elaboração de modelo sgsi conforme iso27001

Elaboração de um modelo de SGSI para a FACSENAC: Aplicação da NBR

Carlos Magno2, Daniel Cordeiro

2 Pós-Graduação em Segurança da Informação, FACSENAC

[email protected]; [email protected]

Resumo. Este artigo propõe a implantação de um SGSI na empresa FACSENAC, criando uma matriz de riscos, para acompanhamento, monitoramento e evolução do processo de crescimento da empresa, identificando e gerenciando suas atividadesidentificando vulnerabilidades para SGSI. O método a ser utilizado será um estudo de caso da empresa FACSENAC que possibilitará as etapas do processo de criação da SGSI à luz da ABNT ISO/IEC 27001:2006. O principal resultado deste artigo será a riscos incremental, identificando os ativos físicos e lógicos para identificar as áreas mais criticas, possibilitando assim um nível adequado de proteção para o crescimento sustentável da empresa. Palavras-chave: Vulnerabilidade, Abstract: This paper proposes the implementation of aSENAC company, creating a risk matrix for tracking, monitoring and progress of the company's growth, identifying and managing activities to simplify a future audit of the process. The method used is a case study that will enable stages of the creation of the ISMSresult of this paper is to create an array of incremental risks, identifying the tangible (physical) and intangible (software) to identify the most critian adequate level of protection for the sustainable growth of the company.

KeyWords: Vulnerability, Active

1. INTRODUÇÃO

Hoje a informação é bem mais valiosa dentro das organizações, portanto

precisa de uma política de proteção. Não se pode correr o risco de uma

interrupção em suas operações, isso acarretari

abalando as relações de parcerias comerciais.

todos os componentes da cadeia pro

e compartilhamento remoto de informações estratégicas com os diversos tipos

clientes. Isso possivelmente agregará valor e se transformará em benefícios,

Elaboração de um modelo de SGSI para a FACSENAC: Aplicação da NBR ISO-IEC 27001

, Daniel Cordeiro2, Jacy Ferreira2 e Edilberto Silva2

Graduação em Segurança da Informação, FACSENAC-DF, Brasília

[email protected]; [email protected]@yahoo.com

artigo propõe a implantação de um SGSI na empresa FACSENAC, criando uma matriz de riscos, para acompanhamento, monitoramento e evolução do processo de crescimento da empresa, identificando e gerenciando suas atividadesidentificando vulnerabilidades para simplificar um futuro processo de auditoria da SGSI. O método a ser utilizado será um estudo de caso da empresa FACSENAC que possibilitará as etapas do processo de criação da SGSI à luz da ABNT ISO/IEC 27001:2006. O principal resultado deste artigo será a criação de uma matriz de riscos incremental, identificando os ativos físicos e lógicos para identificar as áreas mais criticas, possibilitando assim um nível adequado de proteção para o crescimento sustentável da empresa.

chave: Vulnerabilidade, Ativo, Sustentável.

: This paper proposes the implementation of a Information System in the SENAC company, creating a risk matrix for tracking, monitoring and progress of the company's growth, identifying and managing activities to simplify a future audit of the process. The method used is a case study that will enable the company FACSENAC stages of the creation of the ISMS the light of ABNT ISO/IEC 27001:2006. result of this paper is to create an array of incremental risks, identifying the tangible (physical) and intangible (software) to identify the most critical areas, thus enabling an adequate level of protection for the sustainable growth of the company.

ctive, Sustainable.


de proteção. Não se pode correr o risco de uma

interrupção em suas operações, isso acarretaria sérios prejuízos à corporação

abalando as relações de parcerias comerciais. Hoje as empresas estão juntando

todos os componentes da cadeia produtiva, através de vários tipos de conexões,


Isso possivelmente agregará valor e se transformará em benefícios,

!

Elaboração de um modelo de SGSI para a FACSENAC: Aplicação da NBR

2

DF, Brasília-DF

[email protected];

artigo propõe a implantação de um SGSI na empresa FACSENAC, criando uma matriz de riscos, para acompanhamento, monitoramento e evolução do processo de crescimento da empresa, identificando e gerenciando suas atividades,

simplificar um futuro processo de auditoria da SGSI. O método a ser utilizado será um estudo de caso da empresa FACSENAC que possibilitará as etapas do processo de criação da SGSI à luz da ABNT ISO/IEC

criação de uma matriz de riscos incremental, identificando os ativos físicos e lógicos para identificar as áreas mais criticas, possibilitando assim um nível adequado de proteção para o

Information System in the SENAC company, creating a risk matrix for tracking, monitoring and progress of the company's growth, identifying and managing activities to simplify a future audit of the

the company FACSENAC . The main

result of this paper is to create an array of incremental risks, identifying the tangible cal areas, thus enabling


de proteção. Não se pode correr o risco de uma

a sérios prejuízos à corporação

Hoje as empresas estão juntando

tipos de conexões,


Isso possivelmente agregará valor e se transformará em benefícios,

porém, a alta direção tem dificuldades em reconhecer o retorno imediato sobre

investimento em segurança, e elas não estão amparadas por um planejamento

de segurança da informação, capaz de minimizar riscos de qualquer espécie

causando prejuízos com perda de produtividade, proporcionando perdas

financeiras e desgaste à sua imagem.

O interesse da segurança deve partir do mais alto nível da organização,

pelo elevado reconhecimento de sérios problemas que resultariam no vazamento,

modificação ou indisponibilidade da informação.

Este cenário eleva a pol

proteção de dados, identificando a sua vulnerabilidade para a criação de

ferramentas adequadas, dando suporte à estratégia de gestão de riscos de

negócios.

Este grupo propõe o PGSI

Informação pautado na norma

adota o modelo PDCA – Plan-Do

define diretrizes para a o planejamento e

Gestão de Segurança da Informação).

Trata-se de um estudo sobre

localidade do ambiente e mapea

as vulnerabilidades, mensurar o impacto na organização para determinar o grau

de prioridade para cada risco.

A adoção de um plano de informação

27001:2006(ABNT, 2006)[1], tem como objetivo elevar a organização a um grau

de qualidade e maturidade que permita o uso eficaz e eficiente do seu SGSI.

"#$%&'(!)

porém, a alta direção tem dificuldades em reconhecer o retorno imediato sobre




financeiras e desgaste à sua imagem.



modificação ou indisponibilidade da informação.

Este cenário eleva a política de segurança da Informação relacionada à



Este grupo propõe o PGSI – Plano de Gestão de Segurança da

orma NBR ISO/IEC 27001:2006(ABNT, 2006)

Do-Check-Act (Planejar, Fazer, Checar e A

o planejamento e implantação de um SGSI (Sistema de

de Segurança da Informação).

sobre a natureza do negócio sua área de operação,

mapeamento dos ativos físicos e lógicos para identificar


adoção de um plano de informação pautado na NBR ISO/IEC

, tem como objetivo elevar a organização a um grau


)(*+,-.+(/012(3(/.'4(0+(15-67(2689(

:

porém, a alta direção tem dificuldades em reconhecer o retorno imediato sobre o






ão relacionada à



Plano de Gestão de Segurança da

NBR ISO/IEC 27001:2006(ABNT, 2006)[1], que

Agir) que

tação de um SGSI (Sistema de

a natureza do negócio sua área de operação,

identificar


pautado na NBR ISO/IEC

, tem como objetivo elevar a organização a um grau


2. MAPEAMENTO DOS ATIVOS

De acordo com o escopo definido serão avaliados 10

tabela 1. Os ativos descritos nesta, foram escolhidos mediante análise técnica

baseada em métodos, cujos resultados deverão ser comparados com regras

estabelecidas pela empresa FACSENAC

identificar os riscos que estes representa

(;'<-.'(

=;>*

;'<-.'(:/&+<'<#.#,',-( ?'.+&(*%#8+(@'#A'( !(@'#A'( :(*B,#'( C(2.8'( D(

;'<-.'(C(=EF'68+( ?'.+&( 0-G6&#HI+(0-GF&-JKL-.( !( MG(0'4+G(GI+(@'#A+( :( 2(M&$'4#J'HI+(6+4G-$%-(&-F'&'&(+G(,'4+G(6+E(G-%G(F&NF&#+G(&-6%&G+G1&K8#6+( C( 2(&-6%F-&'HI+O&'L-( D( 0'4+G(P%-(L-45'E('(E'465'&('(#E'$-E(,+(O&'LKGG#E+( Q( 0-G8&%#HI+(=&&-F'&RL-.(,'(=E'$-E(,+(

((((

(((((((

2.1. PGSI - Planejamento de

O PGSI para a FACSENAC

alto nível com metodologia baseado em regras e padrões pautado na ABNT

ISO/IEC 27001:2006[1], para que futuramente possa servir de referência para

((

((

=*/2

1;M( (

*%#8+(@'#A'(S=EF&+LRL-.T

0-GF&-JKL-.( !(

@'#A+( :(

1&K8#6+( C(

O&'L-( D(

O&'LKGG#E+( Q(

ATIVOS

De acordo com o escopo definido serão avaliados 10 ativos conforme

. Os ativos descritos nesta, foram escolhidos mediante análise técnica


estabelecidas pela empresa FACSENAC para uma determinada atividade para

identificar os riscos que estes representam para a empresa.

;'<-.'()(!(*'F-'E-48+(,-('8#L+G(=;>*( 2;=?M(

!( 1'<-'E-48+(>G8&%8%&',+(:( U-,-(>.B8&#6'(>G8'<#.#J','(C( U+8-',+&-G(D( VW#865-G(Q( @'67<@+4-(X( V-&L#,+&(,-(2&P%#L+G(Y( 0-G78+FZG[(\'F8+FZG[(-(+%8&+G(]( 2F.#6'8#L+S"=U>^2\\T(_( @'46+(,-(0',+G(

!`( 0+6%E-48'HI+(,+(V#G8-E'(

(

;'<-.'(:)(aKL-#G(,-(F&+<'<#.#,',-9(( 0-G6&#HI+(

*%#8+(=EF&+LRL-.(,-(M6+&&-&(((S`!('(!`bT(=EF&+LRL-.(,-(M6+&&-&(((((((((((((((S!!('(C`bT(M6+&&-(M6'G#+4'.E-48-(((((((((((((SC!('(Y`bT(/&+LRL-.(,-(M6+&&-&(((((((((((((((((((SY!('(!``bT(

(;'<-.'(C(3(aKL-#G(,-(=EF'68+9(

MG(0'4+G(GI+(G#$4#c#6'48-G(F'&'('(M&$'4#J'HI+9(2(M&$'4#J'HI+(6+4G-$%-(&-F'&'&(+G(,'4+G(6+E(G-%G(F&NF&#+G(&-6%&G+G(2(&-6%F-&'HI+(,+G(,'4+G(-A8&'F+.'(+G(&-6%&G+G(,'(M&$'4#J'HI+(0'4+G(P%-(L-45'E('(E'465'&('(#E'$-E(,+(d&$I+(+%($-&'&('.$%E(#46#,-48-($&'L-(

=&&-F'&RL-.(,'(=E'$-E(,+(d&$I+(-(+c-&-6-(&#G6+(,-(E+&8-('+G(G-&L#,+&-G

;'<-.'(D)(/&+<'<#.#,',-(e(=EF'68+9(

(

de Gestão de Segurança da Informação

FACSENAC tem a intenção de apresentar uma proposta de


, para que futuramente possa servir de referência para

/(&(+(<('(<(#(.(#(,('(,(-(*%#8+(@'#A'(S=EF&+LRL-.T(

@'#A'(S/+%6+(F&+LRL-.T(

*B,#'(S/+GGKL-.T(

2.8'(((((((((((S/&+LRL-.T(

*%#8+(2.8'(S"&-Pf-48-T

:( C( D( Q(

C( D( Q( X(

D( Q( X( Y(

Q( X( Y( ](

X( Y( ]( _(

C

ativos conforme

. Os ativos descritos nesta, foram escolhidos mediante análise técnica


a uma determinada atividade para

(-(+c-&-6-(&#G6+(,-(E+&8-('+G(G-&L#,+&-G(

a intenção de apresentar uma proposta de


, para que futuramente possa servir de referência para

*%#8+(2.8'(T(

outras unidades da organização

respeito ao Planejamento (PLAN)

O escopo do projeto apresenta metodologia baseado em regras

estabelecidas para facilitar o desenvolvimento

de forma que possa identificar as principais características do negócio, o que faz

parte e quais áreas são mais criticas que irão fazer parte do

cada identificando os ativos tangíveis e intangíveis necessários pa

da matriz de riscos, conforme tabela abaixo

((28#L+G( 2E-'H'G( ?%.4-&'<#.#,',-G(

U#G6+((((((((,-(#EF'68+

!(1'<-'E-48+(>G8&%8%&',+(

U+EF#E-48+(,-(6'<+(

U'8+Gg(*+L-#Gg(V-&L#,+&(E'.(#48-46#+4',+[(

:(U-,-(>.B8&#6'(>G8'<#.#J','(

h%-,'(,-(>4-&$#'(

V+<&-6'&$'[(0-G.#$'E-48+(,+(a+@&-'7[1%&8+(-E(

c#'HI+('48#$'(

C( U+8-',+&(

h%-,'(,-(>4-&$#'[(28'P%-(

i'67-&S0,+GT("'.5'(,-(i'&,W'&-(

=4-A#G8j46#'(,-(%E'(U+8'(2.8-&4'8#L'(+%(

?#&8%'.(

D( @'67(@+4-(

h%-,'(,-(>4-&$#'[(28'P%-(

i'67-&S0,+GT("'.5'(,-(i'&,W'&-(

=4-A#G8j46#'(,-(%E'(U+8'(2.8-&4'8#L'(+%(

?#&8%'.(

outras unidades da organização; na figura abaixo veja concepção no

(PLAN) do SGSI.


o desenvolvimento e o acompanhamento das etapas


parte e quais áreas são mais criticas que irão fazer parte do PGSI, e dentro de

cada identificando os ativos tangíveis e intangíveis necessários para a formação

, conforme tabela abaixo.

;'<-.'(Qk(*'8&#J(,-(U#G6+G(

U#G6+((((((((,-(#EF'68+(

U#G6+(,-(/&+<'<#.#,',-(

aK-.(((,-(=EF'68+( U#

G6+(

U-GF+4GRL-.(=48-&&%FHI+(,-(8+,+(+%(F'&8-(,+(V#G8-E'(#48-&4+(-(

+%(-A8-&4+(

!( :( C(;B64#6+(,-(

U-,-(

=48-&&%FHI+(,-(8+,+(+(V#G8-E'(

#48-&4+(!( :( C( >.-8&#6#G8'(

=48-&&%FHI+(,-(8+,+G(+G(V-&L#H+G(P%-(%8#.#J-E('(

=48-&4-8(

C( :( D(2,E#4#G8&',+&(

,'(U-,-(

=48-&&%FHI+(,-(8+,+G(+G(V-&L#H+G(P%-(%8#.#J-E('(

=48-&4-8(

C( :( D(2,E#4#G8&',+&(

,'(U-,-(

D

na figura abaixo veja concepção no que diz


acompanhamento das etapas


e dentro de

ra a formação

;&'8'E-48+(

=G+.'E-48+('8&'LBG(,-(6'4'.-8'G(',-P%','G(

=G+.'E-48+(,'(&-,-(6+E(E'8B&#'G(l(#4c.'ERL-#Gg(>A8#48+&-G(,-(=46j4,#+(-E(.%$'&-G(-G8&'8B$#6+G(

*'4%8-4HI+((F-&#N,#6'(,+(-P%#F'E-48+[(

a+@&-'7[(mE'(U+8'('.8-&4'8#L'(Fn-G8'(

-E-&$j46#'(

*'4%8-4HI+((F-&#N,#6'(,+(-P%#F'E-48+[(

a+@&-'7[(mE'(U+8'('.8-&4'8#L'(Fn-G8'(

-E-&$j46#'(

Q( VW#865(

h%-,'(,-(-4-&$#'[("'.5'(,-(i'&,W'&-(

=4-A#G8j46#'(,-(%E'(U+8'(2.8-&4'8#L'(+%(

?#&8%'.(

X(V-&L#,+&(,-(2&P%#L+G(

h%-,'(,-(>4-&$#'[(=48&%GI+(=48-&4'(-(>A8-&4'(

h%-,'(,+(V-&L#,+&[(=4L'GI+(i'67-&(+%(F+&(%E(V-&L#,+&(E'.(

#48-46#+4',+(

Y(0-G78+FZG[(\'F8+FZG(-(+%8&+G(

U+%<+[(h%-<&'(

=48-&&%FHI+(,-(V-&L#H+G[(/-&,'(,-(

0',+G(

](2F.#6'8#L+("=U>^2\\(

26-GG+(,-(V-&L#,+&-G('(FR$#4'G(G%GF-#8'G[(

1+4c#$%&'HI+(,+("#&-W'..(

;&'L'E-48+(,-(0-G78+FoG[(

/&+$&'E'G(P%-(4I+(6'&&-$'E(-869(

_(@'46+(,-(0',+G(

h%-,'(,-(-4-&$#'[(F-&,'(,-(

,-G-EF-45+[(=48&%GI+(#48-&4'(-(>A8-&4'(

/'4-(,-(P%'.P%-&(-GFB6#-(4+(V-&L#,+&[(=4L'GI+(>A8-&4'(+%(

=48-&4'(

=4c+&E'Hp-G[(/-&,'(

!`(0+6%E-48'HI+(,+(V#G8-E'(

/-&,'[(>A8&'L#+(,-(h%'.P%-&(a'8%&-J'(

/-&,'[((>A8&'L#+(,-(h%'.P%-&(a'8%&-J'(

(((

3. CONCEITOS BÁSICOS

Seja qual for a forma apresentada ou o meio através do qual a informação

é compartilhada ou armazenada, é recomendado que ela

proteção adequado para cumprimento de seus objetivos

• Confidencialidade

sigilo que lhe é cabível, de forma que o acesso seja restrito a pessoas que

tenham autorização para tal.

• Integridade - a informação deve ser mantida da maneira como criada

pelo seu autor, evitando alterações indevidas, intencionais ou acidentais.

• Disponibilidade - uma informação deve estar disponível aos usuários

ou a uma instituição no momento em que for

h%-,'(,-(;+,+(+(V#G8-E'(

1++&F+&'8#L+(=48-&4+((

C( :( D(2,E#4#G8&',+&(

,-(U-,-(

=48-&&%FHI+(,+(V#G8-E'[(U+%<+[(+%(

-A8&'L#+(,-(=4c+&E'Hp-G(

!( D( D(24'.#G8'(,-(V%F+&8-[(MF-&',+&(

=48-&&%FHI+(,-(V-&L#H+G[(/-&,'(,-(,',+G[(?'J'E-48+(,-(=4c+&E'Hp-G[(

/-&,'(4+(/'8&#Eq4#+(

!( :( C(V-&L#H+(,-(

*'4%8-4HI+[(V-&L#,+&-G(

=48-&&%FHI+(,-(U+8#4'G[(

?'J'E-48+(,-(=4c+&E'Hp-G(-869(

D( D( Y(24'.#G8'(,-(V%F+&8-[(

>GF-6#'.#G8'(

U+%<+(,-(=4c+&E'Hp-G[(/-&,'(

,-(,',+G(-869(D( D( Y(

24'.#G8'(,-(@'46+(,-(0',+G(

/-&,'(,-(=4c+&E'Hp-G(

=EF+&8'48-G(F'&'(,'&(6+48#4%#,',-(

,+(V#G8-E'(

!( C( Q(24'.#G8'[(0#&-8+&(

forma apresentada ou o meio através do qual a informação

é compartilhada ou armazenada, é recomendado que ela tenha um nível de

proteção adequado para cumprimento de seus objetivos, que são:

Confidencialidade - é preciso garantir que a informação mantenha o


a informação deve ser mantida da maneira como criada

alterações indevidas, intencionais ou acidentais.

uma informação deve estar disponível aos usuários

ou a uma instituição no momento em que for requisitada. Veja figura abaixo:

(((((

Q

*'4%8-4HI+((F-&#N,#6'(,+(-P%#F'E-48+[(

a+@&-'7[(mE'(U+8'('.8-&4'8#L'(Fn-G8'(

-E-&$j46#'(/+.K8#6'(,-(@'67%F(

6+4c#RL-.[("'J-&(V#G8-E'(,-(>GF-.5'E-48+[(

E'48-4,+((V#G8-E'(4+((2&9(

1+.+6'&(1rE-&'G(-E(.%$'&-G(-G8&'8B$#6+G[(6+48&+.-(,-(-48&','(-(V'K,'(,-(E'8-&#'.(

28%'.#J'HI+(0#R&#'(,-(2F.#6'8#L+G[(V%F-&L#GI+(0#R&#'(,-(U-$&'G(,-(

a-$N6#+[(1+4c#$%&'HI+(,+("#&-W'..(

;-&(%E'(/+.K8#6'(,-(@'67%F(6+4c#RL-.[("'J-&(

V#G8-E'(,-(>GF-.5'E-48+[(

/&+$&'E'&(U+8#4'G(,-(M8#E#J'HI+(,+(@0(

O%'&,'&(8+,'(,+6%E-48'HI+(,+G(V#G8-E'G(-E(.%$'&-G('F&+F&#',+G(-(8-&(E'#G(

,-(%E'(6NF#'(

forma apresentada ou o meio através do qual a informação

um nível de

é preciso garantir que a informação mantenha o


a informação deve ser mantida da maneira como criada

uma informação deve estar disponível aos usuários

Veja figura abaixo:

"#$%&'(

• Ativos - Os elementos que fazem parte da vida da informação dentro

de uma organização e a própria informação são considerados ativos. Ativo é

"qualquer coisa que tenha valor para a organização".

• Ameaças - E uma causa potencial de um incidente indesejado,

podendo resultar em dano para um sistema ou organização.

• Vulnerabilidade -

informação que pode ser explorada por uma

o Data Center ao lado de um

destrancadas;

o Alocação errada de direitos de senha

• Risco - É a medida do nível de incerteza associado à probabilidade

de ocorrência de um evento e suas

4. ESTUDO DE CASO

O estudo de caso foi realizado em campo levando

situação atual da organização

investigação com a coleta de dados

objetivando analisar o fenômeno a que se refere

processo no que diz respeito

"#$%&'(:(3(M<s-8#L+G(,-(V-$%&'4H'((,'(#4c+&E'HI+9(

(

Os elementos que fazem parte da vida da informação dentro


"qualquer coisa que tenha valor para a organização".

uma causa potencial de um incidente indesejado,

resultar em dano para um sistema ou organização.

Uma fraqueza de um ativo ou grupo de ativos de

informação que pode ser explorada por uma ameaça como.

Data Center ao lado de uma loja de fogos de artifício,

rada de direitos de senha falta de manutenção etc

É a medida do nível de incerteza associado à probabilidade

de ocorrência de um evento e suas conseqüências.

(

"#$%&'(C(3(U#G6+9((

O estudo de caso foi realizado em campo levando-se em

situação atual da organização, através de uma abordagem metodológica de

om a coleta de dados descrevendo os acontecimentos e

objetivando analisar o fenômeno a que se refere aprendendo a dinâmica do

no que diz respeito à Segurança da Informação.

X

(

Os elementos que fazem parte da vida da informação dentro


uma causa potencial de um incidente indesejado,

Uma fraqueza de um ativo ou grupo de ativos de

, portas

etc.

É a medida do nível de incerteza associado à probabilidade

conta a

através de uma abordagem metodológica de

descrevendo os acontecimentos e

prendendo a dinâmica do

5. LEVANTAMENTO DAS INFO

No planejamento de sistemas de informação

casos de sucesso, todos os padrões e normas existentes que ao longo do tempo

venham demonstrando maturidade suficiente para dar continuidade e fazer parte

do SGSI.

Foram analisadas toda

portarias administrativas, para entender as reais necessidades de cada setor, e

visando mensurar a real usa

informação.

Para melhorar as operações enumeramos

conformidade com a NBR ISSO/IEC

problemas enfrentados e propor soluções para resolvê

Controles internos devem ser implementados para garantir ainda a

eficiência das operações identificando

idéias para resolvê-los.

6. CONTROLE DE ÁREAS DE

O processo para identificar e controlar as áreas de risco elimi

minimiza os que podem afetar os recursos do sistema

e da probabilidade de ocorrência dos mesmos

Para ser considerado um risco, deve

• Algo provável de acontecer;

• Estimar prejuízos à

• Estar diretamente associado a um ativo ou bem de valor;

• Ser possível identificar

• Ser possível identificar a vulnerabilidade da ameaça

Riscos:

! Risco de Negócio

estratégicas equivocadas.

! Risco Humano –

Por falta de conhecimento que pode levá

pessoas externas ou internas à organização ag

EVANTAMENTO DAS INFORMAÇÕES DO PGSI – PADRÕES E NORMAS

de sistemas de informação, aproveitam-se todos os


demonstrando maturidade suficiente para dar continuidade e fazer parte

todas as documentações, como regimento interno e


visando mensurar a real usabilidade de cada recurso da tecnologia da

operações enumeramos os processos que não estão em

NBR ISSO/IEC 27001:2006[1], que é identificar os

problemas enfrentados e propor soluções para resolvê-los.


identificando os problemas enfrentados e sugeri

RISCO

O processo para identificar e controlar as áreas de risco elimi

minimiza os que podem afetar os recursos do sistema, identificação da gravidade

e da probabilidade de ocorrência dos mesmos.

Para ser considerado um risco, deve-se atentar aos seguintes requisitos:

Algo provável de acontecer;

Estimar prejuízos à organização;

Estar diretamente associado a um ativo ou bem de valor;

Ser possível identificar de onde vem a ameaça;

dentificar a vulnerabilidade da ameaça.

Risco de Negócio - Riscos de informação por tomada de decisões

Podem vir de pessoas mal intencionadas ou não.

Por falta de conhecimento que pode levá-lo a tomar decisões erradas, ou

pessoas externas ou internas à organização agindo com más intenções.

Y

PADRÕES E NORMAS

todos os


demonstrando maturidade suficiente para dar continuidade e fazer parte

, como regimento interno e


bilidade de cada recurso da tecnologia da

os processos que não estão em

27001:2006[1], que é identificar os


ugerindo

O processo para identificar e controlar as áreas de risco elimina ou

dentificação da gravidade

se atentar aos seguintes requisitos:

Riscos de informação por tomada de decisões

Podem vir de pessoas mal intencionadas ou não.

lo a tomar decisões erradas, ou

! Risco Tecnológico

falta de planejamento adequado destes investimentos ou o conhecimento limitado

na área de TI resulta em soluções de segurança erradas.

! Risco de Imagem

! Risco Legal – A

regulamentadores presentes no mercado brasileiro.

6.1. Obtenção de informações sobre o ambiente tecnológico

A identificação dos

análise e customização, como por exemplo:

• Um firewall sem a devida análise

como uma barreira para potenciais invasores, sem que dele seja

extraído todo o seu potencial.

!"#" $%&'()

O grupo formado tem como meta,

identificar e corrigir falhas nos processos em tempo hábil para a não

paralisação da organização mantendo a sua imagem.

7. PROPOSTA

O SENAC é uma instituição de ensino ligada ao Governo Federal

exercendo varias atividades, entre elas a

conformidade com o sistema “S”

e sem fins lucrativos. Ela é formada por duas unidades de ensino que ficam

distantes geograficamente no DF.

Brasília localizada na 902 sul.

O ciclo PDCA é a metodologia proposta pela NBR ISO/IEC

27001:2006[1] para melhoria continua do SGSI

Matriz de Riscos.

O PGSI está relacionado

sobre um conjunto de dados no sentido de preservar o valor que possui para

Organização[3], como:

• Confidêncialidade

Risco Tecnológico - A restrição de investimentos de tecnologia, a


na área de TI resulta em soluções de segurança erradas.

Risco de Imagem - Segurança gera confiança.

Atender às legislações vigentes e aos órgãos

regulamentadores presentes no mercado brasileiro.

Obtenção de informações sobre o ambiente tecnológico

ção dos pontos fortes e fracos dentro da FACSENAC para

análise e customização, como por exemplo:

m firewall sem a devida análise do seu log, figurando apenas


extraído todo o seu potencial.

O grupo formado tem como meta, o planejamento do SGSI

falhas nos processos em tempo hábil para a não

anização mantendo a sua imagem.

é uma instituição de ensino ligada ao Governo Federal

exercendo varias atividades, entre elas a Faculdade SENAC, estando em

com o sistema “S” [6] e respaldado com a legislação do MEC

la é formada por duas unidades de ensino que ficam

distantes geograficamente no DF. O PGSI será primeiramente na unidade de

Brasília localizada na 902 sul.

é a metodologia proposta pela NBR ISO/IEC

para melhoria continua do SGSI e será baseada na Tabela

onado com regras métodos de proteção aplicados

sobre um conjunto de dados no sentido de preservar o valor que possui para

Confidêncialidade;

]

timentos de tecnologia, a


aos órgãos

pontos fortes e fracos dentro da FACSENAC para

do seu log, figurando apenas


o SGSI para

falhas nos processos em tempo hábil para a não

é uma instituição de ensino ligada ao Governo Federal

, estando em

e respaldado com a legislação do MEC[7],

la é formada por duas unidades de ensino que ficam

primeiramente na unidade de

é a metodologia proposta pela NBR ISO/IEC

e será baseada na Tabela

com regras métodos de proteção aplicados

sobre um conjunto de dados no sentido de preservar o valor que possui para a

• Integridade;

• Disponibilidade.

7.1. Fatores críticos de sucesso

Garantir que 100% dos alunos

Wireless com criptografia forte.

8. ATRIBUIÇÃO DE REGRAS E RESPONSABILIDADES

8.1. Comitê de Segurança da Informação

O CGSI será formado por servidores da alta Gerência administrativa

que possuem funções estratégicas

Rh, da Gerência Administrativa

Analista de BD, Administrador de Rede, Analista de Sistemas, e um

responsável pela manutenção do prédio

As decisões serão tomadas em conjunto,

função hierárquica dentro do grupo com sua respectiva respons

colaboradores da gerência administrativa

as áreas funcionais liderando as ações para que as melhores práticas de

segurança sejam atendidas e aplicadas

procedimentos para que as metas sejam alcançadas

8.2. Proprietário das Informações

O proprietário da informação é

• Elaborar para toda informação sob sua responsabilidade, uma

relação de cargos e funções para as áreas

concedendo

• Reavaliar sempre que necessário as concessões de acesso

concedidas cancelando ou acrescentando po

• Analisar os relatórios de controle de acesso concedidos pela

área de gestão de S

relação ás normas de Segurança da Informação, tomando as

ações corretivas necessárias.

• Investigar incidentes de segurança da

Disponibilidade.

Fatores críticos de sucesso

Garantir que 100% dos alunos da FACSENAC tenham acesso a rede

E RESPONSABILIDADES

mitê de Segurança da Informação

será formado por servidores da alta Gerência administrativa

que possuem funções estratégicas, como da área Financeira, Contabilidade,

da Gerência Administrativa assim como da Gerência de Informática


responsável pela manutenção do prédio.

As decisões serão tomadas em conjunto, cada colaborador com sua

função hierárquica dentro do grupo com sua respectiva responsabilidade. Os

colaboradores da gerência administrativa precisará trabalhar em sintonia com


ça sejam atendidas e aplicadas divulgando e estabelecendo os

para que as metas sejam alcançadas.

Proprietário das Informações

O proprietário da informação é indicado pelo grupo, cabendo a ele

Elaborar para toda informação sob sua responsabilidade, uma

relação de cargos e funções para as áreas mais críticas

concedendo e dando autoridades de acesso.

Reavaliar sempre que necessário as concessões de acesso

concedidas cancelando ou acrescentando poderes.

Analisar os relatórios de controle de acesso concedidos pela

estão de SI, com o objetivo de identificar desvios em


ações corretivas necessárias.

Investigar incidentes de segurança da informação;

_

acesso a rede Lan ou

será formado por servidores da alta Gerência administrativa[4]

ontabilidade,

assim como da Gerência de Informática,


cada colaborador com sua

abilidade. Os

trabalhar em sintonia com


divulgando e estabelecendo os

indicado pelo grupo, cabendo a ele:

Elaborar para toda informação sob sua responsabilidade, uma

mais críticas,

Reavaliar sempre que necessário as concessões de acesso

Analisar os relatórios de controle de acesso concedidos pela

, com o objetivo de identificar desvios em


• Reuniões periódicas com o comitê de gestão de SI, prestando

esclarecimentos etc.

8.3. Classificando as informações

A classificação da informação deve atender a política de segurança da

informação da FACSENAC usando recursos homologados, autorizados,

identificados, inventariados e protegidos com documentação atualizada

A classificação deve tratar a informação duran

seus níveis e critérios para sua criação, transporte, manuseio e descarte,

devendo ser revista periodicamente. Incidentes de segurança que trazem

prejuízos forçam a reclassificação

informações são classificadas mediante sua necessidade de sigilo, ou pela

integridade e confiabilidade:

Classificação: Ultra-secreto, Secreto, Confidencial e Reservado;

8.4. Área de Segurança da Informação

O grupo criará uma área de seg

na matriz de riscos. A intenção é colocar uma blindagem

ocorrrências sejam tratadas imediatamente de

tal maneira que seja transparent

8.5. Tratamentos de Vulnerabilidade dos Ativos

8.5.1. Ativos - 1# 2# 3# 4#

O grupo formado deverá

toda a organização para evitar que cabos sejam corroídos ou partidos por

roedores evitando assim que a rede tanto elétrica como lógica fiquem

danificadas causando paralisação dos sistemas internos, e ou externo.

Neste cenário o grupo

propor estruturar toda a rede tanto lógica como

• A parte elétrica deverá atender com rigorosa observância todo projeto

seus detalhes, exigência, especificações

projeto elaborado pelo profissional da área contratado pelo grupo e

atenda as normas vigentes na ABNT respectiva, INMETRO

euniões periódicas com o comitê de gestão de SI, prestando

esclarecimentos etc.

Classificando as informações



identificados, inventariados e protegidos com documentação atualizada

A classificação deve tratar a informação durante o seu ciclo de vida com



prejuízos forçam a reclassificação ou desclassificação dos ativos.

ão classificadas mediante sua necessidade de sigilo, ou pela

integridade e confiabilidade:

secreto, Secreto, Confidencial e Reservado;

Área de Segurança da Informação

uma área de segurança relativo aos ativos enumerados

intenção é colocar uma blindagem nesta área

ocorrrências sejam tratadas imediatamente de modo a se tornar automática de

tal maneira que seja transparente ao usuário[5].

Tratamentos de Vulnerabilidade dos Ativos

4# 5# e 6#

O grupo formado deverá propor uma higienização e dedetização para



o paralisação dos sistemas internos, e ou externo.

Neste cenário o grupo liderado pelo Administrador de Rede

propor estruturar toda a rede tanto lógica como elétrica.

deverá atender com rigorosa observância todo projeto

seus detalhes, exigência, especificações e componentes constantes no

projeto elaborado pelo profissional da área contratado pelo grupo e

atenda as normas vigentes na ABNT respectiva, INMETRO etc, qu

!`

euniões periódicas com o comitê de gestão de SI, prestando



identificados, inventariados e protegidos com documentação atualizada[3].

te o seu ciclo de vida com



dos ativos. As

ão classificadas mediante sua necessidade de sigilo, ou pela

secreto, Secreto, Confidencial e Reservado;

enumerados

ea para que

automática de

propor uma higienização e dedetização para



o paralisação dos sistemas internos, e ou externo.

pelo Administrador de Rede deverá

deverá atender com rigorosa observância todo projeto

constantes no

projeto elaborado pelo profissional da área contratado pelo grupo e que

que passe

pela aprovação de Órgãos

órgãos competentes.

• A parte lógica também deve ter o seu projeto regido pelas normas da

ABNT, INMETRO etc, e a

colocar pontos de rede o

para um ponto central, onde ficam os switches e outros equipamentos de

rede.

Tudo começa com a área central da rede,

ficaram todos os servidores, switches patch panel

Este é intermediário entre as tomadas de parede e outros pontos de conexão e

os switches da rede. Os cabos vindos dos pontos individuais são numerados

instalados em portas correspondentes ao patch panel, e as portas utilizadas

são ligadas aos switches e os roteadores

de cabos, os patch panels permitem a conexão com um número maior de

pontos de rede do que portas dos switches. Veja figura abaixo.

área de equipamentos seja uma área

fiquem fisicamente protegidos

com identificação.

8.5.2. Ativo 3#

Os roteadores deverão ser inteligentes com redundância para prover

rota alternativa em caso de pane.

8.5.3. Ativo 4#

Com o crescimento da rede a maior carga vai para o

tornando-se vulnerável, então mensurar um backbone melhor, mais eficiente,

robusto e com capacidade de evol

Órgãos específicos, como Corpo de Bombeiros e

A parte lógica também deve ter o seu projeto regido pelas normas da

ABNT, INMETRO etc, e a idéia central é cabear todo o prédio de forma a

rede onde possam ser necessário. Todos os cabos irão


Tudo começa com a área central da rede, de preferência no térreo,

rvidores, switches patch panel ou painel de comunicação.

entre as tomadas de parede e outros pontos de conexão e

os switches da rede. Os cabos vindos dos pontos individuais são numerados


switches e os roteadores. Além de melhorarem a organização


pontos de rede do que portas dos switches. Veja figura abaixo. A Idea é que a

área de equipamentos seja uma área de acesso restrito, onde os equipamentos

fiquem fisicamente protegidos com câmeras em pontos estratégicos e portarias

"#$%&'(D(3(i'67(


o de pane.

Com o crescimento da rede a maior carga vai para o backb

se vulnerável, então mensurar um backbone melhor, mais eficiente,

robusto e com capacidade de evolução.

!!

específicos, como Corpo de Bombeiros e outros

A parte lógica também deve ter o seu projeto regido pelas normas da

central é cabear todo o prédio de forma a

. Todos os cabos irão


de preferência no térreo, onde

painel de comunicação.

entre as tomadas de parede e outros pontos de conexão e

os switches da rede. Os cabos vindos dos pontos individuais são numerados e


. Além de melhorarem a organização


A Idea é que a

de acesso restrito, onde os equipamentos

com câmeras em pontos estratégicos e portarias

(


backbone,

se vulnerável, então mensurar um backbone melhor, mais eficiente,

8.5.4. Ativo 5#

Os Switches deverão ser inteligentes e monitoráveis para se identificar

gargalos na rede e poder ter uma solução imediata para

8.5.5. Ativos 6# 9#

O servidor de Arquivos tem que ter um tratamento especial

utilização com servidores duplicados em uma rede local, torna

de uso simples, factível e de baixo custo, possibilitando o aumento de

disponibilidade e da confiabilidade dos sistemas

antivírus.

O servidor de Banco de Dados(SGB

backups eficiente e constante. O objetivo principal é realizar backups dos

sistemas em produção mantendo

recuperação dos dados[2]

segurança.

O Analista de banco de dados deverá acompanhar con

seu desempenho para que

performance do BD.

8.5.6. Ativo 8#

O administrador de rede responsável pelo FIREWAL

política de concessão de acesso a servidores de acordo com seu cargo dentro

da empresa. Deverá manter o aplicativo

regras de para segurança.

8.6. Rede Wireless

As redes Wireless se tornaram padrão para a conexão de

computadores, praticamente todos os modelos de roteadores

permite compartilhar a internet banda larga com vários micros, vem com antena

para rede sem fio, permitindo que a sua conexão a internet seja compartilhada

não só entre os micros conectados via

aqueles dotados de antena para rede sem fio. Com essa popularização

crescem também as vulnerabilidade

cuidados básicos deverão ser tomados como:


gargalos na rede e poder ter uma solução imediata para o desempenho não cair.

O servidor de Arquivos tem que ter um tratamento especial, assim a sua

servidores duplicados em uma rede local, torna-se uma técnica


disponibilidade e da confiabilidade dos sistemas todos protegidos por um bom

O servidor de Banco de Dados(SGBD) terá que ter uma política de


sistemas em produção mantendo-os disponíveis para a necessidade da

[2]. Mantendo-os fisicamente distantes para a maior

O Analista de banco de dados deverá acompanhar constantemente a

para que eventualmente construa rotinas para melhorar a

administrador de rede responsável pelo FIREWAL deverá manter uma

concessão de acesso a servidores de acordo com seu cargo dentro

Deverá manter o aplicativo atualizado e rever constantemente as


praticamente todos os modelos de roteadores – periféricos que



não só entre os micros conectados via cabo ao roteador, mas também com


vulnerabilidades das redes sem fio, portanto

ser tomados como:

!:


não cair.

, assim a sua

se uma técnica


todos protegidos por um bom

D) terá que ter uma política de


os disponíveis para a necessidade da

os fisicamente distantes para a maior

tantemente a

eventualmente construa rotinas para melhorar a

manter uma

concessão de acesso a servidores de acordo com seu cargo dentro

tantemente as


periféricos que



cabo ao roteador, mas também com


das redes sem fio, portanto certos

• Mudança de senha padrão do roteador

funcionalidade de rede sem fio, caso não

• Atualizar o firmware do roteador

conhecidas, desabilitar o gerenciamento remoto

• Habilitar e usar o tipo certo de criptografia

no roteador como nos

• Configurar a freqüência para que seja garantida a conexão de

100% de todos os pontos dentro da área determinada;

• É papel do Administrador

monitoramento da rede para impedir invasões e

indevidos.

A existência de um

usuário tomar conhecimento

informações. Do ponto de vista dos profissionais técnicos, eles passarão a

possuir um modelo de atuação comum, evitando assim que cada equipe tenha

para si um padrão desconexo das demais equipes. A grande contribuição da

metodologia é permitir que o responsável pel

segurança tenha uma visão única do sistema de segurança da informação e

dos diversos padrões, controles e métodos que o compõem.

(((((((((((((((

Mudança de senha padrão do roteador, desabilitar

funcionalidade de rede sem fio, caso não usá-la;

Atualizar o firmware do roteador para mante-lo livre de falhas

conhecidas, desabilitar o gerenciamento remoto;

abilitar e usar o tipo certo de criptografia (WPA-2) sugerido

or como nos computadores que farão parte da rede

Configurar a freqüência para que seja garantida a conexão de

100% de todos os pontos dentro da área determinada;

É papel do Administrador de rede, fazer todo o

monitoramento da rede para impedir invasões e

10. CONCLUSÃO

A existência de um PGSI a ser implantado na FACSENAC permite ao

usuário tomar conhecimento do quão protegido e seguro estarão as suas




itir que o responsável pelo planejamento do projeto de


dos diversos padrões, controles e métodos que o compõem.

!C

, desabilitar a

lo livre de falhas

2) sugerido, tanto

computadores que farão parte da rede;

Configurar a freqüência para que seja garantida a conexão de

de rede, fazer todo o

monitoramento da rede para impedir invasões e acessos

permite ao

estarão as suas




do projeto de


**" +,-,+./0123)

t!u9 2@a;9(2VVM1=2vwM(@U2V=\>=U2(0>(aMU*2V(G-$%&'4H'(3(V#G8-E'G(,-($-G8I+(,-(G-$%&'4H'(,'(#4c+&E'HI+9(a@U(=VMn=>1(:Y``!9

t:u9 ">UU>=U2[("9(a9("9[(2U2xyM[(*9(;9([("z?>UM[(29(>9[(/+.#8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+[(O%#'(/&R8#6+(F'&'(>.'<+&'HI+(-(=EF.-E-48'HI+(:{(>,#HI+(U-L#G','[(U#+(,-(y'4-#&+[(-,#8+&'(6#j46#'(E+,-&4'[(:``]9(

tCu9 "2mV;=a=[(U+,&#$+9(2&8#$+k(/+.K8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+9(0#GF+4KL-.(-Ek(|588FknnWWW9c'%G8#4#6+4G%.8#4$96+En'&8#$+`Q958E

tDu9 /+.K8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+(G-$%&'46'),')#4c+&E'6'+)6+E+)c'J-&

tQu9 Vm}m~=[(*'&6#+(}'F'8-&[(U+,&#$+(9(V-$%&'4H'(,'(=4c+&E'HI+[(mE(,#c-&-46#'.(,-8-&E#4'48-(4'(6+EF-8#L#,',-(,'G(6+&F+&'Hp-G9(0#GF+4KL-.(-Ek(|588FknnWWW9F&+E+496+E9<&nF+&8%$%-Gn4+8#6#'Gn,+W4.+',nV-$%&'46'�D^-<9F,c:`!!9((

[6]. M(P%-(B(+(V#G8-E'(ÄVÄÅ(()(V>a2=(3(

em 02/10/2011.

[7]. \-$#G.'HI+('F.#6','('+(G#G8-E'((ÇVÇ(

http://portal.mec.gov.br/index.php?option=com_content&task=view&id=11613

(

((((((((((((((((((((((((((((((

2@a;9(2VVM1=2vwM(@U2V=\>=U2(0>(aMU*2V(;É1a=12V9(;-64+.+$#'(,'(#4c+&E'HI+(3(;B64#6'G(,-(V#G8-E'G(,-($-G8I+(,-(G-$%&'4H'(,'(#4c+&E'HI+9(a@U(=VMn=>1(:Y``!9(

">UU>=U2[("9(a9("9[(2U2xyM[(*9(;9([("z?>UM[(29(>9[(/+.#8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+[(O%#'(/&R8#6+(HI+(:{(>,#HI+(U-L#G','[(U#+(,-(y'4-#&+[(-,#8+&'(6#j46#'(E+,-&4'[(:``]9(

"2mV;=a=[(U+,&#$+9(2&8#$+k(/+.K8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+9(0#GF+4KL-.(-Ek(588FknnWWW9c'%G8#4#6+4G%.8#4$96+En'&8#$+`Q958EÑ9(26-GG+(-Ek(`X(G-89(:`!!9((

=4c+&E'HI+(3(6+E+(c'J-&Å9(0#GF+4KL-.(-Ek(|588Fknn'4'.#G8'8#96+EnF+.#8#6'c'J-&Ñ9(26-GG+(-Ek(`X(G-89(:`!!9(

Vm}m~=[(*'&6#+(}'F'8-&[(U+,&#$+(9(V-$%&'4H'(,'(=4c+&E'HI+[(mE(,#c-&-46#'.(,-8-&E#4'48-(4'(G9(0#GF+4KL-.(-Ek(

588FknnWWW9F&+E+496+E9<&nF+&8%$%-Gn4+8#6#'Gn,+W4.+',nV-$%&'46'�D^-<9F,cÑ9(26-GG+(-Ek(](G-89(

(0#GF+4#L-.(-E(k!<http://www.senai.br/br/ParaVoce/faq.aspx

\-$#G.'HI+('F.#6','('+(G#G8-E'((ÇVÇ(3(0#GF+4#L-.(-E(k(

http://portal.mec.gov.br/index.php?option=com_content&task=view&id=11613. Acesso em 02/10/2011

!D

;B64#6'G(,-(

">UU>=U2[("9(a9("9[(2U2xyM[(*9(;9([("z?>UM[(29(>9[(/+.#8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+[(O%#'(/&R8#6+(HI+(:{(>,#HI+(U-L#G','[(U#+(,-(y'4-#&+[(-,#8+&'(6#j46#'(E+,-&4'[(:``]9((

588Fknn'4'.#G8'8#96+EnF+.#8#6'),-)

Vm}m~=[(*'&6#+(}'F'8-&[(U+,&#$+(9(V-$%&'4H'(,'(=4c+&E'HI+[(mE(,#c-&-46#'.(,-8-&E#4'48-(4'(

Ñ9(26-GG+(-Ek(](G-89(

http://www.senai.br/br/ParaVoce/faq.aspx>. Acesso

. Acesso em 02/10/2011

(((((((((

MINI-CURRÍCULO DOS AUTORES

Autor(a)1.

Jacy Ferreira – Graduado em Análise de Sistemas pela Universidade São Francisco-SP (1995). Pós-Graduando em Segurança da Informação na FACSENAC - Faculdade Senac em Brasília/DF.

Autor(a)2.

Daniel Cordeiro Gouveia– Graduado em Tecnologia em Rede de Computadores pela FAMA- AP (2009). PósFACSENAC - Faculdade Senac em Brasília/DF.

Autor(a)3.

Carlos Magno de Oliveira CutrimPioneira de Integração SocialInformação na FACSENAC – Faculdade Senac em Brasilia/DF.

Autor(a)3.

Edilberto Magalhães Silva - Mestre em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasda Computação - Faculdades Integradas do Planalto Central (1996). Pósem Gestão de Tecnologia da Informação pela Universidade SenacPós-Graduando em Engenharia de Requisitos e Modelagem de Negócios pUniversidade Federal do Rio Grande do Sul (2010MCT - Ministério de Ciência e Tecnologia Brasília/DF como Analista em TI. Docente na graduação da FACSENAC Tecnologia da Informação) e Docente titular da UNIPLAC Planalto Central na graduação (Bacharel em Sistemas de Informação). Docente na pós-graduação (Banco de Dados, Segurança da Informação e Design Digital) na FACSENAC/DF. Tutor no curso de especializaçsegurança da informação na UnB/DF (modalidade EAD). Experiência profissional e de docência nas áreas de: Segurança da Informação, Desenvolvimento de Sistemas, Hardware, Metodologia de Pesquisa Aplicada, Análise e Modelagem Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe). (http://www.edilms.eti.br - [email protected])

(((

CURRÍCULO DOS AUTORES

Graduado em Análise de Sistemas pela Universidade São Graduando em Segurança da Informação na FACSENAC

Faculdade Senac em Brasília/DF.

Graduado em Tecnologia em Rede de Computadores Pós-Graduando em Segurança da Informação na

Faculdade Senac em Brasília/DF.

Carlos Magno de Oliveira Cutrim – Graduado em Análise de Sistemas pela União e Integração Social--DF(2005). Pós-Graduando em Segurança da

Faculdade Senac em Brasilia/DF.

Mestre em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasília (2002) e Bacharel em Ciência

Faculdades Integradas do Planalto Central (1996). Pós-Graduando em Gestão de Tecnologia da Informação pela Universidade Senac-SP (2010

Graduando em Engenharia de Requisitos e Modelagem de Negócios pUniversidade Federal do Rio Grande do Sul (2010-). Funcionário Público lotado no

Ministério de Ciência e Tecnologia Brasília/DF como Analista em TI. Docente na graduação da FACSENAC - Faculdade Senac em Brasília/DF (Gestão de

ação) e Docente titular da UNIPLAC - União Educacional do Planalto Central na graduação (Bacharel em Sistemas de Informação). Docente na

graduação (Banco de Dados, Segurança da Informação e Design Digital) na FACSENAC/DF. Tutor no curso de especialização lato sensu (pós-graduação) em segurança da informação na UnB/DF (modalidade EAD). Experiência profissional e de docência nas áreas de: Segurança da Informação, Desenvolvimento de Sistemas, Hardware, Metodologia de Pesquisa Aplicada, Análise e Modelagem Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe).

[email protected])

!Q

Graduado em Análise de Sistemas pela Universidade São Graduando em Segurança da Informação na FACSENAC

Graduado em Tecnologia em Rede de Computadores Graduando em Segurança da Informação na

Graduado em Análise de Sistemas pela União Graduando em Segurança da

Mestre em Gestão do Conhecimento e da Tecnologia ília (2002) e Bacharel em Ciência

Graduando SP (2010-) e

Graduando em Engenharia de Requisitos e Modelagem de Negócios pela ). Funcionário Público lotado no

Ministério de Ciência e Tecnologia Brasília/DF como Analista em TI. Docente Faculdade Senac em Brasília/DF (Gestão de

União Educacional do Planalto Central na graduação (Bacharel em Sistemas de Informação). Docente na

graduação (Banco de Dados, Segurança da Informação e Design Digital) na graduação) em

segurança da informação na UnB/DF (modalidade EAD). Experiência profissional e de docência nas áreas de: Segurança da Informação, Desenvolvimento de Sistemas, Hardware, Metodologia de Pesquisa Aplicada, Análise e Modelagem de Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe).

elaboração de modelo sgsi conforme iso27001

Documents