Escolar Documentos
Profissional Documentos
Cultura Documentos
So Paulo
2016
ao
Centro
em
Gesto
Governana da Tecnologia da
Informao.
So Paulo
2016
1) Examinador(a)
2) Examinador(a)
3) Presidente
AGRADECIMENTOS
A Deus pelo dom da vida, pela ajuda e proteo, pela Sua fora e presena
constante, e por me guiar concluso de mais uma preciosa etapa de minha vida;
minha me Maria Cleide Pires de Souza e ao meu pai Tarciso de Souza
Pinto responsveis diretos por cada uma de minhas realizaes.
minha esposa, Mariane de Morais Arajo, e a minha irm, Sarah Mary
Pires de Souza, pelo apoio em todos os momentos em que precisei.
A todos os professores do curso de Gesto e Governana da Tecnologia
da Informao, que muito contriburam com meu aprendizado.
Aos amigos que me acompanharam durante essa caminhada cheia de
desafios.
Agradeo a todos que no citei aqui, mas que colaboraram direta ou
indiretamente.
Por fim, ao Centro Universitrio SENAC por ter disponibilizado a estrutura
necessria para que eu passasse este perodo da minha vida aprendendo a ser um
profissional mais qualificado.
Sabei escutar, e podeis ter a certeza de que o silncio produz, muitas vezes, o
mesmo efeito que a cincia.
Napoleo Bonaparte
RESUMO
ABSTRACT
Security,
Information
Security
Management,
Risk
LISTA DE ILUSTRAES
Figura 1 Segurana da Informao: Trade CIA...............................................22
Figura 2 Quadro de Ameaas...........................................................................28
Figura 3 Princpios Bsicos do COBIT..............................................................38
Figura 4 Organograma Geral............................................................................53
Figura 5 Organograma Tecnologia da Informao...........................................54
LISTA DE GRFICOS
Grfico 1 Fatores motivadores de adoo GSI...................................................63
Grfico 2 Fatores inibidores de adoo GSI.......................................................63
Grfico 3 Motivadores versus Inibidores de adoo da GSI...............................64
Grfico 4 Porcentagem de risco por sesso.......................................................67
Grfico 5 Porcentagem de impacto por sesso..................................................68
Grfico 6 Porcentagem plano de resposta aos riscos........................................70
LISTA DE TABELAS
Tabela 1 Piores senhas de 2015........................................................................30
Tabela 2 Camada fsica......................................................................................59
Tabela 3 Camada lgica.....................................................................................60
Tabela 4 Camada humana..................................................................................60
Tabela 5 Analise de fatores Motivadores e Inibidores das trs camadas...........61
Tabela 6 Identificao de Eventos......................................................................65
Tabela 7 Nveis de Impacto................................................................................66
Tabela 8 Nveis de Probabilidade.......................................................................66
Tabela 9 Clculo de Impacto e Probabilidade....................................................66
Tabela 10 Aceitar, mitigar, eliminar ou Terceirizar o risco..................................69
Tabela 11 Plano de Ao....................................................................................70
Tabela 12 Controles selecionados do COBIT.....................................................80
ABNT
COBIT
ERP
IEC
ISACF
ISO
ITIL
NBR
Norma Brasileira
PDCA
GSI
SGSI
TI
Tecnologia da Informao
SUMRIO
1.INTRODUO....16
1.1. Tema..................................................................................................................17
1.2. Justificativa ........................................................................................................17
1.3. Objetivos ............................................................................................................18
1.3.1. Objetivo geral ..............................................................................................18
1.3.2. Objetivos especficos ..................................................................................18
1.4. Problema de pesquisa........................................................................................19
1.5. Delimitao do problema de pesquisa................................................................20
2. SEGURANA DA INFORMAO................................................................................21
2.1. Consideraes Iniciais .......................................................................................21
2.2. Viso Geral..21
2.3. Princpios Bsicos..22
2.4. Conceito de Segurana da Informao ..............................................................24
2.5. Ameaas Segurana da Informao ...............................................................28
2.5.1. Tipos de Ameaas.......................................................................................28
2.6. Mecanismos de Segurana ................................................................................28
2.7. Gesto de Riscos ...............................................................................................31
2.7.1. Ameaas .....................................................................................................33
2.8. COBIT ................................................................................................................36
2.8.1. Misso e Objetivo ........................................................................................37
2.8.2. Princpios ....................................................................................................38
2.8.3. Modelo de maturidade do COBIT ................................................................39
2.9. Normas ABNT NBR ISO/IEC da srie 27000 .....................................................39
2.9.1. Termos Definidos na Norma ........................................................................40
2.9.2. Abordagem de processos............................................................................42
2.9.3. ABNT NBR ISO/IEC 27001 .........................................................................43
2.9.4. ABNT NBR ISO/IEC 27002 .........................................................................44
2.9.5. ABNT NBR ISO/IEC 27005 .........................................................................45
16
1.
INTRODUO
17
1.1.
Tema
1.2.
Justificativa
18
1.3.
Objetivos
Este trabalho tem como principal objetivo auxiliar a empresa de mdio porte a
identificar seus pontos negativos e, colaborar com sugestes de melhoria cabveis
para assim evoluir sua gesto da segurana da informao.
19
1.4.
Problema de pesquisa
20
1.5.
21
2. SEGURANA DA INFORMAO
2.1.
Consideraes Iniciais
Neste captulo, ser apresentado o referencial terico que serviu como base para
este estudo.
Para construo do referencial terico deste trabalho, primeiramente foi
pesquisado na literatura da rea o conceito de segurana da informao e os dados
mais recentes sobre incidentes envolvendo o tema; em seguida procurou-se
levantar o valor das informaes organizacionais, sua forma de classificao e sua
importncia para a continuidade do negcio.
Foram reunidos os conceitos e definies de Segurana da Informao,
classificao da informao, a importncia da Segurana da Informao no
contexto empresarial e os tipos de Segurana. Vrios autores foram consultados
sobre o uso de TI em medias empresas e gesto da segurana da informao, bem
como os fatores de sucesso e insucesso para sua implementao e os
influenciadores para sua adoo.
2.2.
Viso Geral
Entende-se por informao qualquer contedo ou conjunto de dados com valor para
determinada organizao ou pessoa, sendo esta, um recurso de extremo valor na
sociedade atual. Com a utilizao de sistemas informatizados conectados e
integrados atravs das redes, as informaes armazenadas e trafegadas dentre
estes esto, de uma forma ou de outra, vulnerveis e sujeitas a ameaas diversas
que possam comprometer a integridade destes sistemas, tambm como a
segurana das entidades e outras informaes a elas concernentes. A segurana
da informao nesse contexto se mostra essencial, e at mesmo crtica em alguns
casos, para que a consistncia dos sistemas no seja afetada, garantindo a
reduo de riscos de fraudes, erros, vazamento, roubo e uso indevido e uso
indevido de informaes. A segurana pode ser afetada por certos comportamentos
de seus usurios, pelo ambiente ou estrutura que a cerca, ou por sujeitos mal-
22
2.3.
Princpios Bsicos
por
CIA:
Confidencialidade,
Integridade
Disponibilidade
Integridade
A integridade dos dados refere-se certeza de que os dados no so
adulterados, destrudos ou corrompidos. a certeza de que os dados no
sero modificados por pessoas no autorizadas. Existem basicamente dois
23
Confidencialidade
A confidencialidade dos dados significa que estes esto disponveis apenas
para as partes apropriadas, que podem ser partes que requerem acesso a
dados ou partes que so confiveis. Os dados que tm sido mantidos
confidenciais so aqueles que no foram comprometidos por outras partes;
dados confidenciais no so divulgados a pessoas que no necessitam ou
que no deveriam ter acesso a eles.
Garantir a confidencialidade significa que a informao organizada em
termos de quem deveria ter acesso, bem como a sua sensibilidade.
Entretanto, a quebra de sigilo pode ocorrer atravs de diferentes meios,
como por exemplo, a engenharia social.
Disponibilidade
A disponibilidade dos dados e da informao significa que esta est
disponvel quando for necessria. Para que um sistema demonstre
disponibilidade, deve dispor um sistema computacional, de controles de
segurana e canais de comunicao de bom funcionamento. A maioria dos
sistemas disponveis so acessveis em todos os momentos e tem
garantias contra falhas de energia, desastres naturais, falhas de hardware
e atualizaes de sistemas.
A disponibilidade um grande desafio em ambientes colaborativos como
tais ambientes devem ser estveis e continuamente mantidos. Tais
sistemas tambm deve permitir que os usurios acessem as informaes
necessrias com o tempo de espera pequeno. Sistemas redundantes pode
ser posto em prtica para oferecer um alto nvel de fail-over. O conceito de
disponibilidade pode tambm referir-se a usabilidade de um sistema.
Segurana da informao refere-se preservao da integridade e do
sigilo, quando a informao armazenada ou transmitida. Violaes de
segurana da informao ocorrem quando as informaes so acessadas
24
2.4.
25
Integridade do contedo;
Irretratabilidade da comunicao;
Confidencialidade do contedo;
de
integridade
agentes
disponibilidade
participantes
em
da
informao,
transaes
ou
a
na
26
27
Interna: O acesso livre a este tipo de informao deve ser evitado, embora
as consequncias do uso no autorizado no sejam por demais srias. Sua
integridade importante, mesmo que no seja vital.
28
2.5.
2.6.
Mecanismos de Segurana
29
Controles fsicos
Controles fsicos podem ser definidos como barreiras que limitam o contato
ou acesso direto informao ou infraestrutura qual garante a sua
existncia.
Exemplos de mecanismos de controles fsicos: portas, trancas, paredes,
blindagens.
Controles lgicos
Controles lgicos podem ser definidos como barreiras que impedem ou
limitam acesso informao em meio eletrnico.
Exemplos de mecanismos de controles lgicos: criptografia, assinatura
digital, autenticao.
Controladores lgicos so apoiados por mecanismos de segurana tais
como a criptografia e a assinatura digital, porm mais comum encontrar
na Internet, limitadores e controladores de acesso para autenticao de
usurios, por meio de um sistema de senhas.
Da Silva e Stein (2007) discutem, contudo, que os requisitos para a
elaborao de uma senha segura esbarram na capacidade cognitiva de
seus usurios, dando origem a inmeros problemas.
Senhas
Uma senha um mecanismo de autenticao, utilizada no processo de
verificao de identidade do usurio, assegurando que este quem
realmente diz ser.
Uma senha mal elaborada, fcil de ser decifrada, pode ser obtida por
sujeitos mal-intencionados, e uma vez que autenticado como outra pessoa,
obter informaes privilegiadas e desferir ataques sem ser identificada.
30
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
123456
password
12345678
qwerty
12345
123456789
football
1234
1234567
baseball
welcome
1234567890
abc123
111111
1qaz2wsx
dragon
master
monkey
letmein
login
princess
qwertyuiop
solo
passw0rd
starwars
31
2.7.
Gesto de Riscos
32
salvos de
ameaas
sua
confidencialidade, integridade e
33
Poltica de segurana;
Monitorao da rede;
Auditorias; etc.
Ao legal;
Restaurao do servio;
2.7.1. Ameaas
Desde que os computadores comearam a ser usados, as tentativas de acesso no
autorizado a eles existem; entretanto, foi s aps o uso comercial da
Internet que o problema se tornou mais crtico. Associados a essas ameaas
encontram-se alguns termos que se tornaram manchetes de publicaes
destinadas ao pblico especializado em informtica e at na imprensa noespecializada:
(CARUSO e STEFFEN, 1999).
34
35
recursos de TI a engenharia social. Engenharia Social a tcnica de aproveitarse da boa-f das pessoas para obter informaes que possibilitem ou facilitem o
acesso aos recursos computacionais de uma organizao por parte de usurios
no autorizados. Fontes (2006) define engenharia social como: o conjunto de
procedimentos e aes que so utilizados para adquirir informaes de uma
organizao ou de uma pessoa por meio de contatos falsos sem o uso da fora, do
arrombamento fsico ou de qualquer brutalidade.
Existem diversas formas de se efetuar um ataque de engenharia social,
mas todas elas tm em comum a caracterstica de usarem basicamente psicologia
e perspiccia para atingir os seus propsitos. Atualmente, as mais populares so:
Usar telefone ou e-mail para se fazer passar por uma pessoa ou instituio
que precisa de determinadas informaes para resolver um suposto
problema;
36
COBIT
O COBIT (Control Objectives for Information and Related Technology) foi criado em
1994 pelo ITGI (IT Governance Institute) com a finalidade de ajudar a aperfeioar
informaes sobre investimentos e a prover medidas para o tratamento de
necessidades das organizaes. O modelo passou por diversas evolues e, em
2007, foi publicada a verso 4.1, que ser abordada neste trabalho.
Conforme explica o ITGI (2007):
O COBIT focado no que necessrio para atingir um adequado
controle e gerenciamento de T.I. e est posicionado em elevado
nvel. O COBIT foi alinhado e harmonizado com outros padres e
boas prticas de T.I. mais detalhados. O COBIT atua como um
integrador desses diferentes materiais de orientao, resumindo os
principais objetivos sob uma metodologia que tambm est
relacionada aos requisitos de governana e de negcios. O COSO
(e outra metodologias similares) geralmente aceito como uma
metodologia de controle interno para corporaes. O COBIT um
modelo de controles internos geralmente aceitos para a rea de T.I.
37
38
2.8.2. Princpios
De acordo com o ITGI (2007), o modelo COBIT baseado nos seguintes princpios:
Prover a informao de que a organizao precisa para atingir os seus objetivos,
as necessidades para investir, gerenciar e controlar os recursos de T.I. usando um
conjunto estruturado de processos para prover os servios que disponibilizam as
informaes
necessrias
para
organizao.
Tais
esquematizados na Figura 3.
princpios
esto
39
2.9.
40
41
Autenticidade propriedade que nos diz que uma entidade aquilo que
realmente afirma ser;
Segurana
da
Informao
preservao
da
confidencialidade,
42
43
44
A norma ISO 27002 a partir de julho de 2007 o novo nome da norma ISO 17799.
Esta norma um guia de boas prticas que descreve os objetivos de controlo e os
controlos recomendados para a Segurana da Informao.
O Cdigo de Boas Prticas ISO/IEC 27002 fornece uma estrutura para
avaliar os sistemas de gesto de segurana da informao, baseada em um
conjunto de diretrizes e princpios que tm sido adotadas por empresas, governos
e organizaes empresariais em todo o mundo (ISO/IEC 27002, 2013).
A norma ISO/IEC 27002 est estruturada em 11 sees, cada uma destas
constituda por categorias de segurana da informao, sendo que cada categoria
tem um objetivo de controle definido, um ou mais controles que podem ser
aplicados para atender ao objetivo de controle, as descries dos controles, as
diretrizes de implementao e informaes adicionais. Ao todo, so 133 controles
divididos em (1) poltica de segurana da informao, (2) organizao da segurana
da informao, (3) gesto de ativos, (4) segurana em recursos humanos, (5)
segurana fsica e de ambiente, (6) gerenciamento das operaes e comunicaes,
(7) controle de acesso, (8) aquisio, desenvolvimento e manuteno de sistemas
de informao, (9) gerenciamento de incidentes de segurana da informao, (10)
gerenciamento da continuidade do negcio e (11) conformidade legal. A norma
ISO/IEC 27002 ser utilizada como auxlio na elaborao da Poltica de Segurana
45
Identificao de riscos;
46
47
Smola (2003) contribui com a viso de Caruso e Steffen (1999) afirmando que
muitos erros so praticados na gesto da segurana da informao pela viso
mope e a percepo distorcida do problema, pois muitos gestores enxergam
somente os problemas associados tecnologia como: Internet, redes,
computadores, e-mail, vrus e hacker. Em funo desse entendimento parcial, o
autor lista uma srie de concepes errneas acerca da gesto da segurana da
informao:
48
devendo ser formalizada e divulgada a todos os usurios que fazem uso dos ativos
de informao.
Os itens mais importantes para manter a Segurana da informao da
empresa so: elaborar a Poltica de Segurana e o gerenciamento de suporte
adequados, seguido do nvel de conscientizao dos funcionrios (ASCIUTTI,
2012).
49
50
Desenvolvimento
Manuteno
de
Sistemas
de
51
52
3.
METODOLOGIA
Natureza da Pesquisa
O mtodo exploratrio foi utilizado na fase inicial desta pesquisa, visto que o
objetivo maior no foi o de resolver um problema, mas sim caracteriz-lo, com base
no relatrio que ser gerado como resultado. Envolver levantamento bibliogrfico,
observao do ambiente de estudo, e contato com pessoas. Este trabalho pode ser
caracterizado como uma pesquisa exploratria, pois visa familiaridade com os
problemas com vistas a torn-lo explcito. Quanto abordagem, este trabalho
uma pesquisa qualitativa, visto que no faz uso de mtodos e tcnicas estatsticas,
o ambiente natural a fonte direta para coleta de dados. Quanto aos
procedimentos, este trabalho pode ser caracterizado como um estudo de caso
nico. A tcnica para coleta de dados ser a observao.
3.2.
Para realizao do estudo e coleta dos dados e informaes foi utilizada a pesquisa
de campo.
De acordo com GIL (1993), as pesquisas de campo caracterizam-se pela
interrogao direta das pessoas cujo comportamento se deseja conhecer.
Basicamente, procede-se solicitao de informaes a um grupo significativo de
pessoas acerca do problema estudado para, em seguida, mediante anlise
quantitativa, obtm-se as concluses correspondentes aos dados coletados.
Conforme descreve MARCONI e LAKATOS (1999):
A pesquisa de campo aquela utilizada com o objetivo de
conseguir informaes e/ou conhecimentos acerca de um problema
para o qual se procura uma resposta, ou de uma hiptese que se
queira comprovar, ou, ainda, descobrir novos fenmenos ou as
53
Caracterizao da empresa
54
3.4.
55
3.5.
Anlise
56
57
3.6.
58
59
4.
Nove questes foram formuladas para representar a camada fsica com base nas
sees (tabela 2): Gesto das operaes e comunicaes, Segurana fsica e do
ambiente, Controle de acesso, Gesto de incidentes de segurana da informao;
presentes na norma ISO/IEC 17799:2005.
FERRAMENTAS/TCNICAS
Possui
Antivirus
No possui
Sistema de backup
Firewall
X
X
X
X
60
FERRAMENTAS/TCNICAS
Possui
No
possui
Possui No possui
X
X
X
X
X
61
Classificao da informao
X
X
X
4.2.
FATORES
MOTIVADORES
INIBIDORES
Camada Fsica
Antivrus
Sistema de backup
Firewall
Equipamento para proteo de falhas na energia
eltrica
Nome de usurio, senha individual e secreta
para acesso a rede
4
3
2
3
62
1
4
1
1
4
2
Classificao da informao
Conscientizao, educao e treinamento em
segurana
Plano de recuperao de desastres e
contingncia
1
3
4
2
1
63
Incidente de segurana
Dificuldade em mensurar
Cultura organizacional
64
MOTIVADORES
INIBIDORES
INIBIDORES; 13;
65%
4.3.
65
4.4.
Identificao de Eventos
Eventos
Acesso Fsico no autorizado ao Data Center
Danos aos discos fsicos
Destruio de dados, discos, documentos, relatrios
Falha do hardware
Data Center
Cabeamento no estruturado
Energia do Data Center
Acesso irrestrito a documentos eletrnicos
Ataque de vrus
Segurana da Informao
Internet
Sistema e Rede
66
4.5.
Avaliao de Risco
Impacto
Crtico
Srio
Moderado
Menor
1
Negligencivel
Tabela 7 Nveis de Impacto Fonte: FAGUNDES (2011)
Nvel
Probabilidade
Altamente provvel
Muito provvel
Provvel
Pouco provvel
1
Improvvel
Tabela 8 Nveis de Probabilidade Fonte: FAGUNDES (2011)
Data Center
Segurana da
Informao
Eventos
Impacto
Prob.
Risco
Cabeamento no estruturado
Ataque de vrus
20
15
10
16
10
10
10
25
10
15
20
67
Internet
Sistema e Rede
Perda de arquivos
15
16
20
12
15
5
20
12
15
15
Data Center
Segurana da Informao
Internet
Sistema e Rede
68
71%
70%
60%
50%
40%
30%
19%
20%
10%
10%
0%
0%
0%
Crtico
Srio
Moderado
Menor
Negligencivel
69
4.6.
O Plano de Respostas aos Riscos o plano que define qual estratgia ser
adotada para cada risco identificado conforme a tabela 10. Estas estratgias podem
ser:
Risco
Aceitar
Mitigar Eliminar
Destruio de dados,
discos, documentos,
relatrios
Falha do hardware
X
X
X
X
Cabeamento no estruturado
Energia do Data Center
X
X
Acesso irrestrito a
documentos eletrnicos
Ataque de vrus
Segurana da
Alterao indevida de informaes
Informao
Internet
Transferir
X
X
Falta de conscientizao em
riscos por parte da Alta
Administrao
Poltica de Segurana incompleta
Hackers, Crackers,
Criminosos Profissionais
Analisador de pacotes na
rede vulnerveis
70
X
X
X
X
X
X
Perda de arquivos
Sistema e
Rede
52%
50%
38%
40%
30%
20%
10%
5%
5%
0%
Mitigar
Eliminar
Aceitar
Transferir
4.7.
Risco
Acesso Fsico no
autorizado ao Data
Center
Atualmente
Desejvel
71
A servidores no tem
contingncia, sistema precrio
Danos aos Discos
de discos rgidos.
Fsicos
Destruio de dados,
O Backup feito em discos
Data Center discos, documentos,
rgidos.
relatrios
Falha do Hardware
Cabeamento no
estruturado
Ataque de Vrus
Os cabos de redes so
identificados faltado apenas Controle mais rgido quanto a
organizao na disposio dos organizao do cabeamento.
mesmos.
Acesso irrestrito a
documentos
eletrnicos
Documentar acessos e
Hackers, Crackers,
Criminosos
Profissionais
Analisador de
Pacotes na Rede
vulnerveis
Os funcionrios no esto
capacitados para lidar com
ataques.
No possuem software.
Revisar poltica de
segurana, criar e
disponibilizar documento.
Adquirir software de
monitoramento e treinamento.
72
Internet
Perda de arquivos
Falha de programa
aplicativo, sistema
operacional, etc.
Sistema e
Indisponibilidade dos Servidores ainda no possuem
Rede
Realizar projeto para duplicar
duplicao.
sistemas
servidor.
Queda do Link de
Internet
Aumentar a velocidade do
link de backup.
Tabela 11 Plano de Ao
73
tratada como estratgica. Existem apenas medidas emergenciais que tentam tratar
estes riscos e na maioria das vezes acontecem de forma intuitiva, no chegando a
ser um processo formal definido.
Embora a organizao Anonymous company tenha dado um grande passo
abrindo espao para este estudo e, colaborar para a elaborao da poltica de
segurana da informao, a mudana de cultura para que a segurana da
informao seja vista como organizacional e no apenas como algo imposto pela
TI um fator importante que deve ser observado.
O projeto ser utilizado pela Anonymous company para projetos internos,
buscando a melhoria no s no setor de TI, mas na empresa como um todo.
No Apndice A esto os controles do COBIT que foram selecionados
segundo a deficincia da empresa. O propsito da utilizao do COBIT utiliz-lo
como instrumento de apoio, pois essa ferramenta permite boas prticas para
controles de TI em toda a empresa. Esses objetivos de controle sero um auxlio
para mapear os processos de forma mais detalhadas.
Os controles do COBIT foram selecionados atravs das deficincias mais
urgentes percebidas na empresa.
4.8.
embasado
em
normas,
pode
ser
encontrado
no
site
74
Todo o contedo que foi criado ao decorrer deste trabalho ser repassado
a empresa.
Controles do COBIT tambm foram sugeridos neste trabalho e podem ser
consultados pela empresa.
De maneira geral, o primeiro passo definir pessoas responsveis que faro
parte de um comit para discutir junto a Alta Administrao as necessidades do setor
de TI e mostrar como isso afetaria no bom andamento da empresa. O segundo
passo, utilizar a Poltica de Segurana elaborada como base e adicionar itens de
interesse da empresa. Comunicar a Poltica o passo seguinte. O projeto pode ser
utilizado como uma base para que as mudanas ocorram.
75
5.
CONCLUSO
76
6.
REFERNCIAS
77
78
79
80
Justificativas
PO1.1 Gerenciamento de
PO1.2 Alinhamento
Valor da TI entre
TI e Negcio
PO1.3 Avaliao da
Capacidade e
Desempenho Correntes
PO1.6 Gerenciamento do
Portflio de TI
Gerenciar os
Investimentos de TI para
atingir os objetivos estratgicos
especficos de negcios
PO2
PO2.3 Esquema de
Classificao de Dados
PO2.4 Gerenciamento de
Integridade
Assegurar a integridade do
banco de dados e todos os
arquivos e dados da empresa
Modelo
Maturidade
Objetivos de controle
PO1
Controles
de
PO3.3 Monitoramento de
Regulamentos e
Tendncias Futuras
Monitorar as tendncias de
tecnologia, infraestrutura.
PO4.1 Estrutura de
Processos de TI
PO4.4 Posicionamento
Organizacional da rea de
TI
PO4.5 Estrutura
Organizacional de TI
PO4.8
Responsabilidades por
Riscos, Segurana,
Conformidade
Falta definir um
Responsvel pela Segurana
da informao
PO 4.9 Proprietrios de
Dados e sistemas
Decises sobre a
Classificao da informao
PO 4.10 Superviso
PO4
PO3
PO3.2 Plano de
Falta um plano de investimento
Infraestrutura Tecnolgica
em pessoal e sistemas de
informao
81
82
PO4.11 Segregao de
Funes
Separar papis e
responsabilidades que reduza
a possibilidade de um nico
indivduo subverter um
processo crtico. A gerncia
tambm deve se certificar de
que o pessoal esteja
executando apenas tarefas
autorizadas relevantes aos
seus respectivos cargos e
posies.
PO4.12 Recrutamento de
pessoal de TI
Avaliar os requisitos de
contratao e garantir que a
rea de TI tenha quantidade
suficiente de pessoal para
suportar de forma adequada os
objetivos e metas de negcios.
PO4.14 Polticas e
Procedimentos para
Pessoal Contratado
PO4.15
Relacionamentos
PO5.1 Estrutura da
Administrao Financeira
PO5.3 Processo de
Oramento de TI
Definir prioridades no
oramento
investi
mento
s de
TI
P
O
Gerenciar5os
1 Inicial: A
organizao
reconhece a
necessidade de
gerenciar o
investimento em TI,
mas comunicada
inconsistentement
e. As decises so
focadas
PO6.1 Poltica de TI e
Ambiente de Controle
PO6.2 Risco de TI
Corporativo e Estrutura
Interna de Controle
PO6.3 Gerenciamento de
Polticas de TI
Falta gerenciamento de
polticas de TI
PO6.4 Distribuio da
Poltica
PO 7.1 Recrutamento e
Reteno de Pessoal
PO 7.2 Competncias
Pessoais
Falta avaliao de
competncia pessoal
PO7.3 Preenchimento de
Vagas
PO 7.4 Treinamento de
Pessoal
PO 7.5 Dependncia de
Indivduos
PO 7.6 Procedimentos de
Liberao de Pessoal
PO 7.7 Avaliao de
Desempenho Profissional
PO 7.8 Mudana e
Desligamento de Cargo
operacionalmente.
PO5.4 Gerenciamento de
Custo
1
Inicial:
a
administrao reconhece a
necessidade
de
gerenciamento
dos recursos
humanos de TI
PO7
PO6
83
PO 9.1 Alinhamento da
gesto de riscos de TI e de
negcios
PO 9.2
Estabelecimento do
Contexto de risco
PO 9.3 Identificao de
Eventos
PO 9.6 Manuteno e
monitoramento do plano
de ao de risco
1Inicial: Os requisitos
no so
documentados. H
uma conscincia da
Necessidade de definir
os requisitos e identificar
as solues.
Solues Automatiz
AI1
PO9
84
0. Inexistente:
Gerenciar riscos no
considerado
relevante para
adquirir solues ou
entregar
servios de TI
AI4
AI3
85
AI3.1 Plano de
Aquisio de Infraestrutura
tecnolgica
AI3.2 Infraestrutura de
recursos, proteo e
disponibilidade
AI 3.3 Manuteno da
infraestrutura
Falta um plano de
manuteno da infraestrutura
A
I
5
Adquirir recursos
de TI
AI 4.4 Transferncia de
conhecimento s equipes
de operaes e suporte
AI5.1 Controle de
Aquisies
AI 5.3 Seleo de
Fornecedores
1 Inicial: Existe
conscincia de que a
infraestrutura de TI
importante, no h
nenhuma abordagem
consistente.
1 Inicial: H
conscincia de que a
documentao de
processos
necessria. A
documentao
ocasionalmente
produzida e
inconsistentement
e distribuda a
grupos limitados.
86
AI 5.4 Aquisio de
Recursos de TI
Gerenciar Mudanas
AI6
AI 6.1 Padres e
Procedimentos de Mudana
Falta acompanhamento e
documentao.
AI 6.2 Avaliao de
Impacto, priorizao e
autorizao.
AI 6.3 Mudanas de
Emergncia
0 Inexistente: No h
um processo de
gerenciamento de
mudanas
formalmente
estabelecido, e as
mudanas podem ser
feitaspraticamente
sem nenhum controle.
AI 6.4 Acompanhamento de
Status e Relatrios de
Mudanas
AI 7.1 Treinamento
Falta planejamento na
migrao de dados e
procedimentos de retorno
situao anterior e de
recuperao de falhas.
DS 1.5 monitoramento e
relatrio de realizaes de
nvel de servio
Falta um controle de
desempenho e andamento
de servio
1 Inicial: Existe a
conscincia da
necessidade. As
abordagens de testes
variam.
Instalar e Homologar
Solues e Mudanas
Definir e Gerenciar Nveis de Servios
DS1
AI7
AI 6.5 Finalizao da
Mudana e
Documentao
DS 2.4 Monitoramento de
desempenho do fornecedor
Estabelecer um processo
para monitorar a prestao
do servio de modo a
assegurar que o fornecedor
atenda aos requisitos
atuais do
DS 2.1 Identificao do
relacionamento com todos os
fornecedores
DS2
87
DS 3.1 desempenho e
planejamento de capacidade
Falta estabelecer um
processo de planejamento
para a realizao de anlise
crtica do desempenho e da
capacidade dos recursos de
TI,
DS 3.2 capacidade e
desempenho atuais
DS 3.3 capacidade e
desempenho futuros
Identificar as tendncias de
carga de trabalho e realizar
previses para orientar o
plano de capacidade e
desempenho.
D
S
3
Gerenciar capacidade de
desempenho
negcio.
88
DS 3.5 monitoramento e
relatrio
Monitorar constantemente o
desempenho e a
capacidade dos recursos de
TI
D
S
4
A
s
s
e
g
u
r
a
r
a
c
o
n
t
i
n
u
i
d
a
d
e
d
e
s
e
1 Inicial: as responsabilidades pela continuidade dos
r servios so informais e
a autoridade ra exercer essas responsabilidades
limitada.
v
i
o
s
DS 3.4 Disponibilidade de
recursos de TI
DS 4.1 estruturas de
continuidade
DS 4.2 Planos de
continuidade de TI
Desenvolver planos de
continuidade de TI com
base na estrutura e
projetados para reduzir o
impacto de uma grande
interrupo de funes e
processos de negcio
fundamentais.
89
essencial que as
mudanas nos
Procedimentos e
responsabilidades sejam
comunicadas claramente e
de forma oportuna.
Testar o plano de
continuidade de TI
regularmente para
assegurar que os sistemas
de TI possam
Ser efetivamente
recuperados
DS 4.6 treinamentos do plano
de continuidade de TI
DS 4.8 Recuperao e
retomada dos servios de TI
Armazenar remotamente
todas as mdias de cpias
de segurana crticas,
documentao e outros
recursos de TI necessrios
para a recuperao da TI e
os planos de continuidade
de negcio.
Falta documentao
Inicial:
A
organizao reconhece a
necessidade de segurana de TI. A
conscincia da necessidade de segurana
depende principalmente das pessoas. A
segurana de TI tratada de forma reativa
e no
DS 4.9 Armazenamento de
cpias de segurana em
locais remotos
DS5
90
DS 6.2 Contabilidade de TI
1 Inicial: Os custos de TI so
alocados
como
custo
operacional geral.
DS6
DS 5.11 comunicaes de
dados confidenciais
Estabelecer e atualizar
regularmente um currculo
para cada grupo-alvo de
empregados,
DS7.2 Entrega de
treinamento e ensino
Registrar
inscries
(Incluindo pr-requisitos),
frequncia de participao e
avaliaes de desempenho.
DS 7.3 Avaliao do
treinamento recebido
Avaliar o contedo do
ensino e do treinamento
recebidos no que diz
respeito a relevncia,
qualidade, efetividade,
absoro e reteno do
conhecimento, custo e valor.
DS 8 Central de servio
DS 8.3 Escalonamento de
incidentes
Estabelecer os
Procedimentos da central de
servio para que os
incidentes que no podem
ser resolvidos
imediatamente sejam
adequadamente
encaminhados, e solues
temporrias sejam
implementadas, se
aplicvel.
D
S
8
Gerenciar a central de servio e os incidentes
DS7
91
DS 8.4 Encerramento de
incidentes
Estabelecer procedimentos
para o monitoramento
peridico do encerramento
de chamados de clientes.
Tambm registrar e relatar
incidentes no solucionados
(erros j conhecidos e
alternativas existentes) para
prover informaes visando
o adequado gerenciamento
dos problemas.
Gerar relatrios de
atividades da central de
servio,
DS 9.1 repositrios de
Estabelecer uma ferramenta
configurao e perfis bsicos de suporte e um repositrio
central para conter todas as
informaes relevantes
sobre os itens de
configurao.
DS 9.2 identificao e
manuteno dos itens de
configurao
Implantar procedimentos de
configurao para suportar
a Direo e registrar todas
as alteraes no repositrio
de configuraes.
DS 9.3 revises da
integridade de configurao
Periodicamente revisar os
dados de configurao para
verificar e confirmar a
integridade da configurao
atual e histrica.
Gerenciar a configurao
DS9
92
DS 10.2 Rastreamento e
resoluo de problemas
O sistema de
gerenciamento de
problemas deve fornecer
recursos de trilha de
auditoria adequados que
permitam o rastreamento, a
anlise e a identificao da
causa-raiz de todos os
problemas reportados,
DS 11.1 Requisitos de
negcio para o
gerenciamento de dados
recebidos, processados de
maneira completa, precisa e
no tempo apropriado e que
toda sada seja entregue de
acordo com os requisitos de
negcio.
DS 11.2 Arranjos de
armazenamento e reteno
Definir e implementar
procedimentos para um
efetivo e eficiente
armazenamento de dados,
reteno e arquivamento
para atender aos objetivos
de negcio, poltica de
segurana da organizao e
s exigncias regulatrias.
DS 11.3 Sistemas de
gerenciamento de biblioteca
de mdia
Definir e implementar
procedimentos para manter
um inventrio de mdia
local, assegurando sua
usabilidade e integridade.
DS 11.5 Backup e
restaurao
0 Inexistente: No h conscientizao da
necessidade de gerenciamento de problemas
tampouco h diferenciao entre problemas e
incidentes. Portanto, no h tentativa de
identificar a origem dos incidentes.
DS 10.1 Identificar e
classificar os problemas
1 Inicial:
responsa
bilidade final
pelo gerencia
mento
Gerenciar os problemas
Gerencia
r os dados
DS11
DS10
93
Definir e estabelecer
polticas e procedimentos
para identificar e aplicar
requisitos de segurana
aplicveis ao recebimento,
processamento,
armazenamento fsico e
sada de dados para
atender aos objetivos de
negcio, poltica de
segurana da organizao e
a exigncias regulatrias
DS 12.2 Medidas de
segurana fsica
Definir e implementar
medidas de segurana fsica
alinhadas com os requisitos
de negcio para proteger o
local e os ativos fsicos
Os acessos a instalaes,
prdios e reas devem ser
justificados, autorizados,
registrados e monitorados.
Projetar e implementar
medidas de proteo contra
fatores ambientais
DS 12.5 gerenciamentos de
instalaes fsicas
Gerenciar as instalaes
fsicas, incluindo
equipamentos de energia e
comunicao,
DS 13.1 procedimentos e
instrues de operaes
Definir, implementar e
manter procedimentos
padronizados para as
operaes de TI e
assegurar que a equipe de
operaes esteja
familiarizada com todas as
atividades operacionais
relevantes
DS 13.3 monitoramentos da
infraestrutura de TI
Definir e implementar
procedimentos para
monitorar a infraestrutura de
TI e eventos relacionados.
DS 11.6 Requisitos de
segurana para o
gerenciamento de dados
D
S
1
Gerenciar
3 as operaes
DS12
94
DS 13.5 Manuteno
preventiva de hardware
Definir e implementar
procedimentos para
assegurar a manuteno da
infraestrutura em tempo
hbil para reduzir a
frequncia e o impacto de
falhas ou degradao de
desempenho.
ME 1.4 avaliao de
desempenho
Analisar periodicamente o
desempenho com base nas
metas, executar anlise de
causa-raiz dos problemas e
iniciar ao corretiva para tratar
as causas ocultas.
ME 2.1 monitoramentos da
estrutura de controles
internos
Falta monitoramento
ME 4.1 estabelecimentos de
uma estrutura de
governana de TI
1
Inicial:
Normalmente
o
monitoramento implementado
como resposta a um incidente que
tenha causado algum tipo de perda ou
embarao organizao.
A Direo de TI no atribuiu
formalmente a responsabilidade pela
eficcia do monitoramento dos controles
internos.
DS 13.4 documentos
confidenciais e dispositivos
de sada
1 Inicial:
H
reconheci
mento de
que
Monitorar e Avaliar o
Desempenho
Monitorar e Avaliar os Controles Internos
Prover a
Governan
a de TI
ME4
ME2
ME1
95
96
ME 4.2 alinhamentos
estratgico
ME 4.4 gerenciamentos de
recursos
Supervisionar o investimento, o
uso e a alocao dos recursos
de TI por meio de avaliaes
peridicas