crenças, suposições, atitudes
e maneiras de fazer as coisas. É espontânea e também é aprendida.
53. Cultura de SI
• As organizações que confiam exclusivamente nos aspectos
tecnológicos da segurança da informação, negligenciando o
fator humano, particularmente os níveis de conscientização
em segurança dos indivíduos que compõem a força de
trabalho, estão descuidando de uma camada de proteção
crucial.
• Os controles técnicos de segurança da informação provêem
controles preventivos e reativos e suportam a análise de dados
e a tomada de decisão, mas nenhum deles oferece uma
solução completa.
54. Programa Corporativo de
Conscientização em Segurança da
Informação (PCCSI)
• Esse tipo de Programa depende de um forte apoio da alta
administração e representa investimentos substanciais em
tempo, dinheiro e outros recursos.
• A construção de um Programa Corporativo de Conscientização
em Segurança da Informação – PCCSI pode se dar em 6 etapas,
que são:
55. 1ª Etapa - Definição do escopo preliminar do projeto
• Esse escopo provê o arcabouço para discussões detalhadas com as partes
interessadas e deve ser descrito em termos de públicos-alvo e
cronogramas. Os públicos-alvo podem ser empregados, fornecedores,
parceiros e clientes, entre outros, e cada um deles fazendo uso diferente
da informação. Quanto ao cronograma, deve-se trabalhar com um
horizonte temporal de 2 a 3 anos, com marcos de revisão ao fim do
período.
2ª Etapa – Engajamento do pessoal de negócio
• Agendar reuniões com os líderes das unidades de negócio para identificar
questões de segurança críticas para cada negócio. Apresente os benefícios
do PCCSI para cada unidade de negócio específica, bem como os impactos
que a concretização das ameaças pode causar.
56. 3ª Etapa – Construção do Projeto PCCSI
• Os objetivos do PCCSI devem ser claramente definidos, em linguagem de
negócio e, a partir deles, devem ser definidas as ações, com indicadores e
metas, para atingir os benefícios esperados. O Programa deve ser
desenvolvido sob a forma de projeto e deve ser criado um Comitê, com a
presença das partes interessadas, para direcionar e comunicar as ações
gerenciais do Programa.
4ª Etapa – Implementação do PCCSI
•Trabalhar a linguagem visual do Programa em alinhamento com a logomarca,
cores, slogans e outros identificadores da organização. O primeiro
treinamento de conscientização deve ser para o corpo gerencial, pois esse
pessoal é essencial para garantir o apoio para as fases seguintes.
57. 5ª Etapa – Medir e Otimizar
• Usar o baseline da etapa 3 para avaliar os resultados do Programa. Avaliar
o que está e o que não está funcionando, reconhecer o sucesso e corrigir as
falhas e, depois, repetir o processo num ciclo de melhoria contínua.
6ª Etapa – Relatar o andamento do PCCSI
•Durante o andamento do Programa, as partes interessadas devem ser
regularmente informadas dos resultados alcançados. O relatório deve ser
usado para reconhecer aqueles que apoiaram a iniciativa no passado e para
encorajar a continuidade do apoio.
58. Orientações da OCDE
• A OCDE (Organização para Cooperação e Desenvolvimento Econômico) publicou, em 2002,
um guia para orientar o estabelecimento de um cultura de SI e tem como princípios:
– Conscientização: todos os colaboradores devem estar conscientes da necessidade de segurança
para os sistemas de informação e a rede de dados;
– Responsabilidade: todos os colaboradores são responsáveis pela segurança dos sistemas de
informação e da rede de dados;
– Resposta: os colaboradores devem atuar de forma tempestiva e cooperativa para prevenir,
detectar e responder a incidentes de segurança;
– Ética: os colaboradores devem respeitar os legítimos interesses dos outros;
– Democracia: a segurança dos sistemas de informação e da rede de dados devem ser compatíveis
com os valores essenciais da sociedade democrática;
– Avaliação de risco: os colaboradores devem conduzir avaliações de risco;
– Projeto e implementação de segurança: os colaboradores devem incorporar a segurança como
um elemento essencial dos sistemas de informação e da rede de dados;
– Gestão da segurança: os colaboradores devem adotar uma abordagem de gestão de segurança;
– Reavaliação: os colaboradores devem rever e reavaliar a segurança dos sistemas de informação e
da rede de dados e fazer as modificações necessárias nas políticas, práticas, medidas e
procedimentos.
59. Referências
NETO, J. “Política e Cultura de Segurança”. Curso de Especialização em
Gestão da Segurança da Informação e Comunicações. UnB – Universidade de
Brasília. 2009 a 2011.