Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Aula 03
COBIT® e a Governança de TI
Objetivos Específicos
• Identificar e avaliar os fundamentos da segurança de informação e da
continuidade dos negócios
Temas
Introdução
1 Aspectos fundamentais da segurança da informação
2 Gestão da Continuidade do Negócio
Considerações finais
Referências
Professores Autores
Bruno Domingos Rodrigues / Orlando Tuzzolo Júnior
Governança de Tecnologia da Informação
Introdução
A informação existe em diversas formas: impressa, escrita em papel, armazenada de
forma eletrônica, armazenada na nuvem, sendo transmitida por diversos meios como e-mail,
internet, falas (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2003b).
Espera-se que, ao final desta aula, você compreenda como a segurança da informação é
apresentada pela norma NBR ISO/IEC 27001, que propõe a especificação de um Sistema de
Gerenciamento de Segurança da Informação com base na avaliação de riscos, estabelecendo
os objetivos de controle que devem ser atendidos, de acordo com as necessidades de negócio.
Você entenderá, ainda, que a norma NBR ISO/IEC 27002 estabelece um código de
melhores práticas para apoiar o Gerenciamento de Segurança da Informação, fornecendo um
substancial guia de implementação e descrevendo como controles podem ser estabelecidos.
Esses controles devem ser escolhidos com base em uma avaliação de riscos dos ativos mais
importantes da organização (MOLINARO; RAMOS, 2010).
• Gestão de ativos.
• Controle de acesso.
• Criptografia.
• Conformidade.
Acesse a Midiateca e estude alguns casos de implantação da norma NBR ISO/IEC 27001 e
entenda como ela oferece valor para o negócio.
Além dos três conceitos importantes citados por Martins (2003), existem outros que
foram definidos pela norma NBR ISO/IEC 27001 e que auxiliam no entendimento da dinâmica
da segurança da informação (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2003a).
Desejam usufruir ou
danificar
Ativos
Para Valorizam
Exploram Diminuem
Ameaças
Aumentam
Como todas as organizações sofrem, igualmente, o risco dos efeitos de um desastre que
pode interromper suas operações, devem considerar a criação e a manutenção de um plano de
continuidade dos negócios para que possam otimizar suas chances de retomada bem-sucedida
após uma interrupção. É fundamental que se apurem fatores junto às áreas de negócios,
havendo clareza sobre alguns questionamentos, tais como: quanto tempo aquele negócio
pode ficar sem operar sem causar impactos severos para a imagem da empresa? Quanto
tempo levará a recuperação do processamento até o ponto que em parou? Quanto deverá
se alocar, em recursos financeiros, para cobrir despesas que podem advir da interrupção do
processamento (por exemplo, multas do setor regulatório por não cumprimento de prazos)?
Essas informações, indubitavelmente, serão fundamentais para a elaboração do plano e para
estabelecer a prioridade de recuperação.
2. Entender a organização;
CM na cultura d
r B aO
ta rga
en
lem
niz
Entender a Organização
açã
Imp
o
Programa de Determinar as
Gerenciamento do Estratégias do
Exercitar,
BCM – Business BCM – Business
manter e rever
Continuity Continuity
Management Management
Estágio 1: Iniciação
• Definição do escopo.
• Início do projeto.
• Avaliação de risco.
Estágio 3: Implementação
• Revisão e auditoria.
• Testes regulares.
Considerações finais
Nesta aula, pudemos avaliar como a segurança da informação é vital para qualquer
organização nos tempos atuais, visto que a informação é tratada de diversas formas.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC. Norma 15999-1. Gestão de
continuidade de negócios. Parte 1: código de prática. Rio de Janeiro, 2007.
HILES, Andrew. International perspectives, standards and sources. Chichester, England: John
Wiley and Sons, 2007.
ISACA. COBIT 5: Enabling Processes, Rolling Meadows, IL (EUA). 2012. Disponível em: <http://
www.isaca.org/COBIT/Pages/COBIT-5-portuguese.aspx>. Acesso em: 22 ago. 2015.
MOLINARO, Luís Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de Tecnologia da
Informação e Governança de TI: arquitetura e alinhamento entre sistemas de informação e o
negócio. São Paulo: LTC (GEN), 2010.