Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
JUAREZ PAIVA LEONARDO ROSA BENEDITO LETCIA LUIZA PALCIO NILSON BIASOTTO ROSNGELA MENDES GUIMARES TIAGO ROSA DE MENEZES
SO PAULO 2013
SO PAULO 2013
AGRADECIMENTOS
Ao professor Fabio Silva Pires de Oliveira, nosso orientador, pela colaborao nesta pesquisa.
RESUMO
A informao atualmente uma das mais valiosas ferramentas em uma corporao. Nas organizaes, tambm so crescentes a sua importncia estratgica e os riscos que lhe so associados, bem como a necessidade de uma boa gesto da informao. A partir de preocupaes relacionadas a este tema, foram estabelecidos os fundamentos da Segurana da Informao. Se no houver mecanismos de proteo, cedo ou tarde, haver prejuzo, moral ou material, para a corporao ou empresa. A questo que se apresenta agora de como promover nas grandes empresas aes para sua conscientizao, esclarecimento e informao aos seus colaboradores quanto aos riscos existentes, s vulnerabilidades e aos aspectos de segurana da informao, a fim de garantir que a poltica de segurana da informao seja efetiva do ponto de vista do fator humano seguindo as normas e padres estabelecidos no meio.
ABSTRACT
The information is currently one of the most valuable tools in a corporation. In organizations, are also increasing its strategic importance and the risks that are associated as well as the need for good information management. From concerns related to this issue have been established the fundamentals of information security. If there is no protection mechanisms, sooner or later, no harm, moral or material, to the corporation or company. The question that arises now is how large companies in promoting actions to their awareness, enlightenment and information to their employees about the risks, vulnerabilities and aspects of information security, to ensure that the Information security policy be effective from the point of view of the human factor following standards patterns in the middle.
SUMRIO
1 DEFINIO DO TPICO Normas e ISOs - BS 7799, ISO/IEC 27001 E ISO/IEC 17799...................................................................................................... 9 1.1 BS 7799 ...................................................................................................... 9 1.2 ISO/IEC 27001 ............................................................................................ 9 1.3 ISO/IEC 17799 ............................................................................................ 10 2 METODOLOGIA................................................................................................... 12 2.1 - CRIADORES DAS METODOLOGIAS ....................................................... 12 2.2 BS 7799 ...................................................................................................... 12 2.3 ISO/IEC 27001 ............................................................................................ 12 2.4 ISO/IEC 17799 ............................................................................................ 12 3 EMPRESAS QUE ADOTARAM O MTODO EM SEUS PROCESSOS............... 13 3.1 BS 7799 ...................................................................................................... 13 3.2 ISO/IEC 27001 ............................................................................................ 13 3.3 ISO/IEC 17799 ............................................................................................ 14 4 OBJETIVOS E PRINCIPAIS CARACTERSTICAS............................................... 15 4.1 BS 7799 ...................................................................................................... 15 4.2 ISO/IEC 27001 ............................................................................................ 16 4.3 ISO/IEC 17799 ............................................................................................ 17 5 NVEIS DE UTILIZAO DO MERCADO............................................................. 19 5.1 BS 7799 ...................................................................................................... 19 5.2 ISO/IEC 27001 ............................................................................................ 19 5.3 ISO/IEC 17799 ............................................................................................ 19 6 7 COMPARAES COM OUTROS PADRES E NORMAS................................. 21 APLICABILIDADE................................................................................................. 22 7.1 BS 7799 ...................................................................................................... 22 7.2 ISO/IEC 27001 ............................................................................................ 22 7.3 ISO/IEC 17799 ............................................................................................ 22 8 9 10 CONSIDERAES DO GRUPO.......................................................................... 23 QUESTES.......................................................................................................... 24 CONCLUSO....................................................................................................... 25
REFERNCIAS BIBLIOGRFICAS.............................................................................. 26
10
processos e procedimentos relevantes para Plan (estabelecimento do ISMS) a administrao do risco e a melhoria da segurana da informao, para entregar resultados de acordo com a estratgia da organizao. Do (implementando e operando o ISMS) Valorao e, quando aplicvel, mensurao Check (monitorando e revisando o ISMS) da performance dos processos em Implementao e operao das polticas do ISMS, controles, processos e procedimentos.
comparao com as polticas do ISMS, objetivos e experincias prticas. Estes resultados devem ser reportados gesto para anlise.
Tomada de aes corretivas e preventivas, baseadas nos resultados das audincias internas do ISMS e demais informaes advindas da gesto.
11
- Segurana do pessoal (Personnel Security); - Segurana fsica e ambiental (Physical and Environmental Security); - Gesto das comunicaes/Operaes (COM/Ops Management); - Controlo de acesso (Access Control); - Desenvolvimento e manuteno dos sistemas (System Development and Maintenance); - Planificao da continuidade da empresa (Business Continuity Planning); - Conformidade (Compliance).
12
2 METODOLOGIA
A Metodologia o estudo dos mtodos ou ento as etapas a seguir num determinado processo.
13
14
Algar Tecnologia Atos Origin Brasil Ltda Axur Information Security BT Cardif do Brasil Vida e Previdncia S/A Cipher CIP Camara Interbancria de Pagamentos Fucapi-Fundaco IBM ITD Brazil Mdulo Security Solutions S/A Poliedro - Informtica, Consultoria e Servios Ltda Prodesp Promon Engenharia Ltda. Promon Tecnologia Ltda. Samarco Minerao S/A. SERASA S.A. Servio Federal de Processamento de Dados - SERPRO Superior Tribunal de Justia Telefnica Empresas S/A Tivit Tecnologia da Informao S.A. Tivit Terceirizao de Tecnologia e Servios S.A. T-Systems Brazil T-Systems do Brasil Ltda. UNISYS Global Outsourcing Zamprogna S/A Importao
15
16
implementao, operao, monitorao, anlise crtica, manuteno e melhoria de um Sistema de Gesto de Segurana da Informao (SGSI). Os requisitos so genricos de maneira a permitir que sejam aplicveis a quaisquer organizaes, independentemente do tipo, tamanho e natureza da empresa. Principais caractersticas: Implantao de Sistema de Gesto de Segurana da Informao (SGSI); Responsabilidade da direo; Auditorias internas; Anlise crtica do SGSI pela direo; Melhoria do SGI (Sistema de Gerenciamento da Informao); Ao estabelecer o SGSI, algumas caractersticas so notadas. Dentre elas esto: Implementar e operar o SGSI; Monitorar e analisar criticamente o SGSI; Manter e melhorar o SGSI; Requisitos de documentao; Controle de documentos; Controle de registros; Comprometimento da direo; Gesto de recursos; Proviso de recursos; Treinamento e conscientizao. Assim, h a melhoria do SGSI, melhoria contnua por meio do uso da poltica estabelecida, alm dos resultados das auditorias, anlise dos eventos monitorados e aes corretivas (etapas anteriores) propiciando uma melhor mtrica de avaliao da segurana da informao da empresa. Certificar que as melhores prticas esto sendo seguido, atender os requisitos governamentais e possuir um diferencial de marketing esto entre os benefcios quanto a certificao da norma.
17
Procedimentos em caso de acidente, plano de retoma, definio dos nveis de servio e do tempo de retoma, proteo contra softwares maliciosos, etc; Controle de acesso (Access Control): Instalao de controles de acesso a diferentes nveis (sistemas, redes, construes, etc.); Desenvolvimento e manuteno dos sistemas (System Development and Maintenance): consciencializao das noes de segurana nos sistemas, da concepo manuteno; Planificao da continuidade da empresa (Business Continuity Planning): Definies das necessidades em matria de disponibilidade, o tempo de retoma e realizao de exerccios de socorro; Conformidade (Compliance): Respeito pelos direitos de autor, pela legislao e pela poltica regulamentar da empresa . Ela permite que uma empresa construa de forma muito rpida uma poltica de segurana baseada em controles de segurana eficientes. Outros caminhos para se fazer o mesmo, sem a norma, so constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas porm ambas as opes so caras e demoradas.
18
Benefcios de sua implementao: Vantagem competitiva; Melhoria no desempenho do negcio e gerenciamento dos riscos; Atrair novos investimentos, melhoria da reputao da marca e remoo de barreiras comerciais; Reduo de gastos; Operaes com menos burocracia e reduo de perda; Evoluo da comunicao interna; Melhoria da satisfao do cliente.
19
20
para empresas de qualquer tipo ou tamanho, porm o processo de implantao da Norma de Segurana a um determinado ambiente no simples e envolve muitos passos.
21
22
7 APLICABILIDADE
7.1 BS 7799
Nem todos os controles podem ser aplicados mas o BS7799 ajuda os executivos a identificar os controles relevantes para seus negcios. Manter a segurana da rede para fazer a proteo das informaes dos bens hoje a preocupao chave de toda a empresa. Alm disso, o processo de implementao de uma poltica geral de segurana pode ser afastado. Um processo padro para a segurana da Internet, como o BS7799, pode ajudar a gerenciar a segurana da rede de forma mais eficiente e efetiva. Com um alto nmero de riscos emergindo, ameaando a segurana das empresas todos os dias, a questo indispensvel e deve ser estudada com a mxima ateno e dedicao por parte de seus gestores e responsveis.
23
8 CONSIDERAES DO GRUPO
Com a ampliao das reas de TI nas empresas e organizaes mais do que nunca mostra-se indispensvel o cuidado e ateno quanto a segurana da informao e dados das empresas. Todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa poder causar o fracasso ou sucesso dos mesmos num espao curto de tempo principalmente com a velocidade com que a comunicao existente hoje circula entre os meios. Assim, as normas de segurana vem com a finalidade de estabelecer as melhores prticas e boas maneiras para que os bens mais valiosos da empresa que so as informaes, dados do negcio e das pessoas, estejam ntegros, disponveis a quem tem que estar e o mais seguro possvel, apesar de que nunca algo, seja o que for, est totalmente seguro.
24
9 QUESTES
1. As normas de segurana so boas prticas, evitando-se assim, prejuzo s informaes da organizao, sejam elas quais forem. Alm dessas normas, quais prticas poderiam ser citadas para evitar riscos quanto a problemas com a segurana das mesmas? 2. Analisando onde trabalha ou o estilo da sua empresa, como voc considera o seu nvel de segurana da informao? Como poderia ser melhorado? 3. Das trs normas acima descritas (BS 7799, ISO/IEC 27001 E ISO/IEC 17799) qual delas voc implementaria? Justifique.
25
10 CONCLUSO
Pode-se concluir que hoje em dia ainda existe uma carncia de informaes mais especificas quando falamos de pessoas com deficincia fsica ou mobilidade reduzida. Hoje com a Internet as informaes chegam com muito mais facilidade aos usurios e a criao do site pode contribuir com a sociedade j que as pessoas com deficincia fsica podem consultar a qualquer momento informaes sobre cultura, lazer, educao com uma navegao simples e rpida. Podemos afirmar que os objetivos foram alcanados uma vez que aps a pesquisa realizada por usurios convidados a utilizar o site obtivemos um bom resultado que nos impulsiona a continuar e sempre aprimorar e a ferramenta a fim de trazer mais informaes.
26
REFERNCIAS BIBLIOGRFICAS
BS 7799. Wikipedia, a enciclopdia livre [S.I.]. Disponvel em: <http://pt.wikipedia.org/wiki/BS_7799> Acesso em: 19 set. 2013. FEITOSA, E. L. Segurana em Sistemas de Informao. [2007]. 64 slides, color. Acompanha texto. IEC. International Electrotechnical Commission. Disponvel em:
<http://www.iec.ch/index.htm> Acesso em: 19 set. 2013. ISO. International Organization for Standardization. Disponvel em:
<http://www.iso.org/iso/home.html> Acesso em: 19 set. 2013. ISO/IEC 17799. Wikipedia, a enciclopdia livre [S.I.]. Disponvel em:
<http://pt.wikipedia.org/wiki/ISO/IEC_17799> Acesso em: 19 set. 2013. ISO 27001. Wikipedia, a enciclopdia livre [S.I.]. Disponvel em:
<http://pt.wikipedia.org/wiki/ISO_27001> Acesso em: 19 set. 2013. ISO/IEC 27001 SEGURANA DA INFORMAO. The British Institution Disponvel Standards em:
<http://www.bsibrasil.com.br/certificacao/sistemas_gestao/normas/iso_iec27001/> Acesso em: 19 set. 2013. LAGE, Alxia. Conhea a NBR ISO/IEC 27002 Parte 1. Quality News. Out. 2009 Disponvel em: < http://qualitnews.blogspot.com.br/2009/10/conheca-nbr-isoiec
27002-parte-1.html> Acesso em: 19 set. 2013. MOTA, Kleber. ISO/IEC 17799 27001. Disponvel em:
<http://www.klebermota.eti.br/wp-content/IEC-17799-270011.pdf> Acesso em: 19 set. 2013. OGANDO, T. DA S.; VIEIRA, A. T. Gesto Em Segurana Da Informao. Universidade Luterana do Brasil. Nov 2011. Disponvel em:
<http://www.ulbra.inf.br/joomla/images/documentos/TCCs/2011_02/PROJETO_RC_ TIAGO_DA_SILVA_OGANDO.pdf> Acesso em: 19 set. 2013. PALMA, Fernando. ISO 27001 e ISO 27002. Disponvel em: <
http://www.portalgsti.com.br/2011/05/iso-27001-e-27002.html> Acesso em: 19 set. 2013. ROCHA, Cludio. Segurana da Informao. InformaBR. Disponvel em:
27
SEGURANA DA INFORMAO. Wikipedia, a enciclopdia livre [S.I.]. Disponvel em: <http://pt.wikipedia.org/wiki/Segurana da informao> Acesso em: 19 set. 2013.