O documento descreve os serviços e treinamentos oferecidos pela empresa CompanyWeb em governança e gestão de TI. A CompanyWeb tem 14 anos de experiência e presta serviços para grandes empresas nos setores de petróleo, bancos, bebidas e outros. O documento também apresenta um consultor especializado da empresa e detalha os diversos cursos e certificações oferecidos em áreas como governança, gestão de riscos, segurança da informação e metodologias ágeis.
Slides do curso oficial EXIN Privacy and Data Protection Practitioner (PDPP) para formação de DPO (Data Protection Officer)
Torne-se um DPO: Acesse o site dos nossos cursos:
PDPP: https://www.pmgacademy.com/produto/curso-online-privacy-and-data-protection-practitioner-pdpp/
ISFS: https://www.pmgacademy.com/produto/curso-online-iso-27001-foundation-isfs/
PDPF: https://www.pmgacademy.com/produto/curso-online-privacy-and-data-protection-foundation-pdpf/
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
Publicidade Portal GSTI
-----------------------------------------------------
Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. fernando.palma@gmail.com
-----------------------------------------------------
http://www.portalgsti.com.br/
CURSO ONLINE PARA COBIT 5, aqui: http://goo.gl/EQNtMf
Mais apostilas, vídeos e artigos sobre COBIT: http://goo.gl/u7pb1l
Para mais conteúdo em gestão e governança de TI, visite nosso site: http://www.portalgsti.com.br/
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...Wellington Monaco
O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
Apresentação de melhores práticas para a estruturação de um Sistema responsável pelo gerenciamento e por mitigar os riscos de proteção de dados e privacidade envolvidos em todo o ciclo de vida de dados pessoais no ambiente corporativo, considerando-se a coleta e o processamento de dados pessoais.
Sistema proposto PD&P (Proteção de Dados e Privacidade) inclui uma metodologia consolidada em processos, fases, etapas, políticas, procedimentos e várias ferramentas técnicas.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
Nesta abordagem iremos detalhar a FASE-3: Desenvolvimento e Implementação.
Slides do curso oficial EXIN Privacy and Data Protection Practitioner (PDPP) para formação de DPO (Data Protection Officer)
Torne-se um DPO: Acesse o site dos nossos cursos:
PDPP: https://www.pmgacademy.com/produto/curso-online-privacy-and-data-protection-practitioner-pdpp/
ISFS: https://www.pmgacademy.com/produto/curso-online-iso-27001-foundation-isfs/
PDPF: https://www.pmgacademy.com/produto/curso-online-privacy-and-data-protection-foundation-pdpf/
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
Publicidade Portal GSTI
-----------------------------------------------------
Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. fernando.palma@gmail.com
-----------------------------------------------------
http://www.portalgsti.com.br/
CURSO ONLINE PARA COBIT 5, aqui: http://goo.gl/EQNtMf
Mais apostilas, vídeos e artigos sobre COBIT: http://goo.gl/u7pb1l
Para mais conteúdo em gestão e governança de TI, visite nosso site: http://www.portalgsti.com.br/
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...Wellington Monaco
O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
Apresentação de melhores práticas para a estruturação de um Sistema responsável pelo gerenciamento e por mitigar os riscos de proteção de dados e privacidade envolvidos em todo o ciclo de vida de dados pessoais no ambiente corporativo, considerando-se a coleta e o processamento de dados pessoais.
Sistema proposto PD&P (Proteção de Dados e Privacidade) inclui uma metodologia consolidada em processos, fases, etapas, políticas, procedimentos e várias ferramentas técnicas.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
Nesta abordagem iremos detalhar a FASE-3: Desenvolvimento e Implementação.
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
Esta apresentação detalha a FASE-4: GOVERNANÇA DE PROTEÇÃO DE DADOS E PRIVACIDADE.
Palestra apresentada pelo Prof. Rodrigo Santa Maria sobre Boas Práticas em Segurança da Informação, durante a Semana de Empreendedorismo da UNIFEOB, em parceria com o SEBRAE SP, no dia 30/09/2014.
# Português:
Apresentação que fiz para a disciplina de Tópicos Avançados em Tecnologia da Informação, no curso de Análise e Desenvolvimento de Sistemas, onde abordei conceitos, níveis, mecanismos e tópicos sobre Segurança da Informação. Tudo de uma forma simples e objetiva, sem desvincular da parte técnica.
# English:
Presentation I made to the discipline of Advanced Topics in Information Technology, in the course of analysis and systems development, where I discussed concepts, levels, mechanisms and topics on Information Security. Everything from a simple and objective way, without untying the technical part.
# Español:
Presentación hice a la disciplina de Temas Avanzados en Tecnologías de la Información, en el curso de análisis y desarrollo de sistemas, donde discutí conceptos, niveles, mecanismos y temas sobre seguridad de la información. Todo, desde una forma simple y objetiva, sin desatar la parte técnica.
Conceitos básicos que fundamentam os estudos sobre SI, Diferentes categorias de ativos existentes em uma empresa, Conceitos de vulnerabilidades e ameaças dos ativos, integridade, confidencialidade e disponibilidade, análise de riscos (AR), etc.
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
Apresentação de melhores práticas para a estruturação de um Sistema responsável pelo gerenciamento e por mitigar os riscos de proteção de dados e privacidade envolvidos em todo o ciclo de vida de dados pessoais no ambiente corporativo, considerando-se a coleta e o processamento de dados pessoais.
Sistema proposto PD&P (Proteção de Dados e Privacidade) inclui uma metodologia consolidada em processos, fases, etapas, políticas, procedimentos e várias ferramentas técnicas.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
Portal GSTI
-----------------------------------------------------
Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. fernando.palma@gmail.com
-----------------------------------------------------
http://www.portalgsti.com.br/Publicidade Portal GSTI
-----------------------------------------------------
Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. fernando.palma@gmail.com
-----------------------------------------------------
http://www.portalgsti.com.br/Publicidade Portal GSTI
-----------------------------------------------------
Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. fernando.palma@gmail.com
-----------------------------------------------------
http://www.portalgsti.com.br/
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
Respondendo a 12 perguntas principais sobre a LGPD (Lei Geral de Proteção de Dados Pessoais), a proprietária da Ometto Advocacia, Rosália Ometto, dá dicas importantes sobre a Privacidade de Dados Pessoais e Compliance.
Apostila sobre Auditoria em tecnologia da informação, elaborada pelo professor André Campos. Encontre outros materiais no portal GSTI: www.portalgsti.com.br
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
Esta apresentação detalha a FASE-4: GOVERNANÇA DE PROTEÇÃO DE DADOS E PRIVACIDADE.
Palestra apresentada pelo Prof. Rodrigo Santa Maria sobre Boas Práticas em Segurança da Informação, durante a Semana de Empreendedorismo da UNIFEOB, em parceria com o SEBRAE SP, no dia 30/09/2014.
# Português:
Apresentação que fiz para a disciplina de Tópicos Avançados em Tecnologia da Informação, no curso de Análise e Desenvolvimento de Sistemas, onde abordei conceitos, níveis, mecanismos e tópicos sobre Segurança da Informação. Tudo de uma forma simples e objetiva, sem desvincular da parte técnica.
# English:
Presentation I made to the discipline of Advanced Topics in Information Technology, in the course of analysis and systems development, where I discussed concepts, levels, mechanisms and topics on Information Security. Everything from a simple and objective way, without untying the technical part.
# Español:
Presentación hice a la disciplina de Temas Avanzados en Tecnologías de la Información, en el curso de análisis y desarrollo de sistemas, donde discutí conceptos, niveles, mecanismos y temas sobre seguridad de la información. Todo, desde una forma simple y objetiva, sin desatar la parte técnica.
Conceitos básicos que fundamentam os estudos sobre SI, Diferentes categorias de ativos existentes em uma empresa, Conceitos de vulnerabilidades e ameaças dos ativos, integridade, confidencialidade e disponibilidade, análise de riscos (AR), etc.
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
Apresentação de melhores práticas para a estruturação de um Sistema responsável pelo gerenciamento e por mitigar os riscos de proteção de dados e privacidade envolvidos em todo o ciclo de vida de dados pessoais no ambiente corporativo, considerando-se a coleta e o processamento de dados pessoais.
Sistema proposto PD&P (Proteção de Dados e Privacidade) inclui uma metodologia consolidada em processos, fases, etapas, políticas, procedimentos e várias ferramentas técnicas.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
Portal GSTI
-----------------------------------------------------
Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. fernando.palma@gmail.com
-----------------------------------------------------
http://www.portalgsti.com.br/Publicidade Portal GSTI
-----------------------------------------------------
Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. fernando.palma@gmail.com
-----------------------------------------------------
http://www.portalgsti.com.br/Publicidade Portal GSTI
-----------------------------------------------------
Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. fernando.palma@gmail.com
-----------------------------------------------------
http://www.portalgsti.com.br/
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
Respondendo a 12 perguntas principais sobre a LGPD (Lei Geral de Proteção de Dados Pessoais), a proprietária da Ometto Advocacia, Rosália Ometto, dá dicas importantes sobre a Privacidade de Dados Pessoais e Compliance.
Apostila sobre Auditoria em tecnologia da informação, elaborada pelo professor André Campos. Encontre outros materiais no portal GSTI: www.portalgsti.com.br
Certificação profissional ISO 27002 FoundationFernando Palma
Parte 01 - Pontos comuns em diagnósticos para a gestão da segurança da informação dentro das empresas segundo sua percepção e experiência.
Parte 02- Principais conceitos envolvidos com a preparação para a certificação ISO 27002 Foundation, contemplando uma breve introdução ao conteúdo.
Vídeo aqui: http://www.youtube.com/watch?v=MSPhOVbkbpk
Mais Vídeos, Ebooks e materiais sobre gestão da segurança da informação: http://goo.gl/FmXoad
www.portalgsti.com.br
contato@portalgsti.com.br
Catálogo de serviços para servicedesk e TI. Formato: Excel
É preciso realizar o download para visualizar a planilha.
Mais templates ITIL: http://goo.gl/RNCqtN
ITIL em pequenas organizações: desenho de serviçosFernando Palma
Vídeo desta palestra aqui: https://www.youtube.com/watch?v=06AOQ6nrD28
Adoção das boas práticas da ITIL adaptada a pequenas empresas. Parte 02 de 05: Desenho de Serviços de TI.
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasCompanyWeb
Template (modelo) para vc fazer seu projeto da ISO 27001 da Segurança da Informação.
Acess também:
http://www.slideshare.net/companyweb/segurana-da-informao-e-a-iso-27001
http://www.slideshare.net/companyweb/iso-27001controlesv100
An ISO/IEC 33000-compliant Measurement Framework for Software Process Sustain...Luigi Buglione
ICT can provide a definitive contribution in reducing CO2 emissions and, in general, in the environment preservation. Because its pervasiveness in today’s life, software in particular plays an important role in achieving such a goal. Software process is the combination of those practices, directly or indirectly involved in software development, operation, and maintenance.
In previous papers the authors addressed the topic of evaluating the sustainability of software products. In this paper the focus is on the evaluation of the sustainability of the software process, i.e. the measurement of the extent the process is performed by having care of the environment and by minimizing its impact on the environment. To do that, a sustainability measurement framework for software process is defined. Such a framework is composed by Sustainability Levels, Sustainability Process Attributes and being compliant with the requirements stated in the new ISO/IEC 33000 series standard for software process assessment.
365 saturday - PowerApps Portal na Gestão da PrivacidadeCLEBER VISCONTI
365 saturday - PowerApps Portal na Gestão da Privacidade. Como a plataforma PowerApps da Microsoft pode ser utilizada na gestão da privacidade e conformidade com a LGPD
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
Este artigo tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT® 5 na segurança da
informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de Segurança da informação e boas práticas encontradas na literatura, de forma a auxiliar na implementação de uma
eficiente governança e gestão de segurança da informação.
Gerenciamento de identidade e acesso - Gerenciamento automatizado e seguro para usuários e administradores.
Uma solução de governança de identidades que oferece uma interface de uso facilitado pela empresa, construída sobre um modelo de governança comum que abrange todos os
processos de negócios relacionados a identidade, acesso e certificação. Ela oferece ferramentas para que você obtenha conformidade e permaneça em conformidade.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
Este slideshow dá uma idéia clara do que é o Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web, e da oferta de uso do Sistema RedeSegura que desenvolvo em parceria com a N-Stalker. As aplicações web são o maior alvo de ataques maliciosos nos últimos tempos, e segundo o Gartner (2009) 75% dos problemas de segurança na internet já são atribuídos às aplicações web. Isso se deve, entre outros fatores, à integração de várias tecnologias e objetos usados na construção das aplicações web, e a falta de requisitos de segurança no processo do desenvolvedor. Não basta Segurança de Rede se as aplicações tiverem vulnerabilidades exploráveis por hackers maliciosos. Os riscos para alguns segmentos de negócio são muito elevados, como no mercado financeiro, serviços, e-commerce, e sites de conteúdo de informação que apóiam decisão, além de sistemas corporativos como CRM, ERPs, RH, etc.
Teste e Análise de Vulnerabilidades em Aplicação e servidores web vem sendo uma prática para incrementar as políticas de segurança da informação (GSI) das empresas que dependem da internet para realizar seus negócios sem riscos para seus Clientes e Parceiros, e dar credibilidade às suas marcas, além de estimular um ambiente de negócios mais seguro na internet.
Webinar: Centro de Gestão Integrada: Sua empresa ainda vai ter um!Modulo Security
A falta de dados e fatos não é mais um problema. O grande desafio é transformá-los em instrumentos efetivos de gestão e governança.
Os principais processos de negócio já são baseados em sistemas, banco de dados, sensores (IoT) e canais de comunicação e muitas empresas possuem sistemas para automatizar processos de logística, segurança corporativa, tecnologia da informação, segurança cibernética, marketing, mas de forma isolada.
Integrar informações para criar uma Visão Situacional em Tempo Real para apoiar os gestores na tomada das decisão de negócio, aumentar a velocidade de resposta e comunicar as decisões de forma rápida e coordenada e monitorar sua implementação ainda é o grande desafio para a maioria das empresas.
Neste webinar, Fernando Nery, Sócio-Fundador da Módulo, mostra experiências de como organizações de diferentes segmentos como varejo, indústria, logística, finanças, governo etc, estão implementando Centros de Gestão Integrada para apoiar a tomada de decisão e mobilizar suas equipes para agir em tempo real, gerenciar riscos, identificar oportunidades e melhorar os processos de negócio.
Assista a gravação do webinar em nosso site: http://www.modulo.com.br/comunidade/webinar/4314-centro-de-gestao-integrada-sua-empresa-ainda-vai-ter-um
Auditoria e Segurança em Tecnologia da Informação - Slides referentes à participação em Estágio Docência no Mestrado em Administração da UFS na disciplina 'Gestão de TI'
A gestão de serviços de TIC é um conjunto de disciplinas que oferece o serviço certo a um custo certo, dentro de níveis de qualidade e prazos que atendam as expectativas dos negócios. Gestão de Serviços é uma área emergente e mal entendida por muitas pessoas. Os líderes de TI sentem a pressão para melhorar significativamente o desempenho do serviço, mas enfrentam uma quantidade surpreendente de informações conflitantes e incompletas. O nível de maturidade de TIC define a contribuição da organização para a empresa. Essa contribuição começa em oferecer apenas ferramentas de produtividade até a gestão da TIC como um negócio. Podemos categorizar os serviços de TIC com: utilidade; otimizado e lucrativo. Com orientação a ser um centro de custo, um provedor de serviços e uma unidade de negócios, respectivamente. Uma organização eficiente de TIC deve implantar modelos para a gestão, tais como Cobit, ITIL, PMI, CMMI e outros. Em empresas que adotaram o modelo de governança corporativa a gestão de serviços de TIC deve atender os requisitos mínimos da gestão de conformidade. O Cobit deve ser o direcionador para a definição das disciplinas que devem ser implantadas.
A governança de TIC entrou definitivamente na pauta da alta administração das empresas por ser um dos alicerces da governança corporativa, dentro de uma ambiente onde a TIC transformou-se em um ativo importante das empresas. O interesse na governança de TIC está relacionado com as iniciativas de conformidade, tais como a Sarbanes-Oxley e pelo acordo de Basiléia. Também, é uma oportunidade para gerenciar melhor os projetos de TIC que frequentemente estão fora de controle, afetando o desempenho das organizações. A governança de TIC deve responder as principais perguntas sobre planejamento, implantação, operação, controle e iniciativas de melhoria de processos das organizações de TIC. A governança de TIC conduz a uma maior maturidade das organizações de TIC e melhora a credibilidade da TIC nas empresas. A evolução da credibilidade de TIC está ligada diretamente a postura do CIO na empresa, que pode assumir uma posição mais tático/operacional ou estratégico/transformador.
A CompanyWeb foi fundada em 1999, para prover soluções para a plataforma Web, como comércio eletrônico, portal de serviços digitais para seus clientes. Entre os clientes, o maior banco privado francês, o Banco Société Générale;
Em 2001, aumentou seu portfólio de serviços e incorporou a Governança Corporativa, atendendo clientes para compliance SOX e Gestão de Riscos Corporativos, Governança de TI (COBIT, ITIL e outros) e PMO – Escritório de Projetos;
A CompanyWeb é uma empresa credenciada da Petrobras para ministrar cursos de Formação de Analista de Processos de Negócios;
Possuímos Atestados de capacidade técnica para treinamento sobre os temas: Compliance, Gestão de Riscos e Gestão por Processos por diversas instituições públicas, como: STJ - Superior Tribunal de Justiça, TCU - Tribunal de Contas da União, Embrapa, Prefeita de São Paulo, USP - Universidade de São Paulo, IPEN - Instituto de Pesquisas Energéticas e Nucleares e outras;
Prestamos serviços para diversas empresas privadas, como: Banco Bradesco, AMBEV, Unimed (Londrina, São Paulo, Juiz de Fora e outras), UOL, Magazine Luisa, Folha de São Paulo e outras;
Idealizamos a plataforma riskM para Gestão de Riscos, Controles Internos, Compliance e auditoria interna.
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de DefesaCompanyWeb
Como fazer que sua gestão de Governança, Risco e Conformidade seja mais eficaz? Como melhorar a comunicação entre as equipes? Assista o vídeo: https://youtu.be/YYYv23lPmyU
Assista o vídeo: https://youtu.be/2-G81jurVdQ
Uma visão executiva do Programa de Compliance com a ISO 19600. Seu objetivo, principais elementos e estrutura.
EAD - FAP Formação Analista de ProcessosCompanyWeb
O curso mais completo do Brasil!
8 horas de vídeo
Disponível por 3 meses
Bônus: 2 horas de Mentoria grátis!
Análise | Melhoria | Gestão de Mudança | Projeto BPM | Escritório de Processos | e mais
Curso FAP – Analista de Processos de NegóciosCompanyWeb
PRÁTICO e DIRETO AO PONTO! Como?
90% das pessoas, apredem FAZENDO.
Traga um caso real (não pode ser muito simples e nem muito complexo) e iremos mapear no curso.
Nossa dinâmica é com ‘post-it’ e depois vamos para o BizAgi.
Este curso é um produto de muitas atualizações ao longo de mais de 10 anos.
Ao final de seu curso, os participantes estarão aptos:
Mapear processos de negócios/trabalhos;
Modelar/desenhar processos na ferramenta BizAgi Process Modeler.
Um tutorial de forma de trabalhar com Governança, Risco e Conformidade em uma única plataforma.
Após vários projetos e cursos de Gestão de Riscos Corporativos, SOX, Compliance, desenvolvemos uma solução com ótima relação custo x benefício. Sua matriz de riscos, controles internos e auditoria interna em uma única ferramenta.
Uma forma prática, ágil e integrada para fazer acontecer a Governança, Risco e Conformidade. A riskM, ajuda sua organização a implementar o modelo europeu das Três Linhas de Defesa, da gestão de riscos da 1ª. Linha de Defesa à 3ª. Linha de Defesa, o ciclo da Auditoria Interna. Não há necessidade de comprar módulos ou várias ferramentas, a riskM é colaborativa entre as equipes, uma única interface e com recursos de notificação automática que contribuem com uma postura proativa no gerenciamento.
Cobre da Operação à Gestão!
Assista o vídeo: https://youtu.be/oNEBdc3A490
Software riskM | Gestão Eficaz da GRC – Governança, Risco e ConformidadeCompanyWeb
Após vários projetos e cursos de Gestão de Riscos Corporativos, SOX, Compliance, desenvolvemos uma solução com ótima relação custo x benefício. Sua matriz de riscos, controles internos e auditoria interna em uma única ferramenta.
Uma forma prática, ágil e integrada para fazer acontecer a Governança, Risco e Conformidade. A riskM, ajuda sua organização a implementar o modelo europeu das Três Linhas de Defesa, da gestão de riscos da 1ª. Linha de Defesa à 3ª. Linha de Defesa, o ciclo da Auditoria Interna. Não há necessidade de comprar módulos ou várias ferramentas, a riskM é colaborativa entre as equipes, uma única interface e com recursos de notificação automática que contribuem com uma postura proativa no gerenciamento.
Cobre da Operação à Gestão!
Vídeo: https://youtu.be/kso0nfLZp5g
Quais são os principais Riscos em Fundações? Quais os principais elementos para instituir um programa de Compliance na sua organização? Essas e outras perguntas comuns são respondidas neste vídeo.
Conferência Goiás I Como uma boa experiência na logística reversa pode impact...E-Commerce Brasil
Diogo Inoue
Diretor de Operações OOH
Jadlog Logística.
Como uma boa experiência na logística reversa pode impactar na conversão do seu e-commerce?
Saiba mais em: https://eventos2.ecommercebrasil.com.br/conferencia-goias/
Conferência Goiás I Fraudes no centro-oeste em 2023E-Commerce Brasil
Cristiane Cajado
Coordenadora de Customer Success
ClearSale
Fraudes no centro-oeste em 2023.
Saiba mais em: https://eventos2.ecommercebrasil.com.br/conferencia-goias/
Conferência Goiás I Conteúdo que vende: Estratégias para o aumento de convers...E-Commerce Brasil
Maurici Junior
Gerente de Conteúdo
Magalu
Conteúdo que vende: Estratégias para o aumento de conversão para marketplace.
Saiba mais em: https://eventos2.ecommercebrasil.com.br/conferencia-goias/
Conferência Goiás I Perspectivas do Pix 2024: novidades e impactos no varejo ...E-Commerce Brasil
Thiago Nunes
Key Account Manager - Especialista em Digital Payments
Vindi
Perspectivas do Pix 2024: novidades e impactos no varejo e na indústria.
Saiba mais em: https://eventos2.ecommercebrasil.com.br/conferencia-goias/
Conferência Goiás I As tendências para logística em 2024 e o impacto positivo...E-Commerce Brasil
Camila Suziane Rezende
Agente Comercial Regional
Total Express,
Renata Bettoni Abrenhosa
Agente Comercial Regional
Total Express
As tendências para logística em 2024 e o impacto positivo que ela pode ter no seu negócio.
Saiba mais em: https://eventos2.ecommercebrasil.com.br/conferencia-goias/
MANUAL DO REVENDEDOR TEGG TELECOM - O 5G QUE PAGA VOCÊEMERSON BRITO
Tegg Telecom – 5G que paga você!
Essa é a proposta da Tegg Telecom. Fundado há quase 3 anos, o Grupo Tegg criou sua própria operadora de telefonia móvel, a Tegg Telecom, com a inovadora promessa de pagar aos usuários por utilizarem o serviço de telefonia 5G. Além disso, a Tegg oferece planos mensais a partir de R$ 14,90, sem contratos de fidelidade.
A Tegg é uma Startup Mobitech que chegou para revolucionar a telefonia móvel! 🤳🏻 Planos sem fidelidade.
⬇️ Saiba Mais!
Para Mais Informações me chame no WhatsApp
(67)99114-7996 - EMERSON BRITO
A linha Tegg é o nosso serviço de telefonia móvel. Assim como tudo na Tegg, foi desenhada para todos que desejam um serviço transparente, simples e sem surpresas na fatura. Ela foi feita para redefinir a maneira como você consome a telefonia. Não gera fidelidade, nem multa em caso de cancelamento.
Tenha uma Renda Extra e desenvolva seu próprio Negócio.
Acesse agora e venda chips para qualquer lugar do Brasil!
Assuma o Controle do Seu Futuro Agora!
.
.
Revenda Telefonia Móvel da Empresa TEGG TELECOM
Trabalhe no Conforto de Sua Casa
Inicie seu negócio Online Agora
Compartilhe com Seus Amigos
Não sabe como começar?
Me chama no zap que te explico.
盧 67 99114.7996
Conferência Goiás I Uma experiência excelente começa quando ela ainda nem seq...E-Commerce Brasil
Carolina Ramos de Campos
Gerente de Relacionamento com o Seller
Americanas S.A
Uma experiência excelente começa quando ela ainda nem sequer foi imaginada!
https://eventos2.ecommercebrasil.com.br/conferencia-goias/
Conferência Goiás I Moda e E-commerce: transformando a experiência do consumi...E-Commerce Brasil
Carolina Soares
Sales Manager
DHL Suppy Chain.
Moda e E-commerce: transformando a experiência do consumidor com estratégias de fulfillment logístico.
Saiba mais em: https://eventos2.ecommercebrasil.com.br/conferencia-goias/
2. www.CompanyWeb.com.br
A CompanyWeb® tem 14 anos de experiência em serviços de consultoria e treinamento
em Governança e Gestão de TI (Governança de Tecnologia da Informação, Gestão por
Processos, e Engenharia de Software). Nossos principais clientes são: Petrobras, Banco
do Brasil, Ambev, Correios, JBS Friboi, Aços Villares, Serasa, Honda, Gerdau, Medley,
Yamaha, Bertin, Banco Bradesco, Tribunal Regional Eleitoral de São Paulo, Bradesco
Seguros, Coca-cola, Sabesp, Nova Schin, Novartis, Comgás, Cervejaria Petrópolis e
outros.
2
3. www.CompanyWeb.com.br
Uires Tapajós | Consultor e Professor
Uires.Tapajos@CompanyWeb.com.br | http://www.LinkedIn.com/In/Uires/
• Especialista em GRC - Governança, Risco e Conformidade;
• Possui a CGEIT (Certified in the Governance of Enterprise
Information Technology) emitida pelo ISACA e outras certificações.
Facilitador
3
4. www.CompanyWeb.com.br
Governança e Gestão da Tecnologia da Informação
Gestão de Serviços de TI (ITIL/ISO 20000)
Melhoria de Processos
Implantação de Escritório de Projetos com as melhores
práticas do PMI®
Gestão de Risco
Segurança da Informação | ISO 27001
Projetos para adoção das melhores práticas: COBIT,
ITIL, SCRUM, eSCM, PMBOK, BSC, COSO, CBOK, BABOK,
FDD, TDD, SOX, DRP (PCN)
Governança & Gestão da TI:
GRC (Governança, Risco e Compliance):
. Gestão de Risco com COSO
. Gestão de Risco de TI
. Segurança da Informação com ISO 27001
Governança e Gestão de Serviços de TI:
. Certificação ITIL / Certificação Cobit.
. ITIL/Cobit Implementation.
. Formação de Analista em Governança de TI.
BPM (Processos)
. Gestão por Processos de Negócios
. Formação Analista de Processo de Negócio
Negócios & Gestão de Pessoas:
. Estratégia e BSC
. Formação Analista de Negócio
. Liderança com foco em Resultados
. Práticas de Gestão de Projetos
Métodos Ágeis e Engenharia de Software:
. Métodos Ágeis (SCRUM e FDD)
. Qualidade e Maturidade em Desenvolvimento de Software
. Formação em Engenharia de Software
Consultoria Treinamento Solução
Consultoria Treinamento
Portfólio
4
5. www.CompanyWeb.com.br
Mais informações: http://www.companyweb.com.br/treinamento/governanca/prep-iso-27002-foundation/
Objetivo
A norma ISO/IEC 27002 é um padrão internacional para
Gestão de Segurança da Informação.
O objetivo deste treinamento é preparar os participantes para
o Exame de Certificação Information Security Foundation
based on ISO/IEC 27002 (Fundamentos da Segurança da
Informação baseada na ISO/IEC 27002).
É abordado todo o conteúdo do exame de certificação, com
exercícios e um simulado.
Curso: ISO/IEC 27002 Foundation
Conteúdo Programático (100% aderente ao Exame de Certificação: ISO/IEC 27002 Foundation)
1 Informação e Segurança (10%)
1.1 O conceito de informação (2,5%)
1.2 Valor da informação (2,5%)
1.3 Aspectos de confiabilidade (5%)
2. Ameaças e riscos (30%)
2.1 Ameaça e risco (15%)
2.2 Relacionamento entre ameaças, riscos e confiabilidade das informações. (15%)
3. Abordagem e Organização (10%)
3.1 Política de Segurança e organização de segurança (2,5%)
3.2 Componentes da organização da segurança (2,5%)
3.3 Gerenciamento de Incidentes (5%)
4. Medidas (40%)
4.1 Importância das medidas de segurança (10%)
4.2 Medidas de segurança física (10%)
4.3 Medidas de ordem técnica (10%)
4.4 Medidas organizacionais (10%)
5. Legislação e regulamentação (10%)
5.1 Legislação e regulamentos (10%)
6- Exercícios
7- Simulado
5
14. www.CompanyWeb.com.br
A Informação é um bem que, à semelhança de outros
bens do negócio, tem valor para uma organização e
necessita ser convenientemente protegido.
15. www.CompanyWeb.com.br
O Bem é algo que tem valor para a organização.
Exemplos
Pessoas
Máquinas
Produtos
Edifícios
15
17. www.CompanyWeb.com.br
Internas
• Não pode ‘vazar’ para o mercado/público
Clientes e Fornecedores
• Não pode ‘vazar’ para o mercado/público
Parceiros
• Informações a serem compartilhadas com outros parceiros,
etc.
17
19. www.CompanyWeb.com.br
Armazenada:
• são considerados dados armazenados os que residem em notebooks, desktops e
servidores;
Em movimento
• são considerados dados em movimento os que residem em pen drives,
smartphones, CDs e e-mails;
Em uso
• são considerados dados em uso os que se encontram em estado de
processamento (sistemas de e-commerce, bancos de dados, ERPs etc.).
Outras
• Criada, Transmitida, Processada, Perdida, Destruída, Corrompida e etc.
19
26. www.CompanyWeb.com.br
Classificação
Define os diferentes níveis
de sensibilidade nos quais
as diversass informações
podem ser estruturadas.
Grau (grading): é o ato de definir uma
classficação. Níveis de sensibilidade
colocados na marca ou etiqueta de um
documento: Secreto,
Confidencial ou Público
As etiquetas de
classificação podem
ser colocadas
fisicamente e de
forma visível
Designação
É uma forma especial de
categorizar uma informação.
De acordo com determinado
assunto ou organização ou
grupo de pessoas autorizadas.
Proprietário
(dono)
O dono da
informação/documento
é responsável pela sua
classificação.
É a pessoa que tem a
responsabiliade sobre
determinada
informação.
Determina quem tem
acesso a
determinados ativos
do negócio.
26
O termo 'proprietário' identifica
uma pessoa ou organismo que
tenha uma responsabilidade
autorizada para controlar a
produção, o desenvolvimento, a
manutenção, o uso e a segurança
dos ativos.
O termo 'proprietário' não significa
que a pessoa realmente tenha
qualquer direito de propriedade ao
ativo.
35. www.CompanyWeb.com.br
SGSI - Sistema de Gestão da Segurança Informação
É uma parte do sistema global de gestão, baseado numa abordagem de
risco que permite definir implementar abordagem de risco, que permite
definir, implementar, operacionalizar, monitorizar, manter e melhorar a
segurança da Informação segundo a norma.
35
36. www.CompanyWeb.com.br
Controle
forma de gerenciar o risco, incluindo políticas,
procedimentos, diretrizes, práticas ou estruturas
organizacionais, que podem ser de natureza administrativa,
técnica, de gestão ou contramedida.
Política
intenções e diretrizes globais formalmente expressas pela
direção.
Cada categoria principal da Segurança da informação
contém:
36
37. www.CompanyWeb.com.br
ISO 27001 | Controle
- definição do controle.
ISO 27002 | Diretrizes para a implementação
- informações mais detalhadas.
37
43. www.CompanyWeb.com.br
Deve-se:
Definir um plano de
tratamentos de risco que
identifique as atividades de gestão
apropriadas, recursos,
responsabilidades e prioridades para
gerir os riscos à segurança da
Informação.
Definir como medir a eficácia dos
controles
Implementar programas de formação
e sensibilização
Implementar procedimentos e outros
controles capazes de detectarem e
responderem a potenciais incidentes
na segurança
43
47. www.CompanyWeb.com.br
1. Estabelecer o SGSI
Estabelecer política
de segurança,
objetivos, metas,
processos e
procedimentos
relevantes para a
gestão de risco e
segurança da
informação para
melhorar os
resultados de acordo
com as políticas
globais de uma
organização e seus
objetivos.
2. Implementar e operar o SGSI
Implementar e operar a política de segurança,
controles, processos e procedimentos.
3. Acompanhar e analisar o SGSI
Avaliar e, quando aplicável, medir o desempenho do processo
contra a política de segurança, objetivos e experiências práticas
e relatar os resultados da gestão para a revisão.
4. Manter e melhorar o SGSI
Tomar ações corretivas e preventivas, com base nos resultados da análise da gestão, para
alcançar a melhoria contínua do SGSI.
47
48. www.CompanyWeb.com.br
PLAN - Planejar
•Definição dos objetivos, metas, processos,
procedimentos
•Estabelecer política de segurança
DO - Implementar e operar o
SGSI
•Implementar política de segurança
•Operar a política de segurança
•Operar, controles, processos e procedimentos.
CHECK - Acompanhar e analisar o SGSI
• Avaliar
• Medir o desempenho do processo
• Relatar os resultados da gestão para a revisão
ACT - Manter e melhorar o SGSI
• Tomar ações corretivas
• Tomar ações preventivas
48
50. www.CompanyWeb.com.br
A política de segurança é um conjunto de normas e
diretrizes destinadas a proteção dos ativos da
Organização;
Prover à administração uma direção para Segurança
da Informação;
Convém que a Política seja clara, flexível e
aprovada pela administração, publicada e
comunicada, de forma oficial, para todos os
funcionários e partes externa Relevantes;
Definições das responsabilidades na gestão de
segurança.
50
52. www.CompanyWeb.com.br
Levantamento de
Informações
Fase I
Desenvolvimento
do Conteúdo da
Política e Normas
de Segurança
Fase II
Elaboração dos
procedimentos
de Segurança da
Informação
Fase III
Revisão,
aprovação e
implementação
das Políticas,
Normas e
procedimentos
de Segurança da
Informação
Fase IV
1. http://www.teamproject.com.br/tp2/projects/iso/wiki/Etapas_para_o_Desenvolvimento_de_uma_Pol%C3%ADtica
2. Faça seu cadastro (link ‘cadastra-se’ no lado direito superior da tela)
3. Acesse projeto: ISO 27001
4. Acesse o link wiki, conforme abaixo:
52
55. www.CompanyWeb.com.br
1995
• BS 7799
Parte 1
1998
• BS 7799
Parte 2
1999
• Nova
edição da
BS 7799
Parte 1 e
2
2000
• ISO
17799:2000
2001
•NBR
ISO/IEC
17799
2002
•Nova
edição BS
7799-2
2005
•Nova
edição NBR
ISO/IEC
17799
(Agosto)
•Publicada
ISO 27001
2006
•Publicada
NBR
ISO/IEC
27001
2007
• Alterado
apenas o
nome da
norma
NBR
ISO/IEC
17799
para NBR
ISO/IEC
27002
55
61. www.CompanyWeb.com.br
Proteção das informações sensíveis a divulgação;
É o grau no qual o acesso a informação é RESTRITO a um grupo definido de pessoas
autorizadas a terem este acesso;
Inclui medidas de proteção a privacidade.
61
Ações são tomadas para
garantir que a informação
não é encontrada por
aqueles que dela não
necessitam;
Gestão de Acesso lógico
garante que pessoas não
autorizadas não tenham
acesso aos sistemas
automatizados/banco de
dados;
Segregação de ambientes
(desenvolvimento/teste/ac
eitação/produção);
Processos onde dados são
utilizados, medidas são
tomadas para garantir a
privacidade das pessoas e
terceiros.
63. www.CompanyWeb.com.br
Integridade
É o grau no qual a informação está atualizada e sem erros.
Exatidão (informação correta) e Completude (informação está inteira).
63
Controle de mudança dos
dados (somente com
autorização);
„Log‟ dos registros/trilha de
auditoria (determina quem
alterou);
Integridade referencial no
banco de dados (recursos de
TI);
Institucionalizar o processo
Gestão de Mudança;
Criptografia (evitar a acesso a
informação/garantir a
proteção)
64. www.CompanyWeb.com.br
Disponibilidade
É o grau no qual a informação está disponível para o usuário e para o sistema
de informação que está em operação no momento que a organização precisa
dele.
64
Pontualidade (quando necessário);
Continuidade (após falha);
Robustez (capacidade suficiente).
Ações:
Gestão e Armazenamento de Dados;
Procedimento bkp/restore;
Procedimento de emergência
73. www.CompanyWeb.com.br
Disponibilidade
Confidencialidade
Integridade
Segurança
Segurança
Segurança
Segurança
Fatores/situações que podem levar a um dano ou perda de informação.
Risco: É a chance de que uma ameaça irá de fato ocorrer e
suas consequências.
um possível evento que possa comprometer a confiabilidade da
informação
73
Risco: Essa palavra vem do
Francês RISQUE, do
Italiano RISCO ou
RISCHIO, “o perigo ligado a
um atividade”, do
Latim RISICUM, às vezes
tida como “escolho que
pode quebrar o casco de
uma embarcação”.
81. www.CompanyWeb.com.br
É o potencial que uma dada ameaça irá explorar
vulnerabilidades para causar perda ou dano a um Ativo
ou grupo de Ativos.
Interrupção da continuidade do negócio; perda da integridade dos dados; falha nos
procedimentos de backup/restore
Os riscos podem ser técnicos, de equipamentos, de pessoas e de procedimentos
81
83. www.CompanyWeb.com.br
83
Análise de Riscos
• 1) Identificar Ativos e seus valores
• 2) Determinar Ameaças e Vulnerabilidades
• 3) Determinar os Riscos e as Ameaças que
podem realmente causar danos
• 4) Determinar o equilíbrio entre Custos de um
Incidente e Custos das Medidas de Segurança
88. www.CompanyWeb.com.br
• Reduz a ameaça antes de ela se manifestar
Redutiva
• Torna a ameaça impossível antes de ela se manifestar
Preventiva
• Garante que cada incidente possa ser detectado o mais rápido possível e
que todo mundo seja informado do está acontecendo
Detectiva
• Para minimizar as consequências de um incidente após ele ocorrer
Repressiva
• Recuperar algo após um incidente ter ocorrido
Recuperação/Corretiva
88
89. www.CompanyWeb.com.br
Ameaça
Prevenção
Garantia Aceitação
Incidente
Fonte: The Basics of Information Security - A Practical Handbook. ISBN/EAN:
978-90-813341-1-2
Para eventos que não tem prevenção total e para os quais as
consequêncais não são aceitáveis, deve-se procurar métodos que
reduzam as consequências. Ex.: Seguro contra fogo e contra as
consequêncais do fogo.
Quando as medidas necessários são
conhecidas, mas decide-se aceitar o risco
porque o custo para implantação da medida
não é aceitável ou porque não há medidas
possíveis.
89
92. www.CompanyWeb.com.br
Aceitar (Risk Bearing)
• A organização vai optar por medidas de segurança
repressivas.
Neutralizar/Reduzir (Risk neutral)
• Combinação de medidas preventivas, detectivas
e repressivas.
Evitar (Risk Avoiding)
• ex.: não usar uma nova tecnologia; Não fazer um upgrade.
92
93. www.CompanyWeb.com.br
A retenção do risco talvez seja o método mais comum de se lidar com
riscos.
Organizações, assim como indivíduos, encaram diariamente um
número quase ilimitado de riscos e, por muitas vezes nada é feito
sobre eles. Quando nenhuma ação positiva é tomada no sentido de
evitar, reduzir, ou transferir o risco, este é retido ou assumido pela
pessoa ou organização que se encontra nessa situação.
A retenção de risco pode ser consciente ou inconsciente. Uma pessoa
retém riscos conscientemente quando sabe de sua existência,
deliberadamente, não toma nenhuma atitude sobre ele. Quando não
é reconhecido, o risco é assumido inconscientemente.
A retenção de riscos é um método legítimo de se lidar com riscos; em
muitos casos, é a melhor maneira. Toda organização deve decidir
quais riscos deve assumir e quais deve evitar. Como regra geral, os
riscos a serem retidos, devem ser aqueles que apresentam alguma
possibilidade de ganho ou, ao menos, pequenas probabilidades de
perda.
98. www.CompanyWeb.com.br
Você está preparado para o próximo Incidente
de Segurança?
98
Documento
confidencial sem
proteção
Informações sobre
cliente e funcionário
foi 'liberado' na
internet sem controle
Violação no data
center
Invasões de hacker
Arquivos ‘perdidos’
100. www.CompanyWeb.com.br
Os funcionários devem reportar os
incidentes o mais rápido possível.
Normalmente via helpdesk/service desk.
Processo para resolver incidentes o mais
rápido possível.
100
1. Data/hora
2. Nome da pessoa que
está abrindo o incidente
3. Local
4. Descrição
5. Consequências
6. Tipo de sistema
(servidor, desktop,
email e etc)
7. Número/nome do
sistema
101. www.CompanyWeb.com.br
Funcional: Transfere um incidente ou um problema para uma equipe técnica
com nível mais especializado. Exemplo: Segundo nível, Terceiro nível, etc.
Hierárquica: Informa ou envolve níveis mais qualificados e com maior
autoridade no gerenciamento para assessorar em uma Escalação
101
104. www.CompanyWeb.com.br
Reduz o impacto ou probabilidade de uma ameaça antes
dela gerar um incidente
Redutivas
Aplicadas antes da ameaça levar a um incidente
Preventivas
Detectar a ocorrência de um incidente
Detectivas
Para responder a um incidente a fim de conter o estrago
da ameaça (usar o extintor de incêndio, por exemplo)
Repressiva
Reparar o que foi danificado (restaurar o backup, por
exemplo)
Corretiva
104
105. www.CompanyWeb.com.br
1 – Ameaça 2 - Incidente 3 - Dano 4 - Recuperação
Medidas:
Prevenir (medidas preventivas), reduzir as ameaças (medidas redutivas), responder aos incidentes, parar ameaças
(medidas repressivas) e corrigir dos danos (medidas corretivas).
105
106. www.CompanyWeb.com.br
•Desenvolve a estratégia geral de segurança para a
empresa inteira
•Superintendente de Segurança da Informação
Chief Information Security
Officer (CISO)
•Desenvolve uma política para uma unidade de negócio
com base na política da empresa
•Diretor de Segurança da Informação
Information Security Officer
(ISO)
•Desenvolve uma política de segurança da informação
para a área de TI
•Gerente de Segurança da Informação
Information Security Manager
(ISM)
•Responsável pela Proteção dos DadosData Protection Officer
106
109. www.CompanyWeb.com.br
• Inclui cuidados para não haver interferências
Medidas para cabeamento
• Anel externo | Proteção em torno do prédio
da empresa
• Edíficio/prédio | salas especiais (sala de
servidores)
• Espaço de trabalho (algumas áreas da empresa
podem não estar acessíveis a todos, como RH)
• Objeto | Refere-se a parte mais sensível que
precisa ser protegida (armários/cofre)
Medidas para anéis de proteção
• Uso de sensores
Alarmes
Medidas para Mídias de armazenamento
109
110. www.CompanyWeb.com.br
Ativo
Área de trabalho
Prédios
Anel externo
As medidas de segurança não devem ser iniciadas nas
estações ou locais de trabalho, mas fora da empresa. O
acesso aos ativos da empresa deve ser difícil ou impossível,
deve-se pensar em termos de uma série de perímetros:
110
113. www.CompanyWeb.com.br
• A política de controle de acesso é determinada pelo proprietário (owner) do recurso.
Controle de acesso discricionário (DAC)
• A política de acesso é determinada pelo sistema e não pelo proprietário do recurso.
Controle de acesso mandatório (MAC)
• Na concessão de acesso fazemos distinção entre as palavras identificação,
autenticação e autorização.
• Identificação | Pessoa ou sistema apresenta o token (pode ser uma chave, usuário ou
senha)
• Autenticação | Sistema determina se o token é autêntico e quais recursos o usuário
pode acessar
• Autorização | Aloca o direito de acesso
Passos para conceder o acesso
113
115. www.CompanyWeb.com.br
A informação é codificada para não ser lida por pessoas não autorizadas
•Existe um algoritmo e uma chave secreta que o remetente e destinário compartilham. É mais
vulnerável.
Simétrica
•Diferentes chaves são usadas para criptograr e descriptografar. Assinaturas digitais são criadas
usando este tipo.
Assimétrica
•Através de acordos, procedimentos e estrutura de organização, ela garante quais pessoas ou
sistemas pertencem a uma chave pública. É frequentemente gerenciada por uma autoridade
independente.
Infraestrutura de Chave Pública (PKI – Public Key Infrastructure)
•A mensagem é convertida em um valor numérico e não pode ser descriptografada. Usando um
algoritmo conhecido, o destinatário pode checar se a mensagem tem o valor correto. Neste caso, é
verificado se dois valores hash combinam.
Criptografia de mão única
115
116. www.CompanyWeb.com.br
Diz respeito ao trabalho dos funcionários na
organização, políticas, plano de continuidade,
sistema de gestão da segurança da informação.
Sistema de Gestão da Segurança da
Informação (SGSI)
Política de Segurança da Informação
Pessoal
Gerenciamento da Continuidade do
Negócio
Gerenciamento de Comunicações e Processos
Operacionais
116
117. www.CompanyWeb.com.br
Sistema de Gestão da Segurança da Informação (SGSI)
•A ISO 27001 ajuda a definir uma estrutura para SGSI
•Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação
•Baseado no ciclo PDCA
•Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos
•Existe para preservar a confidencialidade, integridade e disponibilidade
Política de Segurança da Informação
• Documento importante do SGSI
• Serve para a gerência fornecer direção e suporte à organização
• Deve ser divulgada para todos na organização
• Pode-se usar o ciclo PDCA para verificar se a política está sendo seguida ou pode ser melhorada
• Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos
Pessoal
• Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos
• Pessoal precisa seguir o código de conduta
• Novos funcionários precisam pessar por uma checagem de ficha limpa
• Dependendo do cargo é necessário assinar um Non Disclosure Agreement (NDA) - Acordo de confidencialidade
• Visitantes precisam passar por um controle de acesso
117
119. www.CompanyWeb.com.br
• A teoria darwiniana está sempre presente nas estatísticas.
• São as empresas mais aptas que sobrevivem e não as mais fortes
2 em cada 5 empresas que sofrem interrupção por uma semana fecham as portas em menos de 3 anos.
Fonte: Disaster Recovery Institute (DRI)
119
121. www.CompanyWeb.com.br
Gerenciamento da Continuidade do Negócio
• Envolve manter disponibilidade dos sistemas de informação
no momento em que eles são requeridos após um desastre
Continuidade
• Incidente de grande impacto
Desastre
• Estabelece qual a continuidade dos processos de negócio que
será garantida
Plano de Continuidade de Negócios (PCN)
• Como se recuperar do desastre, como: Espaços de trabalho
alternativos; Data center redundante; Hot site sob demanda
Plano de Recuperação de Desastre
121
122. www.CompanyWeb.com.br
Documentar procedimentos de operação dos equipamentos e quem são os responsáveis.
• A segregação de funções ajuda
a estabelecer quem faz o quê; Testes e aceites antes de entrar em
produção.
As mudanças nos sistemas precisam ser gerenciadas
• Separar as funções e responsabilidades de cada um
Segregação de Funções
• Documentar requisitos que precisam ser atendidos; Estabelecer
contratos/ acordos SLA.
Terceirização
Proteção contra malware, phishing e spam
• Estabelecer orientações para como manusear mídias a fim de evitar
que informações valiosas caiam nas mãos de pessoas erradas; Política
mesa limpa deve sempre ser empregada.
Manuseio de mídias
122 122
123. www.CompanyWeb.com.br
Termo genérico para software malicioso; Pode ser um vírus, worm, trojan ou sypwareMalware
Uma forma de fraude na internet na qual a vítima recebe um e-mail pedindo para ela fazer
alguma coisa ou confirmar dados confidenciais (dados bancários, por exemplo)Phishing
Nome do coletivo de mensagens indesejáveisSpam
Pequeno programa de computador que se replica; Tem natureza destrutiva.Vírus
Pequeno programa de computador que se replica; Não depende da ação do usuário para
se espalhar pela redeWorm
É um programa que conduz atividades secundárias não percebidas pelo usuário; Usado
frequentemente para coletar informações confidenciais do sistema infectadoTrojan
Histórias falsas recebidas. Mensagem que tenta convencer o leitor da sua veracidade e
então persuadí-lo a fazer alguma açãoHoax
Pedaço de código deixado dentro de um sistemaLogic bomb
Programa de computador que coleta informação de um computador e envia para um
terceiroSypware
Uma rede de computadores utilizando software de computação distribuída.Botnet
Conjunto de ferramentas de softwares utilizado por um hackerRootkit 123
124. www.CompanyWeb.com.br
1. ISO 27002:2005
2. Conformidade
3. Propriedade intelectual
4. Proteção de dados pessoais
5. Prevenção de abuso das facilidades de TI
6. Responsabilidade
7. Lei Sarbanes-Oxley
124
125. www.CompanyWeb.com.br
• É um código de boas práticas para a segurança da informação; Há práticas que ajudam a atender a leis e regulamentos
ISO 27002:2005
• Legislação, regulamentos e obrigações contratuais devem sempre ser observados antes dos regulamentos internos da
empresa;
• A análise de riscos ajuda a identificar os níveis de segurança adequados para atender aos regulamentos
• Procedimentos precisam ser desenvolvidos para que os usuários apliquem estes regulamentos na prática
Conformidade
• Precisam ser considerados quando a empresa usa software ou material sujeito à tal. Deve haver orientações internas para
proteger estes direitos
Propriedade intelectual
• Independente de obrigação regulatória, as empresas precisam se preocupar
Proteção de dados pessoais
• Refere-se ao uso de recursos de TI da empresa para propósitos particulares e não autorizados
• Estabelecer código de conduta
Prevenção de abuso das facilidades de TI
• A alta gerência é a responsável final pelo cumprimento de leis e regulamentos
Responsabilidade
• Aplica-se a todas empresas que negociam ações nas bolsas de valores americanas
Lei Sarbanes-Oxley
125