Sistemas de Informao Segurana e Auditoria de Sistemas

Trabalho Plano de Segurana em Informtica: Metodologia e Implantao

Introduo Com o aumento da utilizao e dependncia do computador traz uma preocupao bsica e fundamental s organizaes que a segurana em informtica. A deciso da adoo ou no de uma poltica de segurana em informtica deve basear-se em uma avaliao de riscos, mediante custo x benefcio. Feita essa anlise, torna-se mais simples tomar uma deciso. importante ter em mente que as ameaas no partem somente de autores externos. A segurana de qualquer sistema, em parte, est nas mos das pessoas que o gerenciam e operam. 1. Objetivos e abrangncia do Projeto O objetivo principal fornecer meios para implementar, utilizar e manter segurana fsica e lgica em informtica. O plano de segurana permitir, a partir do diagnstico da rea de informtica e da situao atual da informtica na organizao, definir as estratgias administrativas e tcnicas a serem adotadas para se obter a situao de controle desejada. 2. Enfoque Metodolgico A metodologia a ser utilizada para elaborao do plano de segurana procura abranger os seguintes itens: Anlise de riscos, atravs da identificao, probabilidade de ocorrncias e conseqncias, das ameaas existentes; Verificao e avaliao das medidas de proteo existente na rea de informtica; Estabelecimento de prioridades de proteo; Determinao dos requisitos de segurana; Conscientizao e treinamento de pessoal; Simulao e testes peridicos; As principais etapas so: 1. Organizao e Administrao do Projeto Nesta etapa, so estabelecidos o comit e gerncia do projeto, designados os integrantes da equipe de trabalho, estabelecidas reunies do comit e definidas as reas a serem contempladas no projeto. 2. Avaliao da Situao Atual da Segurana em Informtica Sero realizadas entrevistas com as pessoas envolvidas no processo. Os resultados obtidos atravs das respostas sero usados para definio das estratgias para a rea em questo, identificao de fontes potenciais de riscos, de pontos positivos e modos de otimizao e a definio de segmentos prioritrios. 3. Estratgia de Segurana em Informtica Aqui as estratgias a serem adotadas sero definidas, alm da anlise do impacto das novas medidas a serem implementadas. 4. Plano de Organizao da rea de Segurana em Informtica Definio do papel, das responsabilidades e da estrutura da rea, bem como a poltica interna, procedimentos, padres e reas com necessidade de funes de controle. 1

Sistemas de Informao Segurana e Auditoria de Sistemas Nesta etapa sero identificadas as necessidades de treinamento para o pessoal da rea de informtica e usurios finais. 5. Plano de Tecnologia Definio dos requisitos a serem cumpridos pelo hardware, software e pessoal envolvido, considerando os seguintes controles: acesso fsico e lgico, organizacionais, de pessoal, operacionais, de desenvolvimento e criptografia. 6. Plano de Ao Os planos de ao visam garantir uma padronizao na linha de ao da rea de informtica, bem como garantir bom nvel de segurana a cada rea abrangida, tais como: plano de emergncia, backup e recuperao, e procedimentos de auditoria de sistemas. 7. Plano de Classificao de Dados Aqui ser elaborado um programa de estabelecimento de registros vitais e sero definidas as estratgias de classificao e recuperao de informaes sensveis. 8. Plano de Treinamento Nesta etapa sero elaboradas diretrizes para a realizao de treinamento, simulao e testes do plano de segurana em informtica a ser implantado. 9. Plano Ttico de segurana em informtica Ser desenvolvida a estratgia de segurana em informtica a ser implementada, definidos os pontos-chave da implementao, feita a apresentao do plano de segurana em informtica (PSI) para o comit do projeto, e editado o referido plano. 10. Estrutura e Administrao do Projeto Este projeto poder ser conduzido por uma organizao, ou por uma equipe mista formada por pessoal da organizao e de uma consultora. A estrutura completa do projeto ter: Comit executivo: ser composto por um ou mais profissionais da organizao e, quando for o caso, um ou mais profissionais da consultora. Sua funo aprovar os resultados apresentados e orientao no que diz respeito a diretrizes de trabalho a serem seguidas durante o projeto. Controle de Qualidade: acompanhamento constante de um elemento designado para esta funo com ampla experincia em projetos nesta rea, com a finalidade de manter o padro de qualidade dos servios. Gerncia do Projeto: ser exercida por um profissional da organizao (e um da consultora), a nvel de gerncia. Quando for o caso de consultora, este profissional agir como ligao entre a equipe do projeto e a organizao bem como acompanhar o desenrolar dos trabalhos. Este profissional ser responsvel pelo planejamento, coordenao e execuo das tarefas a cargo da equipe do projeto. Equipe Tcnica: ser composta por tcnicos especialistas em segurana em informtica, da organizao e da consultora, quando for o caso. Apoio Administrativo: responsvel pelas tarefas de apoio durante a elaborao do projeto, tais como editorao e secretaria. Ser necessrio o envolvimento de usurios de servios envolvidos, ou de outros segmentos da organizao, em termos de apoio para o levantamento necessrio elaborao do projeto.

Sistemas de Informao Segurana e Auditoria de Sistemas

11. Produto Final O principal produto deste trabalho ser o plano de segurana em informtica PSI, formalizado e documento em forma de relatrio que inclua os seguintes itens: Sumrio Gerencial: resumo objetivo dos resultados dos trabalhos realizados. Diagnstico da rea de Informtica: anlise e avaliao de medidas de proteo j existentes, fontes potenciais de riscos, pontos positivos, estratgias e objetivos de segurana em informtica, identificao das necessidades de segurana para a rea de informtica. Plano de Organizao da rea de Segurana em Informtica: definio de responsabilidades e estrutura da rea, estabelecimento de normas e padres para a rea, identificao das necessidades de treinamento. Plano de Tecnologia: definio dos resultado, descrio dos resultados a serem cumpridos pelos seguintes componentes: hardware, software e microcomputadores, descrio dos controles e planos a serem implementados. Planos de Ao: descrio dos planos de ao a serem implementados, planos de emergncia, de backup, de recuperao e procedimentos de auditoria de sistemas. Plano de Classificao de Dados: descrio do plano de registros vitais, descrio do plano de classificao e recuperao de informaes sensveis. Plano de Treinamento: descrio do plano de treinamento, descrio do plano de documentao, descrio do processo permanente de simulao e teste do plano de segurana em informtica. Plano Ttico de Segurana em Informtica: plano de ao abrangendo todo o universo de informtica da organizao, plano de segurana/contingncia.

Grupo: 5 pessoas (no mximo). Entrega: 30 de outubro (Relatrio e Apresentao). Relatrio: formato ABNT. Apresentao: um componente do grupo ser sorteado para fazer a apresentao, que deve ser rpida, mas com contedo relevante. Valor: 15 pontos.