Seguranca Da Informacao

Segurana da Informao
Fernando Morse
www.morse.oi.com.br
morse@oi.com.br
1
12. Segurana da Informao:
Conceitos gerais;
Poltica de Segurana de Informao;
Classificao de Informaes; e
Norma ISO 27001:2005.
2
Gesto da Segurana da Informao
Conceitos Gerais
3
A Gesto da Segurana da Informao surgiu diante da necessidade

de se minimizar os riscos inerentes informao em sistemas
computacionais.
Desta forma, foram definidas polticas de segurana, as quais

baseiam-se em um conjunto de normas, padres e procedimentos
relacionados s boas prticas na segurana da informao.
Para a implantao de uma poltica de segurana exige-se que uma

organizao gerencie, proteja e distribua os recursos necessrios para
se atingir objetivos especficos.
4
A Gesto da Segurana da Informao tem como foco principal as

caractersticas humanas, organizacionais e estratgicas relativas
segurana da informao. Nesta rea, foram definidos os seguintes
padres e normas:
Anlise e Gesto de Risco, baseadas na ISO 13335;

Planejamento de Disaster Recovery e Continuidade de Negcios,
baseados na BS 7799-2/ISO 27001;
Desenvolvimento, Polticas e Normas de Segurana, baseados
na BS 7799-1/ISO 17799 e ISO 27000.
5
A Gesto da Segurana da Informao visa adoo de medidas

alinhadas com as estratgias de negcio, a partir de um
monitoramento contnuo dos processos, mtodos e aes.
Empregando uma administrao centralizada ou descentralizada, tem

por objetivo o pronto restabelecimento dos sistemas e,
conseqentemente, o acesso informao de forma segura.
A segurana das informaes, alm de uma vantagem competitiva,

uma necessidade no sentido de proteger a confidencialidade,
disponibilidade e integridade de suas informaes.
6
Poltica de Segurana de Informao
7
A Poltica de Segurana da Informao o principal documento de

Segurana da Informao da empresa. Ele define metas, escopo,
importncia das informaes para a organizao, responsabilidades e
referncia documentao de apoio, alm de diversos de outros itens.
Esse documento representa a viso da Empresa com relao

Segurana da Informao, e utilizado como referncia para todas as
aes e projetos posteriores de Segurana da Informao.
Os produtos resultantes do servio de Elaborao de Poltica de

Segurana da Informao so:
8
Documento da Poltica de Segurana da Informao

Esse o documento final da Poltica de Segurana da Informao.
Ele redigido pela tecnoAtiva em conjunto com o cliente,
respeitando a cultura da empresa, as necessidades das reas fins
de negcio, e em acordo com os requisitos da norma de
segurana NBR ISO/IEC 17799:2005.
Implementao do Comit de Segurana da Informao

Durante os trabalhos, o Comit de Segurana implementado.
Esse comit tem como principal funo ajudar na elaborao e na
reviso posterior contnua da Poltica de Segurana da
Informao.
9
Carta da Direo: Documento onde a Direo da empresa

expressa apoio s iniciativas de Segurana da Informao.
Acordo de Confidencialidade: Documento de acordo de

confidencialidade para os funcionrios, fornecedores e
clientes da organizao, baseado nas premissas da Poltica
de Segurana da Informao.
10
Diretrizes de Segurana da Informao: A Poltica de Segurana

da Informao possui diretrizes, a fim de determinar a estrutura da
segurana da informao e a orientao necessria ao
desenvolvimento do trabalho. Essas sistemticas visam determinar
o nvel de segurana de uma rede, sua funcionalidade e a
facilidade de uso, sendo reunidas em um documento formal com
regras pelas quais as pessoas devero aderir para ter acesso
informao e tecnologia da informao. Tornando-se necessrio
conhecer os objetivos, para depois poder medi-los, as polticas
variam de organizao para organizao.
11
Como podemos observar abaixo, as diretrizes tendem a ser claras, de

forma a orientar a sua aplicabilidade de maneira simples e
compreensvel:
A Poltica de Segurana da Informao composta por diretrizes e

orientaes gerais que evitam tanto quanto possvel, referir-se a
detalhes e mincias especialmente aquelas relacionadas tecnologia
ou s ferramentas utilizadas na sua implementao.
As diretrizes, to claras quanto possveis, permitem que todos os

integrantes da organizao sejam capazes de compreend-las e
aplic-las corretamente. (Loss Control, 2001)
12
Palestras de Conscientizao de Segurana da

Informao: So ministrados palestras para todos os
funcionrios da organizao com a inteno em treinar os
mesmos na Poltica de Segurana da Informao, bem
como para conscientizar da importncia da Segurana da
Informao, e esclarecer questes comuns como uso de
Internet, uso de e-mail, conceitos de pirataria de software,
entre outros. Os temas so definidos em comum acordo
com a Direo da empresa.
13
Resumindo:
Poltica de Segurana da Informao um conceito de idias

definidas e estudadas, transcritas para o papel a fim de efetuar a
conscientizao dos funcionrios da organizao, ou melhor, todos os
usurios da informao, para que esta no seja exposta
indevidamente por falta de conhecimento e evitando fraudes.
Tem que ter apoio total da direo (Presidente / Diretor) da
organizao aonde ser implementada.
Funo bsica a proteo do ativo mais importante da organizao
que no nosso caso a INFORMAO.
14
Benefcios
A Poltica de Segurana da Informao visa preservar a confidencialidade,

integridade e disponibilidade das informaes. Descrevendo a conduta
adequada para o seu manuseio, controle, proteo e descarte.
Comprometimento da alta direo, com a continuidade dos negcios

Aumento da conscientizao da empresa quanto a segurana das
informaes
Padronizao nos processos organizacionais
Definio das responsabilidades pelos ativos da empresa
Conformidade com a Legislao e obrigaes contratuais
15
16
17
Requisitos de um Sistema de Informao
Um sistema de informaes eficaz deve basicamente satisfazer

os seguintes requisitos:
Produzir as informaes realmente necessrias, confiveis,

em tempo hbil e com custo condizente, atendendo aos
requisitos operacionais e gerenciais de tomada de decises
que tais informaes devem suprir.
Ter por base diretrizes capazes de assegurar o atendimento

dos objetivos, de maneira direta, simples e eficiente.
18
Integrar-se estrutura da organizao e auxiliar na

coordenao entre as diferentes unidades
organizacionais (departamentos, divises, diretorias)
por ele interligados.
Ter um fluxo de procedimentos (internos e externos

ao processamento) racional, integrado, rpido e de
menor custo possvel.
Contar com dispositivos de controle interno que

garantam, a confiabilidade das informaes de sada
e a adequada proteo aos dados controlados pelo
19 sistema.
Ser simples, seguro e rpido em sua operao.
So classificados como funcionais e no funcionais
Confiabilidade do sistema um requisito no

funcional.
20
Definio de Requisitos Funcionais:
Define-se como qualquer funo a ser realizado pelo Software.

Exemplo:
Calcular o saldo a pagar do imposto de renda
O Sistema dever gerar relatrios de acompanhamento de

vendas
Logon do sistema ser atravs da matrcula funcional e senha

de 8 dgitos, com atualizao de senha mensal
21
Definio de Requisitos no-Funcionais:
Define-se como comportamento e restries que este software deve

satisfazer.
Exemplos:
A declarao deve ser simples o suficiente para que o clculo

do imposto seja feito sem a necessidade do usurio pedir ajuda a um
contador
Desenvolvimento ser realizado em C++

Modelagem do sistema ser realizado atravs de ferramenta
CASE
Base de dados ser em ORACLE
22
23
24
25
O item integridade no pode ser confundido com

confiabilidade do contedo da informao, Uma informao
pode ser imprecisa, irreal mas deve permanecer integra (no
sofrer alterao por pessoas no autorizadas).
Exemplo:
Marcianos pousaram no Rio de Janeiro
1 + 1 = 20
26
27
28
29
30
31
Classificao de Informaes
32
33
34
35
36
37
38
39
Exemplo:
40
Norma ISO 27001:2005
41
ISO 27001
ISO 27001 uma norma internacional para referncia da

implantao de processos de gesto de segurana da
informao, publicada pela Organizao Internacional para
Padronizao (International Standardization Organization
ISO) em outubro de 2005.
42
ISO 27001
A norma ISO 27001 ( ISMS - Information Security Management

Systems - Requirements) trata da implantao de um processo
de gesto de segurana da informao.
Esta norma em conjunto com a ISO 17799 (Cdigo de Boas

Prticas da Gesto de Segurana da Informao) so as
principais referncias, atualmente, para a quem procura tratar a
questo da segurana da informao de maneira eficiente e
com eficcia.
43
Norma 27001
Prov um modelo de sistema de gesto da segurana da

informao (SGSI)
Permite a certificao de uma organizao segundo seu
referencial
Baseia-se na abordagem de processo
Aplica um sistema de processos, junto com a identificao e
interao destes processos e a sua gesto
Encoraja o uso do modelo PDCA
Entendimento dos requisitos e necessidade de PSI
Implementao e operao de controles
Monitorao e anlise crtica
44 Melhoria contnua
Caractersticas sobre a norma ISO 27001
a mais recente e completa norma reconhecida como padro

internacional para especificar um sistema de Gesto de
Segurana no domnio de Sistemas de Informao;
Especifica a Infra-estrutura para desenhar, implementar, gerir,
manter e aplicar os processos de Segurana da Informao e
determina o controle sistemtico e consistente necessrio
numa organizao;
uma norma CERTIFICADORA
45
Norma NBR ISO/IEC 17799:2005
TI Cdigo de Prtica para gesto da segurana

da informao
Estabelece diretrizes e princpios gerais para
implantar um SGSI.
No permite a certificao de uma organizao
em relao ao seu modelo de referncia
46
A Norma NBR ISO/IEC 17799:2005 prescreve prticas para:
a) Poltica de Segurana da Informao

b) Gesto de ativos
c) Segurana em recursos humanos
d) Segurana fsica e do ambiente
e) Controle de Acessos
f) Aquisio, desenvenvolvimento e manuteno de SI
g) Gesto de incidentes de SI
h) Gesto de continuidade de negcios
i) Conformidade
47
Poltica de Segurana da Informao
Objetivo: Prover uma orientao e apoio da direo para a segurana

da informao de acordo com os requisitos do negcio e com as leis
e regulamentaes relevantes.
Caractersticas:
Um documento da poltica de segurana da informao deve ser

aprovado pela direo, publicado e comunicado para todos os
funcionrios e partes externas relevantes.
A poltica de segurana da informao deve ser analisada
criticamente a intervalos planejados ou quando mudanas
significativas ocorrerem, para assegurar a sua continua pertinncia,
adequao e eficcia.
48
Gesto de ativos
Objetivo: Alcanar e manter a proteo adequada dos ativos da

organizao
Caractersticas:
Todos os ativos devem ser claramente identificados e um inventrio

de todos os ativos importantes deve ser estruturado e mantido.
Todas as informaes e ativos associados com os recursos de
processamento da Informao devem ter um "proprietrio designado
por uma parte definida da organizao.
Devem ser identificadas, documentadas e implementadas regras para
que seja permitido o uso de Informaes e de ativos associados aos
49 recursos de processamento da informao.
Segurana em recursos humanos
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros

entendam suas responsabilidades e estejam de acordo com os seus
papis, e reduzir o risco de roubo, fraude ou mau uso dos recursos.
Caractersticas:
Os papis e responsabilidades pela segurana da informao de funcionrios,

fornecedores e terceiros devem ser definidos e documentados de acordo com a
poltica de segurana da informao da organizao.
Verificaes de controle de todos os candidatos a emprego, fornecedores e
terceiros devem ser realizadas de acordo com as leis relevantes, regulamentaes e
ticas e proporcionalmente aos requisitos do negcio classificao das
informaes a serem acessadas e aos riscos percebidos.
Como parte das suas obrigaes contratuais, os funcionrios, fornecedores e
terceiros devem concordar e assinar os termos e condies de sua contratao
para o trabalho, os quais devem declarar as suas responsabilidade e da
50 organizao para a segurana da informao.
Segurana fsica e do ambiente
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias

com as Instalaes e informaes da organizao.
Caractersticas:
Devem ser utilizados permetros de segurana (barreiras tais como

paredes, portes de entrada controlados por carto ou balces de
recepo com recepcionistas) para proteger as reas que contenham
informaes e recursos de processamento da informao.
As reas seguras devem ser protegidas por controles apropriados de
entrada para assegurar que somente pessoas autorizadas tenham
acesso.
Deve ser projetada e aplicada segurana fsica para escritrios, salas e
instalaes.
51
Controle de Acessos
Objetivo: Controlar o acesso informao.
Caractersticas:
A poltica de controle de acesso deve ser estabelecida,

documentada e analisada criticamente, tomando-se como
base os requisitos de acesso dos negcios e da segurana da
informao.
52
Aquisio, desenvenvolvimento e manuteno de SI
Objetivo: Garantir que segurana parte integrante de

sistemas de informao.
Caractersticas:
Devem ser especificados os requisitos para controles de

segurana nas especificaes de requisitos de negcios, para
novos sistemas de informao ou melhorias em sistemas
existentes.
53
Gesto de incidentes de SI
Objetivo: Assegurar que fragilidades e eventos de segurana da

informao associados com sistemas de informao sejam
comunicados, permitindo a tomada de ao corretiva em tempo hbil.
Caractersticas:
Os eventos de segurana da informao devem ser relatados atravs

dos canais apropriados da direo, o mais rapidamente possvel.
Os funcionrios, fornecedores e terceiros de sistemas e servios de
informao devem ser instrudos a registrar e notificar qualquer
observao ou suspeita de fragilidade em sistemas ou servios.
54
Gesto de continuidade de negcios
0bjetivo: No permitir a interrupo das atividades do negcio

e proteger os processos crticos contra efeitos de falhas ou
desastres significativos, e assegurar a sua retomada em tempo
hbil, se for o caso.
Caractersticas:
Um processo de gesto deve ser desenvolvido e mantido para

assegurar a continuidade do negcio por toda a organizao e
que contemple os requisitos de segurana da informao
necessrios para a continuidade do negcio da organizao.
55
Gesto de continuidade de negcios
Devem ser identificados os eventos que podem causar interrupes

aos processos de negcio, junto probabilidade e impacto de tais
interrupes e as conseqncias para a segurana de informao.
Os planos devem ser desenvolvidos e implementados para a

manuteno ou recuperao das operaes e para assegurar a
disponibilidade da informao no nvel requerido e na escala de
tempo requerida, aps a ocorrncia de interrupes ou falhas dos
processos crticos do negcio.
56
Conformidade
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos,

regulamentaes ou obrigaes contratuais e de quaisquer requisitos de
segurana da informao.
Caractersticas:
Todos os requisitos estatutrios, regulamentares e contratuais

relevantes, e o enfoque da organizao para atender a estes requisitos
devem ser explicitamente definidos, documentados e mantidos
atualizados para cada sistema de informao da organizao.
Procedimentos apropriados devem ser implementados para garantir a
conformidade com os requisitos legislativos, regulamentares e
contratuais no uso de material, em relao aos quais pode haver direitos
de propriedade intelectual e sobre o uso de produtos de software
proprietrios.
57
Conformidade
Registros importantes devem ser protegidos contra perda, destruio

e falsificao, de acordo com os requisitos regulamentares,
estatutrios, contratuais e do negcio.
A privacidade e a proteo de dados devem ser asseguradas
conforme exigido nas legislaes relevantes, regulamentaes e, se
aplicvel, nas clusulas contratuais.
Os usurios devem ser dissuadidos de usar os recursos de
processamento da informao para propsitos no autorizados.
Controles de criptografia devem ser usados em conformidade com
leis, acordos e regulamentaes relevantes.
58
Objetivos (da norma 17799)
Estabelecer diretrizes e princpios gerais para o PDCA de um

SGSI
Os controles sugeridos visam atender aos requisitos
identificados na avaliao de riscos.
Ser um guia prtico para desenvolver procedimentos de
segurana
No serve para certificar uma organizao (quem certifica a
ISO 27001)
59
Diferenas Semelhanas ISSO 27001 e ISSO 17799
A ISO 27001 uma norma que gere segurana na

corporao, ou seja, cria um sistema de segurana
(SGSI) dentro da sua empresa.
Isso em nenhum momento garante segurana, em suma,

com um sistema desses implementado, voc consegue
"ver" o problema de segurana MUITO mais facilmente.
60
Nesta norma ela contm controles de segurana, apenas

cita, por exemplo, o controle A.9.1.1 Permetro de
Segurana Fsica, o que isso quer dizer?
Que as reas de segurana que voc (security officer,

gestor, diretor, etc...) definir, devam ser protegidos por
meios de barreiras lgicas ou fsicas.
61
Essa definio MUITO abrangente, e pode ter vrias

interpretaes. Nesse momento que entra a ISO 17799, pois
nessa ISO contem todos os controles que tem na ISO 27001
s que com explicaes e exemplos de implementao.
Isso ajuda MUITO na implementao numa corporao.

Interessante acrescentar tambm que os controles no so co-
relacionados, ou seja, um controle que na ISO 27001 o
nmero 10, no quer dizer que na ISO 17799 seja o mesmo
nmero, at porque as duas normas tem reviso em diferentes
tempos.
62
Em suma podemos dizer que a ISO 17799 est contida na ISO

27001.
Como uma norma de sistema de segurana, a ISO 27001

tambm contem vrias pitadas de outras ISO, por exemplo a
ISO 15408 (segurana no desenvolvimento), mas no quer
dizer que ao atender 100% a ISO 27001 voc atender a ISO
15408 ou o ITIL, que tambm d suas caras dentro dessa ISO,
digamos que essas metodologias "emprestam" seus controles.
63
O selo 27001, contem um descritivo do escopo, ou seja quando

uma empresa fala que certificada ISO 27001, leia o selo
porque ela pode ser certificada apenas no CPD, ou na sala de
xerox.
Nada impede que se faa isso, e tambm no errado a

empresa falar que certificada 27001 quando se certifica
apenas uma mquina ou o CPD - sem problema nenhum,
apenas marketing.
<< Ateno >> No possvel certificar ISO 17799, apenas

ISO 27001.
64
Definies Gerais
Ativo Para o caso de SI a informao.
Gesto de riscos - Atividades coordenadas para direcionar e

controlar uma org. no que se refere a riscos.
Ameaa - Causa potencial de um incidente indesejado
Vulnerabilidade - Fragilidade de um ativo (ou grupo de ativos) que

pode ser explorada por uma ou mais ameaas (Exploit).
65
Resumindo
A NBR ISO 27001:2005 uma norma Certificadora;
A NBR ISO 17799:2005 a norma que estabelece principios

gerais, normas, guia para a implementao de um SGSI.
66
Em 2005, o Yahoo foi atacado e nao permitiu o acesso de seus

usurios aos seus e-mails. Foi um problema de SI? Qual das
caractersticas da informao foi afetada?
Disponibilidade
A informao para a organizao representa a definio de que

conceito da ISO 17799:2005?
Ativo
A qubra de sigilo bancrio do caseiro Francenildo, que derrubou o
ministro da fazenda do governo Lula em 2006 foi um problema de SI?
Qual das caractersticas da informao foi afetada?
Confidencialidade
67
Ciclo PDCA (Plan-Do-Check-Act)
uma ferramenta gerencial de tomada de decises para garantir o

alcance das metas necessrias sobrevivncia de uma organizao,
sendo composto das seguintes etapas:
Planejar (PLAN)
Definir as metas a serem alcanadas;
Definir o mtodo para alcanar as metas propostas.
68
Executar (DO)
Executar as tarefas exatamente como foi previsto na etapa

de planejamento;
Coletar dados que sero utilizados na prxima etapa de

verificao do processo;
Nesta etapa so essenciais a educao e o treinamento no

trabalho.
69
Verificar, checar (CHECK)
Verificar se o executado est conforme o planejado, ou

seja, se a meta foi alcanada, dentro do mtodo definido;
Identificar os desvios na meta ou no mtodo.
70
Agir corretivamente (ACTION)
Caso sejam identificados desvios, necessrio definir e

implementar solues que eliminem as suas causas;
Caso no sejam identificados desvios, possvel realizar

um trabalho preventivo, identificando quais os desvios so
passveis de ocorrer no futuro, suas causas, solues etc.
71
O PDCA pode ser utilizado na realizao de toda e qualquer atividade

da organizao. Sendo ideal que todos da organizao utilizem esta
ferramenta de gesto no dia-a-dia de suas atividades.
Desta forma, elimina-se a cultura tarefeira que muitas organizaes

insistem em perpetuar e que incentiva a se realizar o trabalho sem
antes planejar, desprezando o autocontrole, o uso de dados gerados
pelas medies por indicadores e a atitude preventiva, para que os
problemas dos processos nunca ocorram.
72
73
74
PDCA (Plan-Do-Check-Act)
75
76
77
78
Resumindo:
1) Identificar o problema (PLAN), coletar dados e defini plano de ao.
2) Por em prtica o plano de ao (DO), resolver o problema.
3) Verificar e analisar os resultados obtidos (CHECK)
4) Adota soluo, continuando pesquisa para aperfeio-la (ACT).
79
Associe
1) Plan ( 1 ) Estabelece SGSI

2) Do ( 4 ) Mantm e melhora
3) Check ( 2 ) Implementa e opera
4) Act ( 3 ) Monitora
80
O processo de certificao da ISO 27001 a princpio dever atender,

entre outros, os seguintes objetivos considerados principais, listados
abaixo:
Gesto de riscos Identificando pr-activamente as ameaas e

vulnerabilidades s quais a informao dos clientes est sujeita;
Continuidade do negcio: Implementado atravs de uma infra-estrutura de

alta disponibilidade e redundncia que garante que os servios no sofrero
interrupes; (Disponibilidade)
81
Recuperao de desastres: Implementao de um Plano de Recuperao

de Desastres que considera diversos procedimentos para reativao de
servios e infra-estruturas crticas. Podero ser adotadas medidas de
duplicao das bases de dados em localizao geograficamente separada, de
forma a reduzir a possibilidade de qualquer desastre natural que afete ambas
as estruturas;
Elevada confidencialidade e integridade das informaes: As

informaes so protegidas. A transmisso de informaes entre cada cliente
e a Oragnizao ocorre sob a proteo de controles criptogrficos, de forma a
garantir a mxima proteo e confidencialidade.
82
Procedimentos de recrutamento: A equipe e recrutada e sensibilizada para

o desempenho de processos seguros. O recrutamento efetuado segundo os
critrios mais exigentes de atitudes, cadastro criminal, Carta de apresentao
e exame criterioso curricular para os cargos que assim couber.
Todos os funcionrios tem contratos de confidencialidade e um cdigo de
conduta assinado com a Organizao. Os processos e tratamento da
respectiva informao esto exaustivamente definidos e todos tm controles
associados.
83
Anlise de Risco
Anlise de Risco o controle mais importante da Segurana da Informao,

pois atravs dessa Anlise que os demais controles de segurana so
selecionados.
O objetivo da Anlise de Risco selecionar quais controles devem ser

implementados, e para qual ativo de informao da empresa, baseado nas
ameaas a que cada ativo est exposto, na probabilidade de ocorrncia
dessas ameaas, nas vulnerabilidades inerentes desses ativos e no impacto
de negcio para a organizao que a ocorrncia de uma determinada ameaa
pode causar.
84
Anlise de Risco
A realizao de uma Anlise de Risco portanto fundamental para

otimizar os gastos com controles de Segurana da Informao, pois
direciona os esforos e os investimento apenas para os ativos mais
relevantes, evitando investimentos desnecessrios, e impedindo que
ativos importantes sejam preteridos no processo de Segurana da
Informao.
85
COBIT
Control Objectives for Information and related Technology
86
INTRODUO:
Atualmente, impossvel imaginar uma empresa sem uma

forte rea de sistemas de informaes (TI), para manipular os
dados operacionais e prover informaes gerenciais aos
executivos para tomadas de decises. A criao e manuteno
de uma infra-estrutura de TI, incluindo profissionais
especializados requerem altos investimentos. Algumas vezes a
alta direo da empresa coloca restries aos investimentos de
TI por duvidarem dos reais benefcios da tecnologia.
Entretanto, a ausncia de investimentos em TI pode ser o fator
chave para o fracasso de um empreendimento em mercados
cada vez mais competitivos.
87
Por outro lado, alguns gestores de TI no possuem habilidade

para demonstrar os riscos associados ao negcio sem os
corretos investimentos em TI. Para melhorar o processo de
anlise de riscos e tomada de deciso necessrio um
processo estruturado para gerenciar e controlar as iniciativas
de TI nas empresas, para garantir o retorno de investimentos e
adio de melhorias nos processos empresariais. Esse novo
movimento conhecido como Governana em TI, ou "IT
Governance".
88
O termo "IT governance" definido como uma estrutura de

relaes e processos que dirige e controla uma organizao a
fim de atingir seu objetivo de adicionar valor ao negcio
atravs do gerenciamento balanceado do risco com o retorno
do investimento de TI.
Para muitas organizaes, a informao e a tecnologia que

suportam o negcio representa o seu mais valioso recurso.
Alm disso, num ambiente de negcios altamente competitivo e
dinmico requerido uma excelente habilidade gerencial, onde
TI deve suportar as tomadas de deciso de forma rpida,
constante e com custos cada vez mais baixos.
89
No existem dvidas sobre o benefcio da tecnologia aplicada

aos negcios. Entretanto, para serem bem sucedidas, as
organizaes devem compreender e controlar os riscos
associados no uso das novas tecnologias. O CobiT (Control
Objectives for Information and related Technology) uma
ferramenta eficiente para auxiliar o gerenciamento e controle
das iniciativas de TI nas empresas.
90
O que o CobiT?
O CobiT um guia para a gesto de TI recomendado pelo

ISACF (Information Systems Audit and Control Foundation,
www.isaca.org). O CobiT inclui recursos tais como um sumrio
executivo, um framework, controle de objetivos, mapas de
auditoria, um conjunto de ferramentas de implementao e um
guia com tcnicas de gerenciamento. As prticas de gesto do
CobiT so recomendadas pelos peritos em gesto de TI que
ajudam a otimizar os investimentos de TI e fornecem mtricas
para avaliao dos resultados. O CobiT independe das
plataformas de TI adotadas nas empresas.
91
O que um nvel de maturidade?
Um nvel de maturidade uma base evolucionria bem definida,

na qual se obtm um processo maduro. Cada nvel consiste de
uma srie de metas de processo que, quando satisfeitas,
estabilizam um componente importante do processo. Ao longo
dos nveis de maturidade, estabelecem-se diferentes
componentes do processo, os quais aumentam a capacidade dos
diversos processos organizacionais.
92
CMM Modelo de Maturidade
CMM, do acrnimo em ingls de Capability Maturity Model,

uma metodologia de diagnstico e avaliao de maturidade do
desenvolvimento de softwares em uma organizao.
93
Definio Operacional de CMM

O CMM possui uma estrutura que indica o caminho recomendado para as
organizaes melhorarem seus processos de desenvolvimento de software.
Essa parte operacional do CMM desenhada para suportar as vrias formas
de serem usadas. Existem pelo menos quatro usos do CMM:
1) Para identificar pontos fortes e fracos em uma organizao;
2) Para identificar os riscos dentro de um processo de seleo de fornecedores
e monitorar os resultados;
3) Para que o alto nvel gerencial de uma organizao possa entender as
atividades necessrias para o lanamento de um processo de software para
melhorar o programa.
4) Para o pessoal tcnico e dos grupos de processos possam melhorar os
94 processos de software em suas organizaes.
OS CINCO NVEIS DE MATURIDADE (CMM)

CMM quer dizer Capability Maturity Model. Abaixo, podemos ver
algumas definies do que e para que serve CMM:
"Uma aplicao criteriosa de conceitos de gesto de processos e de

melhoria da qualidade no desenvolvimento e manuteno do
software" (SEI - CMM)
"Um modelo para busca da maturidade organizacional atravs de

resultados cada vez mais eficazes dos projetos"
" um modelo orientado a PROJETOS"

95
Em novembro de 1986, o Instituto de Engenharia de Software (SEI)

iniciou o desenvolvimento de uma estrutura de um modelo de
maturidade, com o propsito de auxiliar as empresas de software a
melhorar seus processos. Este trabalho foi iniciado como resposta a
uma requisio do governo federal americano, que precisava de
uma metodologia para avaliar a capacidade de seus fornecedores
de software. Aps alguns anos, esta estrutura evoluiu para o CMM -
Capability Maturity Model for Software, ou Modelo de Processo de
Maturidade para Software, baseado no conhecimento adquirido
atravs da avaliao dos processos de software e uma grande
resposta da indstria e do governo.
96
O Processo de Maturidade para Software significa o quanto um

determinado processo est definido, gerenciado, medido, controlado e
efetivo. Maturidade implica no potencial de crescimento da capacidade de
um processo, alm de indicar os detalhes dos processos e a consistncia
com que so aplicados dentro da organizao, mostrando que a
produtividade e a qualidade resultantes destes processos pode ser
consistentemente melhorada ao longo do tempo.
O processo de melhoria contnua est baseado em muitos pequenos
passos evolucionrios, ao invs de inovaes revolucionrias. O CMM
estabelece uma estrutura para organizao desses passos em 5 Nveis de
Maturidade que proporcionam as bases para a melhoria contnua, atravs
de uma escala ordenada para mensurao do grau de maturidade dos
processos de uma organizao.
97
Os 5 nveis de maturidade podem ser resumidos como:
Nvel 1- Inicial - o processo quase que catico, com custos, prazos,

qualidade e performance imprevisveis, onde o sucesso est basicamente
apoiado no esforo individual.
Nvel 2 - Repetvel - so estabelecidos procedimentos bsicos para
gerenciamento dos processos, de modo a rastrear custos, prazos e
funcionalidade, para que estejam suficientemente disciplinados e garantam
a repetio dos sucessos em projetos futuros com aplicaes similares.
98
Nvel 3 - Definido - os processos de gerenciamento e engenharia esto

documentados, estandardizados e integrados dentro da organizao,
aplicveis a todos os projetos de desenvolvimento e manuteno de
software.
Nvel 4 - Gerenciado - o processo e o produto so quantitativamente
compreendidos, definidos e controlados , podendo ser coletadas medidas
precisas do processo e da qualidade.
Nvel 5 - Otimizado - a organizao atinge o estgio de melhoria contnua
da performance dos seus projetos, seja atravs de melhorias incrementais
nos processos existentes ou atravs de inovaes, utilizando-se novos
mtodos e tecnologias.
99
100
Processo Chave
Cada processo chave identifica um conjunto de atividades relacionadas que,
quando executadas coletivamente, cumprem o objetivo do proposto. O
processo chave teve ser definido para um nico nvel de maturidade. O
caminho para atingir os objetivos de um processo chave poder ser diferente
para cada projeto, dependendo das diferenas entre os projetos.
O processo considerado chave, pois ele crtico para atingir o nvel de

maturidade. O CMM no descreve todos os processos chaves em detalhes
que so requeridos para desenvolver e manter os produtos de software.
101
Os processos chaves para o nvel 2 tm foco nos problemas de controle dos

projetos de software:
Gerenciamento dos requerimentos do projeto.

Gerenciamento do plano de atividades do projeto.
Acompanhamento e inspeo do progresso do projeto.
Gerenciamento dos fornecedores contratados para o projeto.
Gerenciamento da qualidade do projeto.
Gerenciamento da configurao de software.
102
Os processo chaves para o nvel 3 tm foco no projeto e na

organizao:
Estabelecimento de uma organizao responsvel pelas atividades que
compem os processos de software.
Estabelecimento de uma organizao para definir, desenvolver e manter um
conjunto de processos de software para melhorar a performance dos projetos.
Estabelecimento de um programa de treinamento para desenvolver os talentos
da organizao.
Integrao do gerenciamento entre a engenharia e as atividades
administrativas dentro de um processo coerente.
Estabelecimento de uma engenharia de produto que integre todas as
atividades de engenharia para o desenvolvimento eficiente do produto.
Estabelecimento de um mtodo de reviso dos produtos de software para
103 avaliar os defeitos e eficincia.
Os processos chaves para o nvel 4 esto ligados a mtricas qualitativas

dos processos de software e dos produtos de software:
Gerenciamento dos processos quantitativos para controlar a performance

dos projetos.
Gerenciamento da qualidade dos produtos de software.
104
Os processos chaves para o nvel 5 cobrem os aspectos de como as

organizaes e os projetos devem implementar continuamente e aferir as
melhorias nos processos de software:
Estabelecimento de processos para prevenir defeitos e evitar a recorrncia

dos problemas.
Estabelecimento de processos para identificar mudanas tecnolgicas e
transferi-las para os processos de software.
105
CMMI - Modelo de Maturidade
o CMMI uma evoluo do CMM e procura estabelecer um

modelo nico para o processo de melhoria corporativo,
integrando diferentes modelos e disciplinas.
106
O que o Capability Maturity Model Integration (CMMI)?
O CMMI (Modelo de Maturidade da Capacidade - Integrao)

um framework que descreve princpios e prticas relacionadas
ao processo de desenvolvimento de produtos e servios
tecnolgicos. O modelo visa ajudar organizaes envolvidas
com o desenvolvimento de software a melhorar a capacidade
de seus processos, por meio de um caminho evolucionrio que
considera desde processos com resultados imprevisveis e at
mesmo caticos para processos disciplinados e definidos, com
resultados previsveis e com possibilidade de melhoria
contnua.
107
Como o CMMI pode ajudar uma organizao?
O CMMI fornece s organizaes um conjunto de melhores prticas

em desenvolvimento e manuteno de produtos e servios
tecnolgicos e pode ser usado como um guia na priorizao de
aes e esforos de melhoria em seus processos.
Quando uma organizao atinge um nvel de maturidade,
considera-se que seus processos alcanaram uma determinada
capacidade, ou seja, tem mecanismos que garantem a repetio
sucessiva de bons resultados futuros relacionados principalmente
qualidade, custos e prazos.
108
O CMMI um modelo baseado em melhoria contnua?
Sim. A melhoria contnua feita por meio de vrios passos

evolucionrios, e no de inovaes revolucionrias. O CMMI fornece
uma estrutura para a implementao destes passos evolucionrios
em cinco nveis de maturidade (1 ao 5), os quais configuram bases
sucessivas para melhoria contnua.
109
Quais so os cinco nveis de maturidade do CMMI?

1) Inicial. O processo caracterizado como sendo imprevisvel e
ocasionalmente catico. Poucos processos so definidos e o sucesso
depende de esforos individuais e, muitas vezes, hericos.
2) Gerenciado. Processos bsicos de gerenciamento de projeto so
estabelecidos para controle de custos, prazos e escopo. A disciplina de
processo permite repetir sucessos de projetos anteriores em aplicaes
similares.
3) Definido. Um processo composto por atividades de gerenciamento e
engenharia, documentado, padronizado e integrado em um processo
padro da organizao. Todos os projetos utilizam uma verso aprovada e
adaptada do processo organizacional para desenvolvimento e manuteno
de produtos e servios tecnolgicos.
110
Quais so os cinco nveis de maturidade do CMMI?
4) Quantitativamente Gerenciado. Mtricas detalhadas dos processos e

dos projetos so coletadas. Tanto os processos como os projetos so
quantitativamente compreendidos e controlados.
5) Em otimizao. A melhoria contnua do processo estabelecida por meio

de sua avaliao quantitativa, e da implantao planejada e controlada de
tecnologias e idias inovadoras.
111
CMM x CMMI (Nveis de Maturidade)
CMM CMMI
112
FIM
113
Dicionrio de Definies
114
ITIL
Information Technology Infrastructure Library (ITIL) uma

biblioteca de boas prticas (norma 17799). foi desenvolvido na
Inglaterra , no final da dcada de 80, a partir da necessidade
do governo ter processos organizados na rea de TI
(Tecnologia da Informao).
O ITIL um conjunto de 7 livros que busca promover a gesto

com foco no cliente a na qualidade dos servios de tecnologia
da informao (TI).
115
ITIL se preocupa com o Operacional, isto , com os Servios

entregues ao Cliente e para isso subdivide a Gesto da TI em 10
processos e uma funo.
Portanto ITIL no dita normas e nem metodologias para Gesto de TI

e nem deve ser base para o planejamento Estratgico da Empresa.
Resumindo: ITIL um grande aparato das Melhores Prticas

utilizadas pelos grandes Gestores de TI documentadas em 7 livros,
subdividida em 10 processos e uma funo e que tem objetivo fazer
com que a TI foque no Negcio da Empresa e para que entregue os
seus Servios aos seus clientes da melhor maneira possvel e a um
custo justificvel.
116 VOLTAR
FIM
117
QUESTES
118
119
120
121
122
123
124 A
Integridade
125 C
126 Corretos I II III IV

127
128
129
130
131
132
E
133
134
135
A poltica de segurana a base para todas as questes relacionadas

proteo da informao, desempenhando um papel fundamental em todas as
organizaes. Sobre esse assunto correto afirmar que
A) o planejamento da segurana pode ser visto como uma pirmide contendo os
procedimentos acima das normas e da poltica.
B) so elementos essenciais para a definio da poltica de segurana so: a
vigilncia, a atitude, a estratgia e a tecnologia.
C) a proviso de senhas pelos administradores de sistemas e a utilizao de
senhas pelos usurios no fazem parte da poltica de segurana de uma
organizao.
D) um dos principais elementos da poltica de segurana para o firewall a
definio de regras de filtragem que, por sua vez, tem, como nico objetivo, a
definio dos servios a serem fornecidos para os usurios externos.
136 B

Seguranca Da Informacao

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seguranca Da Informacao

Enviado por

Direitos autorais:

Formatos disponíveis

Segurana da Informao

12. Segurana da Informao:

A Gesto da Segurana da Informao surgiu diante da necessidade

Desta forma, foram definidas polticas de segurana, as quais

Para a implantao de uma poltica de segurana exige-se que uma

A Gesto da Segurana da Informao tem como foco principal as

Anlise e Gesto de Risco, baseadas na ISO 13335;

A Gesto da Segurana da Informao visa adoo de medidas

Empregando uma administrao centralizada ou descentralizada, tem

A segurana das informaes, alm de uma vantagem competitiva,

Poltica de Segurana de Informao

A Poltica de Segurana da Informao o principal documento de

Esse documento representa a viso da Empresa com relao

Os produtos resultantes do servio de Elaborao de Poltica de

Documento da Poltica de Segurana da Informao

Implementao do Comit de Segurana da Informao

Carta da Direo: Documento onde a Direo da empresa

Acordo de Confidencialidade: Documento de acordo de

Diretrizes de Segurana da Informao: A Poltica de Segurana

Como podemos observar abaixo, as diretrizes tendem a ser claras, de

A Poltica de Segurana da Informao composta por diretrizes e

As diretrizes, to claras quanto possveis, permitem que todos os

Palestras de Conscientizao de Segurana da

Poltica de Segurana da Informao um conceito de idias

A Poltica de Segurana da Informao visa preservar a confidencialidade,

Comprometimento da alta direo, com a continuidade dos negcios

Requisitos de um Sistema de Informao

Um sistema de informaes eficaz deve basicamente satisfazer

Produzir as informaes realmente necessrias, confiveis,

Ter por base diretrizes capazes de assegurar o atendimento

Integrar-se estrutura da organizao e auxiliar na

Ter um fluxo de procedimentos (internos e externos

Contar com dispositivos de controle interno que

Ser simples, seguro e rpido em sua operao.

So classificados como funcionais e no funcionais

Confiabilidade do sistema um requisito no

Definio de Requisitos Funcionais:

Define-se como qualquer funo a ser realizado pelo Software.

Calcular o saldo a pagar do imposto de renda

O Sistema dever gerar relatrios de acompanhamento de

Logon do sistema ser atravs da matrcula funcional e senha

Definio de Requisitos no-Funcionais:

Define-se como comportamento e restries que este software deve

A declarao deve ser simples o suficiente para que o clculo

Desenvolvimento ser realizado em C++

O item integridade no pode ser confundido com

Norma ISO 27001:2005

ISO 27001 uma norma internacional para referncia da

A norma ISO 27001 ( ISMS - Information Security Management

Esta norma em conjunto com a ISO 17799 (Cdigo de Boas

Prov um modelo de sistema de gesto da segurana da

Caractersticas sobre a norma ISO 27001

a mais recente e completa norma reconhecida como padro

Norma NBR ISO/IEC 17799:2005

TI Cdigo de Prtica para gesto da segurana

A Norma NBR ISO/IEC 17799:2005 prescreve prticas para:

a) Poltica de Segurana da Informao

Poltica de Segurana da Informao

Objetivo: Prover uma orientao e apoio da direo para a segurana

Um documento da poltica de segurana da informao deve ser

Objetivo: Alcanar e manter a proteo adequada dos ativos da

Todos os ativos devem ser claramente identificados e um inventrio