Sistemas de Informao

Segurana e Auditoria de Sistemas

Trabalho
Plano de Segurana em Informtica: Metodologia e Implantao
Introduo
Com o aumento da utilizao e dependncia do computador traz uma preocupao bsica e
fundamental s organizaes que a segurana em informtica.
A deciso da adoo ou no de uma poltica de segurana em informtica deve basear-se em
uma avaliao de riscos, mediante custo x benefcio. Feita essa anlise, torna-se mais simples tomar
uma deciso.
importante ter em mente que as ameaas no partem somente de autores externos. A
segurana de qualquer sistema, em parte, est nas mos das pessoas que o gerenciam e operam.
1. Objetivos e abrangncia do Projeto
O objetivo principal fornecer meios para implementar, utilizar e manter segurana fsica e
lgica em informtica.
O plano de segurana permitir, a partir do diagnstico da rea de informtica e da situao
atual da informtica na organizao, definir as estratgias administrativas e tcnicas a serem
adotadas para se obter a situao de controle desejada.
2. Enfoque Metodolgico
A metodologia a ser utilizada para elaborao do plano de segurana procura abranger os
seguintes itens:
Anlise de riscos, atravs da identificao, probabilidade de ocorrncias e conseqncias,
das ameaas existentes;
Verificao e avaliao das medidas de proteo existente na rea de informtica;
Estabelecimento de prioridades de proteo;
Determinao dos requisitos de segurana;
Conscientizao e treinamento de pessoal;
Simulao e testes peridicos;
As principais etapas so:
1. Organizao e Administrao do Projeto
Nesta etapa, so estabelecidos o comit e gerncia do projeto, designados os integrantes da
equipe de trabalho, estabelecidas reunies do comit e definidas as reas a serem contempladas
no projeto.
2. Avaliao da Situao Atual da Segurana em Informtica
Sero realizadas entrevistas com as pessoas envolvidas no processo. Os resultados obtidos
atravs das respostas sero usados para definio das estratgias para a rea em questo,
identificao de fontes potenciais de riscos, de pontos positivos e modos de otimizao e a
definio de segmentos prioritrios.
3. Estratgia de Segurana em Informtica
Aqui as estratgias a serem adotadas sero definidas, alm da anlise do impacto das novas
medidas a serem implementadas.
4. Plano de Organizao da rea de Segurana em Informtica
Definio do papel, das responsabilidades e da estrutura da rea, bem como a poltica interna,
procedimentos, padres e reas com necessidade de funes de controle.
1

Sistemas de Informao
Segurana e Auditoria de Sistemas
Nesta etapa sero identificadas as necessidades de treinamento para o pessoal da rea de
informtica e usurios finais.
5. Plano de Tecnologia
Definio dos requisitos a serem cumpridos pelo hardware, software e pessoal envolvido,
considerando os seguintes controles: acesso fsico e lgico, organizacionais, de pessoal,
operacionais, de desenvolvimento e criptografia.
6. Plano de Ao
Os planos de ao visam garantir uma padronizao na linha de ao da rea de informtica,
bem como garantir bom nvel de segurana a cada rea abrangida, tais como: plano de
emergncia, backup e recuperao, e procedimentos de auditoria de sistemas.
7. Plano de Classificao de Dados
Aqui ser elaborado um programa de estabelecimento de registros vitais e sero definidas as
estratgias de classificao e recuperao de informaes sensveis.
8. Plano de Treinamento
Nesta etapa sero elaboradas diretrizes para a realizao de treinamento, simulao e testes do
plano de segurana em informtica a ser implantado.
9. Plano Ttico de segurana em informtica
Ser desenvolvida a estratgia de segurana em informtica a ser implementada, definidos os
pontos-chave da implementao, feita a apresentao do plano de segurana em informtica
(PSI) para o comit do projeto, e editado o referido plano.
10. Estrutura e Administrao do Projeto
Este projeto poder ser conduzido por uma organizao, ou por uma equipe mista formada por
pessoal da organizao e de uma consultora. A estrutura completa do projeto ter:
Comit executivo: ser composto por um ou mais profissionais da organizao e, quando
for o caso, um ou mais profissionais da consultora. Sua funo aprovar os resultados
apresentados e orientao no que diz respeito a diretrizes de trabalho a serem seguidas
durante o projeto.
Controle de Qualidade: acompanhamento constante de um elemento designado para esta
funo com ampla experincia em projetos nesta rea, com a finalidade de manter o
padro de qualidade dos servios.
Gerncia do Projeto: ser exercida por um profissional da organizao (e um da
consultora), a nvel de gerncia. Quando for o caso de consultora, este profissional agir
como ligao entre a equipe do projeto e a organizao bem como acompanhar o
desenrolar dos trabalhos. Este profissional ser responsvel pelo planejamento,
coordenao e execuo das tarefas a cargo da equipe do projeto.
Equipe Tcnica: ser composta por tcnicos especialistas em segurana em informtica,
da organizao e da consultora, quando for o caso.
Apoio Administrativo: responsvel pelas tarefas de apoio durante a elaborao do
projeto, tais como editorao e secretaria. Ser necessrio o envolvimento de usurios de
servios envolvidos, ou de outros segmentos da organizao, em termos de apoio para o
levantamento necessrio elaborao do projeto.

Sistemas de Informao
Segurana e Auditoria de Sistemas

11. Produto Final

O principal produto deste trabalho ser o plano de segurana em informtica PSI,
formalizado e documento em forma de relatrio que inclua os seguintes itens:
Sumrio Gerencial: resumo objetivo dos resultados dos trabalhos realizados.
Diagnstico da rea de Informtica: anlise e avaliao de medidas de proteo j
existentes, fontes potenciais de riscos, pontos positivos, estratgias e objetivos de
segurana em informtica, identificao das necessidades de segurana para a rea de
informtica.
Plano de Organizao da rea de Segurana em Informtica: definio de
responsabilidades e estrutura da rea, estabelecimento de normas e padres para a rea,
identificao das necessidades de treinamento.
Plano de Tecnologia: definio dos resultado, descrio dos resultados a serem
cumpridos pelos seguintes componentes: hardware, software e microcomputadores,
descrio dos controles e planos a serem implementados.
Planos de Ao: descrio dos planos de ao a serem implementados, planos de
emergncia, de backup, de recuperao e procedimentos de auditoria de sistemas.
Plano de Classificao de Dados: descrio do plano de registros vitais, descrio do
plano de classificao e recuperao de informaes sensveis.
Plano de Treinamento: descrio do plano de treinamento, descrio do plano de
documentao, descrio do processo permanente de simulao e teste do plano de
segurana em informtica.
Plano Ttico de Segurana em Informtica: plano de ao abrangendo todo o universo
de informtica da organizao, plano de segurana/contingncia.

Grupo: 5 pessoas (no mximo).

Entrega: 30 de outubro (Relatrio e Apresentao).
Relatrio: formato ABNT.
Apresentao: um componente do grupo ser sorteado para fazer a apresentao, que deve ser
rpida, mas com contedo relevante.
Valor: 15 pontos.