elaboração de modelo sgsi conforme iso27001
DESCRIPTION
Elaboração de Modelo SGSI Conforme ISO27001TRANSCRIPT
Elaboração de um modelo de SGSI para a FACSENAC: Aplicação da NBR
Carlos Magno2, Daniel Cordeiro
2 Pós-Graduação em Segurança da Informação, FACSENAC
[email protected]; [email protected]
Resumo. Este artigo propõe a implantação de um SGSI na empresa FACSENAC, criando uma matriz de riscos, para acompanhamento, monitoramento e evolução do processo de crescimento da empresa, identificando e gerenciando suas atividadesidentificando vulnerabilidades para SGSI. O método a ser utilizado será um estudo de caso da empresa FACSENAC que possibilitará as etapas do processo de criação da SGSI à luz da ABNT ISO/IEC 27001:2006. O principal resultado deste artigo será a riscos incremental, identificando os ativos físicos e lógicos para identificar as áreas mais criticas, possibilitando assim um nível adequado de proteção para o crescimento sustentável da empresa. Palavras-chave: Vulnerabilidade, Abstract: This paper proposes the implementation of aSENAC company, creating a risk matrix for tracking, monitoring and progress of the company's growth, identifying and managing activities to simplify a future audit of the process. The method used is a case study that will enable stages of the creation of the ISMSresult of this paper is to create an array of incremental risks, identifying the tangible (physical) and intangible (software) to identify the most critian adequate level of protection for the sustainable growth of the company.
KeyWords: Vulnerability, Active
1. INTRODUÇÃO
Hoje a informação é bem mais valiosa dentro das organizações, portanto
precisa de uma política de proteção. Não se pode correr o risco de uma
interrupção em suas operações, isso acarretari
abalando as relações de parcerias comerciais.
todos os componentes da cadeia pro
e compartilhamento remoto de informações estratégicas com os diversos tipos
clientes. Isso possivelmente agregará valor e se transformará em benefícios,
Elaboração de um modelo de SGSI para a FACSENAC: Aplicação da NBR ISO-IEC 27001
, Daniel Cordeiro2, Jacy Ferreira2 e Edilberto Silva2
Graduação em Segurança da Informação, FACSENAC-DF, Brasília
[email protected]; [email protected]@yahoo.com
artigo propõe a implantação de um SGSI na empresa FACSENAC, criando uma matriz de riscos, para acompanhamento, monitoramento e evolução do processo de crescimento da empresa, identificando e gerenciando suas atividadesidentificando vulnerabilidades para simplificar um futuro processo de auditoria da SGSI. O método a ser utilizado será um estudo de caso da empresa FACSENAC que possibilitará as etapas do processo de criação da SGSI à luz da ABNT ISO/IEC 27001:2006. O principal resultado deste artigo será a criação de uma matriz de riscos incremental, identificando os ativos físicos e lógicos para identificar as áreas mais criticas, possibilitando assim um nível adequado de proteção para o crescimento sustentável da empresa.
chave: Vulnerabilidade, Ativo, Sustentável.
: This paper proposes the implementation of a Information System in the SENAC company, creating a risk matrix for tracking, monitoring and progress of the company's growth, identifying and managing activities to simplify a future audit of the process. The method used is a case study that will enable the company FACSENAC stages of the creation of the ISMS the light of ABNT ISO/IEC 27001:2006. result of this paper is to create an array of incremental risks, identifying the tangible (physical) and intangible (software) to identify the most critical areas, thus enabling an adequate level of protection for the sustainable growth of the company.
ctive, Sustainable.
Hoje a informação é bem mais valiosa dentro das organizações, portanto
de proteção. Não se pode correr o risco de uma
interrupção em suas operações, isso acarretaria sérios prejuízos à corporação
abalando as relações de parcerias comerciais. Hoje as empresas estão juntando
todos os componentes da cadeia produtiva, através de vários tipos de conexões,
e compartilhamento remoto de informações estratégicas com os diversos tipos
Isso possivelmente agregará valor e se transformará em benefícios,
!
Elaboração de um modelo de SGSI para a FACSENAC: Aplicação da NBR
2
DF, Brasília-DF
artigo propõe a implantação de um SGSI na empresa FACSENAC, criando uma matriz de riscos, para acompanhamento, monitoramento e evolução do processo de crescimento da empresa, identificando e gerenciando suas atividades,
simplificar um futuro processo de auditoria da SGSI. O método a ser utilizado será um estudo de caso da empresa FACSENAC que possibilitará as etapas do processo de criação da SGSI à luz da ABNT ISO/IEC
criação de uma matriz de riscos incremental, identificando os ativos físicos e lógicos para identificar as áreas mais criticas, possibilitando assim um nível adequado de proteção para o
Information System in the SENAC company, creating a risk matrix for tracking, monitoring and progress of the company's growth, identifying and managing activities to simplify a future audit of the
the company FACSENAC . The main
result of this paper is to create an array of incremental risks, identifying the tangible cal areas, thus enabling
Hoje a informação é bem mais valiosa dentro das organizações, portanto
de proteção. Não se pode correr o risco de uma
a sérios prejuízos à corporação
Hoje as empresas estão juntando
tipos de conexões,
e compartilhamento remoto de informações estratégicas com os diversos tipos
Isso possivelmente agregará valor e se transformará em benefícios,
porém, a alta direção tem dificuldades em reconhecer o retorno imediato sobre
investimento em segurança, e elas não estão amparadas por um planejamento
de segurança da informação, capaz de minimizar riscos de qualquer espécie
causando prejuízos com perda de produtividade, proporcionando perdas
financeiras e desgaste à sua imagem.
O interesse da segurança deve partir do mais alto nível da organização,
pelo elevado reconhecimento de sérios problemas que resultariam no vazamento,
modificação ou indisponibilidade da informação.
Este cenário eleva a pol
proteção de dados, identificando a sua vulnerabilidade para a criação de
ferramentas adequadas, dando suporte à estratégia de gestão de riscos de
negócios.
Este grupo propõe o PGSI
Informação pautado na norma
adota o modelo PDCA – Plan-Do
define diretrizes para a o planejamento e
Gestão de Segurança da Informação).
Trata-se de um estudo sobre
localidade do ambiente e mapea
as vulnerabilidades, mensurar o impacto na organização para determinar o grau
de prioridade para cada risco.
A adoção de um plano de informação
27001:2006(ABNT, 2006)[1], tem como objetivo elevar a organização a um grau
de qualidade e maturidade que permita o uso eficaz e eficiente do seu SGSI.
"#$%&'(!)
porém, a alta direção tem dificuldades em reconhecer o retorno imediato sobre
investimento em segurança, e elas não estão amparadas por um planejamento
de segurança da informação, capaz de minimizar riscos de qualquer espécie
causando prejuízos com perda de produtividade, proporcionando perdas
financeiras e desgaste à sua imagem.
O interesse da segurança deve partir do mais alto nível da organização,
pelo elevado reconhecimento de sérios problemas que resultariam no vazamento,
modificação ou indisponibilidade da informação.
Este cenário eleva a política de segurança da Informação relacionada à
proteção de dados, identificando a sua vulnerabilidade para a criação de
ferramentas adequadas, dando suporte à estratégia de gestão de riscos de
Este grupo propõe o PGSI – Plano de Gestão de Segurança da
orma NBR ISO/IEC 27001:2006(ABNT, 2006)
Do-Check-Act (Planejar, Fazer, Checar e A
o planejamento e implantação de um SGSI (Sistema de
de Segurança da Informação).
sobre a natureza do negócio sua área de operação,
mapeamento dos ativos físicos e lógicos para identificar
as vulnerabilidades, mensurar o impacto na organização para determinar o grau
adoção de um plano de informação pautado na NBR ISO/IEC
, tem como objetivo elevar a organização a um grau
de qualidade e maturidade que permita o uso eficaz e eficiente do seu SGSI.
)(*+,-.+(/012(3(/.'4(0+(15-67(2689(
:
porém, a alta direção tem dificuldades em reconhecer o retorno imediato sobre o
investimento em segurança, e elas não estão amparadas por um planejamento
de segurança da informação, capaz de minimizar riscos de qualquer espécie
causando prejuízos com perda de produtividade, proporcionando perdas
O interesse da segurança deve partir do mais alto nível da organização,
pelo elevado reconhecimento de sérios problemas que resultariam no vazamento,
ão relacionada à
proteção de dados, identificando a sua vulnerabilidade para a criação de
ferramentas adequadas, dando suporte à estratégia de gestão de riscos de
Plano de Gestão de Segurança da
NBR ISO/IEC 27001:2006(ABNT, 2006)[1], que
Agir) que
tação de um SGSI (Sistema de
a natureza do negócio sua área de operação,
identificar
as vulnerabilidades, mensurar o impacto na organização para determinar o grau
pautado na NBR ISO/IEC
, tem como objetivo elevar a organização a um grau
de qualidade e maturidade que permita o uso eficaz e eficiente do seu SGSI.
2. MAPEAMENTO DOS ATIVOS
De acordo com o escopo definido serão avaliados 10
tabela 1. Os ativos descritos nesta, foram escolhidos mediante análise técnica
baseada em métodos, cujos resultados deverão ser comparados com regras
estabelecidas pela empresa FACSENAC
identificar os riscos que estes representa
(;'<-.'(
=;>*
;'<-.'(:/&+<'<#.#,',-( ?'.+&(*%#8+(@'#A'( !(@'#A'( :(*B,#'( C(2.8'( D(
;'<-.'(C(=EF'68+( ?'.+&( 0-G6&#HI+(0-GF&-JKL-.( !( MG(0'4+G(GI+(@'#A+( :( 2(M&$'4#J'HI+(6+4G-$%-(&-F'&'&(+G(,'4+G(6+E(G-%G(F&NF&#+G(&-6%&G+G1&K8#6+( C( 2(&-6%F-&'HI+O&'L-( D( 0'4+G(P%-(L-45'E('(E'465'&('(#E'$-E(,+(O&'LKGG#E+( Q( 0-G8&%#HI+(=&&-F'&RL-.(,'(=E'$-E(,+(
((((
(((((((
2.1. PGSI - Planejamento de
O PGSI para a FACSENAC
alto nível com metodologia baseado em regras e padrões pautado na ABNT
ISO/IEC 27001:2006[1], para que futuramente possa servir de referência para
((
((
=*/2
1;M( (
*%#8+(@'#A'(S=EF&+LRL-.T
0-GF&-JKL-.( !(
@'#A+( :(
1&K8#6+( C(
O&'L-( D(
O&'LKGG#E+( Q(
ATIVOS
De acordo com o escopo definido serão avaliados 10 ativos conforme
. Os ativos descritos nesta, foram escolhidos mediante análise técnica
baseada em métodos, cujos resultados deverão ser comparados com regras
estabelecidas pela empresa FACSENAC para uma determinada atividade para
identificar os riscos que estes representam para a empresa.
;'<-.'()(!(*'F-'E-48+(,-('8#L+G(=;>*( 2;=?M(
!( 1'<-'E-48+(>G8&%8%&',+(:( U-,-(>.B8'(>G8'<#.#J','(C( U+8-',+&-G(D( VW#865-G(Q( @'67<@+4-(X( V-&L#,+&(,-(2&P%#L+G(Y( 0-G78+FZG[(\'F8+FZG[(-(+%8&+G(]( 2F.#6'8#L+S"=U>^2\\T(_( @'46+(,-(0',+G(
!`( 0+6%E-48'HI+(,+(V#G8-E'(
(
;'<-.'(:)(aKL-#G(,-(F&+<'<#.#,',-9(( 0-G6&#HI+(
*%#8+(=EF&+LRL-.(,-(M6+&&-&(((S`!('(!`bT(=EF&+LRL-.(,-(M6+&&-&(((((((((((((((S!!('(C`bT(M6+&&-(M6'G#+4'.E-48-(((((((((((((SC!('(Y`bT(/&+LRL-.(,-(M6+&&-&(((((((((((((((((((SY!('(!``bT(
(;'<-.'(C(3(aKL-#G(,-(=EF'68+9(
MG(0'4+G(GI+(G#$4#c#6'48-G(F'&'('(M&$'4#J'HI+9(2(M&$'4#J'HI+(6+4G-$%-(&-F'&'&(+G(,'4+G(6+E(G-%G(F&NF&#+G(&-6%&G+G(2(&-6%F-&'HI+(,+G(,'4+G(-A8&'F+.'(+G(&-6%&G+G(,'(M&$'4#J'HI+(0'4+G(P%-(L-45'E('(E'465'&('(#E'$-E(,+(d&$I+(+%($-&'&('.$%E(#46#,-48-($&'L-(
=&&-F'&RL-.(,'(=E'$-E(,+(d&$I+(-(+c-&-6-(&#G6+(,-(E+&8-('+G(G-&L#,+&-G
;'<-.'(D)(/&+<'<#.#,',-(e(=EF'68+9(
(
de Gestão de Segurança da Informação
FACSENAC tem a intenção de apresentar uma proposta de
alto nível com metodologia baseado em regras e padrões pautado na ABNT
, para que futuramente possa servir de referência para
/(&(+(<('(<(#(.(#(,('(,(-(*%#8+(@'#A'(S=EF&+LRL-.T(
@'#A'(S/+%6+(F&+LRL-.T(
*B,#'(S/+GGKL-.T(
2.8'(((((((((((S/&+LRL-.T(
*%#8+(2.8'(S"&-Pf-48-T
:( C( D( Q(
C( D( Q( X(
D( Q( X( Y(
Q( X( Y( ](
X( Y( ]( _(
C
ativos conforme
. Os ativos descritos nesta, foram escolhidos mediante análise técnica
baseada em métodos, cujos resultados deverão ser comparados com regras
a uma determinada atividade para
(-(+c-&-6-(&#G6+(,-(E+&8-('+G(G-&L#,+&-G(
a intenção de apresentar uma proposta de
alto nível com metodologia baseado em regras e padrões pautado na ABNT
, para que futuramente possa servir de referência para
*%#8+(2.8'(T(
outras unidades da organização
respeito ao Planejamento (PLAN)
O escopo do projeto apresenta metodologia baseado em regras
estabelecidas para facilitar o desenvolvimento
de forma que possa identificar as principais características do negócio, o que faz
parte e quais áreas são mais criticas que irão fazer parte do
cada identificando os ativos tangíveis e intangíveis necessários pa
da matriz de riscos, conforme tabela abaixo
((28#L+G( 2E-'H'G( ?%.4-&'<#.#,',-G(
U#G6+((((((((,-(#EF'68+
!(1'<-'E-48+(>G8&%8%&',+(
U+EF#E-48+(,-(6'<+(
U'8+Gg(*+L-#Gg(V-&L#,+&(E'.(#48-46#+4',+[(
:(U-,-(>.B8'(>G8'<#.#J','(
h%-,'(,-(>4-&$#'(
V+<&-6'&$'[(0-G.#$'E-48+(,+(a+@&-'7[1%&8+(-E(
c#'HI+('48#$'(
C( U+8-',+&(
h%-,'(,-(>4-&$#'[(28'P%-(
i'67-&S0,+GT("'.5'(,-(i'&,W'&-(
=4-A#G8j46#'(,-(%E'(U+8'(2.8-&4'8#L'(+%(
?#&8%'.(
D( @'67(@+4-(
h%-,'(,-(>4-&$#'[(28'P%-(
i'67-&S0,+GT("'.5'(,-(i'&,W'&-(
=4-A#G8j46#'(,-(%E'(U+8'(2.8-&4'8#L'(+%(
?#&8%'.(
outras unidades da organização; na figura abaixo veja concepção no
(PLAN) do SGSI.
O escopo do projeto apresenta metodologia baseado em regras
o desenvolvimento e o acompanhamento das etapas
de forma que possa identificar as principais características do negócio, o que faz
parte e quais áreas são mais criticas que irão fazer parte do PGSI, e dentro de
cada identificando os ativos tangíveis e intangíveis necessários para a formação
, conforme tabela abaixo.
;'<-.'(Qk(*'8&#J(,-(U#G6+G(
U#G6+((((((((,-(#EF'68+(
U#G6+(,-(/&+<'<#.#,',-(
aK-.(((,-(=EF'68+( U#
G6+(
U-GF+4GRL-.(=48-&&%FHI+(,-(8+,+(+%(F'&8-(,+(V#G8-E'(#48-&4+(-(
+%(-A8-&4+(
!( :( C(;B64#6+(,-(
U-,-(
=48-&&%FHI+(,-(8+,+(+(V#G8-E'(
#48-&4+(!( :( C( >.-8#G8'(
=48-&&%FHI+(,-(8+,+G(+G(V-&L#H+G(P%-(%8#.#J-E('(
=48-&4-8(
C( :( D(2,E#4#G8&',+&(
,'(U-,-(
=48-&&%FHI+(,-(8+,+G(+G(V-&L#H+G(P%-(%8#.#J-E('(
=48-&4-8(
C( :( D(2,E#4#G8&',+&(
,'(U-,-(
D
na figura abaixo veja concepção no que diz
O escopo do projeto apresenta metodologia baseado em regras
acompanhamento das etapas
de forma que possa identificar as principais características do negócio, o que faz
e dentro de
ra a formação
;&'8'E-48+(
=G+.'E-48+('8&'LBG(,-(6'4'.-8'G(',-P%','G(
=G+.'E-48+(,'(&-,-(6+E(E'8B&#'G(l(#4c.'ERL-#Gg(>A8#48+&-G(,-(=46j4,#+(-E(.%$'&-G(-G8&'8B$#6+G(
*'4%8-4HI+((F-&#N,#6'(,+(-P%#F'E-48+[(
a+@&-'7[(mE'(U+8'('.8-&4'8#L'(Fn-G8'(
-E-&$j46#'(
*'4%8-4HI+((F-&#N,#6'(,+(-P%#F'E-48+[(
a+@&-'7[(mE'(U+8'('.8-&4'8#L'(Fn-G8'(
-E-&$j46#'(
Q( VW#865(
h%-,'(,-(-4-&$#'[("'.5'(,-(i'&,W'&-(
=4-A#G8j46#'(,-(%E'(U+8'(2.8-&4'8#L'(+%(
?#&8%'.(
X(V-&L#,+&(,-(2&P%#L+G(
h%-,'(,-(>4-&$#'[(=48&%GI+(=48-&4'(-(>A8-&4'(
h%-,'(,+(V-&L#,+&[(=4L'GI+(i'67-&(+%(F+&(%E(V-&L#,+&(E'.(
#48-46#+4',+(
Y(0-G78+FZG[(\'F8+FZG(-(+%8&+G(
U+%<+[(h%-<&'(
=48-&&%FHI+(,-(V-&L#H+G[(/-&,'(,-(
0',+G(
](2F.#6'8#L+("=U>^2\\(
26-GG+(,-(V-&L#,+&-G('(FR$#4'G(G%GF-#8'G[(
1+4c#$%&'HI+(,+("#&-W'..(
;&'L'E-48+(,-(0-G78+FoG[(
/&+$&'E'G(P%-(4I+(6'&&-$'E(-869(
_(@'46+(,-(0',+G(
h%-,'(,-(-4-&$#'[(F-&,'(,-(
,-G-EF-45+[(=48&%GI+(#48-&4'(-(>A8-&4'(
/'4-(,-(P%'.P%-&(-GFB6#-(4+(V-&L#,+&[(=4L'GI+(>A8-&4'(+%(
=48-&4'(
=4c+&E'Hp-G[(/-&,'(
!`(0+6%E-48'HI+(,+(V#G8-E'(
/-&,'[(>A8&'L#+(,-(h%'.P%-&(a'8%&-J'(
/-&,'[((>A8&'L#+(,-(h%'.P%-&(a'8%&-J'(
(((
3. CONCEITOS BÁSICOS
Seja qual for a forma apresentada ou o meio através do qual a informação
é compartilhada ou armazenada, é recomendado que ela
proteção adequado para cumprimento de seus objetivos
• Confidencialidade
sigilo que lhe é cabível, de forma que o acesso seja restrito a pessoas que
tenham autorização para tal.
• Integridade - a informação deve ser mantida da maneira como criada
pelo seu autor, evitando alterações indevidas, intencionais ou acidentais.
• Disponibilidade - uma informação deve estar disponível aos usuários
ou a uma instituição no momento em que for
h%-,'(,-(;+,+(+(V#G8-E'(
1++&F+&'8#L+(=48-&4+((
C( :( D(2,E#4#G8&',+&(
,-(U-,-(
=48-&&%FHI+(,+(V#G8-E'[(U+%<+[(+%(
-A8&'L#+(,-(=4c+&E'Hp-G(
!( D( D(24'.#G8'(,-(V%F+&8-[(MF-&',+&(
=48-&&%FHI+(,-(V-&L#H+G[(/-&,'(,-(,',+G[(?'J'E-48+(,-(=4c+&E'Hp-G[(
/-&,'(4+(/'8&#Eq4#+(
!( :( C(V-&L#H+(,-(
*'4%8-4HI+[(V-&L#,+&-G(
=48-&&%FHI+(,-(U+8#4'G[(
?'J'E-48+(,-(=4c+&E'Hp-G(-869(
D( D( Y(24'.#G8'(,-(V%F+&8-[(
>GF-6#'.#G8'(
U+%<+(,-(=4c+&E'Hp-G[(/-&,'(
,-(,',+G(-869(D( D( Y(
24'.#G8'(,-(@'46+(,-(0',+G(
/-&,'(,-(=4c+&E'Hp-G(
=EF+&8'48-G(F'&'(,'&(6+48#4%#,',-(
,+(V#G8-E'(
!( C( Q(24'.#G8'[(0#&-8+&(
forma apresentada ou o meio através do qual a informação
é compartilhada ou armazenada, é recomendado que ela tenha um nível de
proteção adequado para cumprimento de seus objetivos, que são:
Confidencialidade - é preciso garantir que a informação mantenha o
sigilo que lhe é cabível, de forma que o acesso seja restrito a pessoas que
a informação deve ser mantida da maneira como criada
alterações indevidas, intencionais ou acidentais.
uma informação deve estar disponível aos usuários
ou a uma instituição no momento em que for requisitada. Veja figura abaixo:
(((((
Q
*'4%8-4HI+((F-&#N,#6'(,+(-P%#F'E-48+[(
a+@&-'7[(mE'(U+8'('.8-&4'8#L'(Fn-G8'(
-E-&$j46#'(/+.K8#6'(,-(@'67%F(
6+4c#RL-.[("'J-&(V#G8-E'(,-(>GF-.5'E-48+[(
E'48-4,+((V#G8-E'(4+((2&9(
1+.+6'&(1rE-&'G(-E(.%$'&-G(-G8&'8B$#6+G[(6+48&+.-(,-(-48&','(-(V'K,'(,-(E'8-&#'.(
28%'.#J'HI+(0#R&#'(,-(2F.#6'8#L+G[(V%F-&L#GI+(0#R&#'(,-(U-$&'G(,-(
a-$N6#+[(1+4c#$%&'HI+(,+("#&-W'..(
;-&(%E'(/+.K8#6'(,-(@'67%F(6+4c#RL-.[("'J-&(
V#G8-E'(,-(>GF-.5'E-48+[(
/&+$&'E'&(U+8#4'G(,-(M8#E#J'HI+(,+(@0(
O%'&,'&(8+,'(,+6%E-48'HI+(,+G(V#G8-E'G(-E(.%$'&-G('F&+F&#',+G(-(8-&(E'#G(
,-(%E'(6NF#'(
forma apresentada ou o meio através do qual a informação
um nível de
é preciso garantir que a informação mantenha o
sigilo que lhe é cabível, de forma que o acesso seja restrito a pessoas que
a informação deve ser mantida da maneira como criada
uma informação deve estar disponível aos usuários
Veja figura abaixo:
"#$%&'(
• Ativos - Os elementos que fazem parte da vida da informação dentro
de uma organização e a própria informação são considerados ativos. Ativo é
"qualquer coisa que tenha valor para a organização".
• Ameaças - E uma causa potencial de um incidente indesejado,
podendo resultar em dano para um sistema ou organização.
• Vulnerabilidade -
informação que pode ser explorada por uma
o Data Center ao lado de um
destrancadas;
o Alocação errada de direitos de senha
• Risco - É a medida do nível de incerteza associado à probabilidade
de ocorrência de um evento e suas
4. ESTUDO DE CASO
O estudo de caso foi realizado em campo levando
situação atual da organização
investigação com a coleta de dados
objetivando analisar o fenômeno a que se refere
processo no que diz respeito
"#$%&'(:(3(M<s-8#L+G(,-(V-$%&'4H'((,'(#4c+&E'HI+9(
(
Os elementos que fazem parte da vida da informação dentro
de uma organização e a própria informação são considerados ativos. Ativo é
"qualquer coisa que tenha valor para a organização".
uma causa potencial de um incidente indesejado,
resultar em dano para um sistema ou organização.
Uma fraqueza de um ativo ou grupo de ativos de
informação que pode ser explorada por uma ameaça como.
Data Center ao lado de uma loja de fogos de artifício,
rada de direitos de senha falta de manutenção etc
É a medida do nível de incerteza associado à probabilidade
de ocorrência de um evento e suas conseqüências.
(
"#$%&'(C(3(U#G6+9((
O estudo de caso foi realizado em campo levando-se em
situação atual da organização, através de uma abordagem metodológica de
om a coleta de dados descrevendo os acontecimentos e
objetivando analisar o fenômeno a que se refere aprendendo a dinâmica do
no que diz respeito à Segurança da Informação.
X
(
Os elementos que fazem parte da vida da informação dentro
de uma organização e a própria informação são considerados ativos. Ativo é
uma causa potencial de um incidente indesejado,
Uma fraqueza de um ativo ou grupo de ativos de
, portas
etc.
É a medida do nível de incerteza associado à probabilidade
conta a
através de uma abordagem metodológica de
descrevendo os acontecimentos e
prendendo a dinâmica do
5. LEVANTAMENTO DAS INFO
No planejamento de sistemas de informação
casos de sucesso, todos os padrões e normas existentes que ao longo do tempo
venham demonstrando maturidade suficiente para dar continuidade e fazer parte
do SGSI.
Foram analisadas toda
portarias administrativas, para entender as reais necessidades de cada setor, e
visando mensurar a real usa
informação.
Para melhorar as operações enumeramos
conformidade com a NBR ISSO/IEC
problemas enfrentados e propor soluções para resolvê
Controles internos devem ser implementados para garantir ainda a
eficiência das operações identificando
idéias para resolvê-los.
6. CONTROLE DE ÁREAS DE
O processo para identificar e controlar as áreas de risco elimi
minimiza os que podem afetar os recursos do sistema
e da probabilidade de ocorrência dos mesmos
Para ser considerado um risco, deve
• Algo provável de acontecer;
• Estimar prejuízos à
• Estar diretamente associado a um ativo ou bem de valor;
• Ser possível identificar
• Ser possível identificar a vulnerabilidade da ameaça
Riscos:
! Risco de Negócio
estratégicas equivocadas.
! Risco Humano –
Por falta de conhecimento que pode levá
pessoas externas ou internas à organização ag
EVANTAMENTO DAS INFORMAÇÕES DO PGSI – PADRÕES E NORMAS
de sistemas de informação, aproveitam-se todos os
casos de sucesso, todos os padrões e normas existentes que ao longo do tempo
demonstrando maturidade suficiente para dar continuidade e fazer parte
todas as documentações, como regimento interno e
portarias administrativas, para entender as reais necessidades de cada setor, e
visando mensurar a real usabilidade de cada recurso da tecnologia da
operações enumeramos os processos que não estão em
NBR ISSO/IEC 27001:2006[1], que é identificar os
problemas enfrentados e propor soluções para resolvê-los.
Controles internos devem ser implementados para garantir ainda a
identificando os problemas enfrentados e sugeri
RISCO
O processo para identificar e controlar as áreas de risco elimi
minimiza os que podem afetar os recursos do sistema, identificação da gravidade
e da probabilidade de ocorrência dos mesmos.
Para ser considerado um risco, deve-se atentar aos seguintes requisitos:
Algo provável de acontecer;
Estimar prejuízos à organização;
Estar diretamente associado a um ativo ou bem de valor;
Ser possível identificar de onde vem a ameaça;
dentificar a vulnerabilidade da ameaça.
Risco de Negócio - Riscos de informação por tomada de decisões
Podem vir de pessoas mal intencionadas ou não.
Por falta de conhecimento que pode levá-lo a tomar decisões erradas, ou
pessoas externas ou internas à organização agindo com más intenções.
Y
PADRÕES E NORMAS
todos os
casos de sucesso, todos os padrões e normas existentes que ao longo do tempo
demonstrando maturidade suficiente para dar continuidade e fazer parte
, como regimento interno e
portarias administrativas, para entender as reais necessidades de cada setor, e
bilidade de cada recurso da tecnologia da
os processos que não estão em
27001:2006[1], que é identificar os
Controles internos devem ser implementados para garantir ainda a
ugerindo
O processo para identificar e controlar as áreas de risco elimina ou
dentificação da gravidade
se atentar aos seguintes requisitos:
Riscos de informação por tomada de decisões
Podem vir de pessoas mal intencionadas ou não.
lo a tomar decisões erradas, ou
! Risco Tecnológico
falta de planejamento adequado destes investimentos ou o conhecimento limitado
na área de TI resulta em soluções de segurança erradas.
! Risco de Imagem
! Risco Legal – A
regulamentadores presentes no mercado brasileiro.
6.1. Obtenção de informações sobre o ambiente tecnológico
A identificação dos
análise e customização, como por exemplo:
• Um firewall sem a devida análise
como uma barreira para potenciais invasores, sem que dele seja
extraído todo o seu potencial.
!"#" $%&'()
O grupo formado tem como meta,
identificar e corrigir falhas nos processos em tempo hábil para a não
paralisação da organização mantendo a sua imagem.
7. PROPOSTA
O SENAC é uma instituição de ensino ligada ao Governo Federal
exercendo varias atividades, entre elas a
conformidade com o sistema “S”
e sem fins lucrativos. Ela é formada por duas unidades de ensino que ficam
distantes geograficamente no DF.
Brasília localizada na 902 sul.
O ciclo PDCA é a metodologia proposta pela NBR ISO/IEC
27001:2006[1] para melhoria continua do SGSI
Matriz de Riscos.
O PGSI está relacionado
sobre um conjunto de dados no sentido de preservar o valor que possui para
Organização[3], como:
• Confidêncialidade
Risco Tecnológico - A restrição de investimentos de tecnologia, a
falta de planejamento adequado destes investimentos ou o conhecimento limitado
na área de TI resulta em soluções de segurança erradas.
Risco de Imagem - Segurança gera confiança.
Atender às legislações vigentes e aos órgãos
regulamentadores presentes no mercado brasileiro.
Obtenção de informações sobre o ambiente tecnológico
ção dos pontos fortes e fracos dentro da FACSENAC para
análise e customização, como por exemplo:
m firewall sem a devida análise do seu log, figurando apenas
como uma barreira para potenciais invasores, sem que dele seja
extraído todo o seu potencial.
O grupo formado tem como meta, o planejamento do SGSI
falhas nos processos em tempo hábil para a não
anização mantendo a sua imagem.
é uma instituição de ensino ligada ao Governo Federal
exercendo varias atividades, entre elas a Faculdade SENAC, estando em
com o sistema “S” [6] e respaldado com a legislação do MEC
la é formada por duas unidades de ensino que ficam
distantes geograficamente no DF. O PGSI será primeiramente na unidade de
Brasília localizada na 902 sul.
é a metodologia proposta pela NBR ISO/IEC
para melhoria continua do SGSI e será baseada na Tabela
onado com regras métodos de proteção aplicados
sobre um conjunto de dados no sentido de preservar o valor que possui para
Confidêncialidade;
]
timentos de tecnologia, a
falta de planejamento adequado destes investimentos ou o conhecimento limitado
aos órgãos
pontos fortes e fracos dentro da FACSENAC para
do seu log, figurando apenas
como uma barreira para potenciais invasores, sem que dele seja
o SGSI para
falhas nos processos em tempo hábil para a não
é uma instituição de ensino ligada ao Governo Federal
, estando em
e respaldado com a legislação do MEC[7],
la é formada por duas unidades de ensino que ficam
primeiramente na unidade de
é a metodologia proposta pela NBR ISO/IEC
e será baseada na Tabela
com regras métodos de proteção aplicados
sobre um conjunto de dados no sentido de preservar o valor que possui para a
• Integridade;
• Disponibilidade.
7.1. Fatores críticos de sucesso
Garantir que 100% dos alunos
Wireless com criptografia forte.
8. ATRIBUIÇÃO DE REGRAS E RESPONSABILIDADES
8.1. Comitê de Segurança da Informação
O CGSI será formado por servidores da alta Gerência administrativa
que possuem funções estratégicas
Rh, da Gerência Administrativa
Analista de BD, Administrador de Rede, Analista de Sistemas, e um
responsável pela manutenção do prédio
As decisões serão tomadas em conjunto,
função hierárquica dentro do grupo com sua respectiva respons
colaboradores da gerência administrativa
as áreas funcionais liderando as ações para que as melhores práticas de
segurança sejam atendidas e aplicadas
procedimentos para que as metas sejam alcançadas
8.2. Proprietário das Informações
O proprietário da informação é
• Elaborar para toda informação sob sua responsabilidade, uma
relação de cargos e funções para as áreas
concedendo
• Reavaliar sempre que necessário as concessões de acesso
concedidas cancelando ou acrescentando po
• Analisar os relatórios de controle de acesso concedidos pela
área de gestão de S
relação ás normas de Segurança da Informação, tomando as
ações corretivas necessárias.
• Investigar incidentes de segurança da
Disponibilidade.
Fatores críticos de sucesso
Garantir que 100% dos alunos da FACSENAC tenham acesso a rede
E RESPONSABILIDADES
mitê de Segurança da Informação
será formado por servidores da alta Gerência administrativa
que possuem funções estratégicas, como da área Financeira, Contabilidade,
da Gerência Administrativa assim como da Gerência de Informática
Analista de BD, Administrador de Rede, Analista de Sistemas, e um
responsável pela manutenção do prédio.
As decisões serão tomadas em conjunto, cada colaborador com sua
função hierárquica dentro do grupo com sua respectiva responsabilidade. Os
colaboradores da gerência administrativa precisará trabalhar em sintonia com
as áreas funcionais liderando as ações para que as melhores práticas de
ça sejam atendidas e aplicadas divulgando e estabelecendo os
para que as metas sejam alcançadas.
Proprietário das Informações
O proprietário da informação é indicado pelo grupo, cabendo a ele
Elaborar para toda informação sob sua responsabilidade, uma
relação de cargos e funções para as áreas mais críticas
concedendo e dando autoridades de acesso.
Reavaliar sempre que necessário as concessões de acesso
concedidas cancelando ou acrescentando poderes.
Analisar os relatórios de controle de acesso concedidos pela
estão de SI, com o objetivo de identificar desvios em
relação ás normas de Segurança da Informação, tomando as
ações corretivas necessárias.
Investigar incidentes de segurança da informação;
_
acesso a rede Lan ou
será formado por servidores da alta Gerência administrativa[4]
ontabilidade,
assim como da Gerência de Informática,
Analista de BD, Administrador de Rede, Analista de Sistemas, e um
cada colaborador com sua
abilidade. Os
trabalhar em sintonia com
as áreas funcionais liderando as ações para que as melhores práticas de
divulgando e estabelecendo os
indicado pelo grupo, cabendo a ele:
Elaborar para toda informação sob sua responsabilidade, uma
mais críticas,
Reavaliar sempre que necessário as concessões de acesso
Analisar os relatórios de controle de acesso concedidos pela
, com o objetivo de identificar desvios em
relação ás normas de Segurança da Informação, tomando as
• Reuniões periódicas com o comitê de gestão de SI, prestando
esclarecimentos etc.
8.3. Classificando as informações
A classificação da informação deve atender a política de segurança da
informação da FACSENAC usando recursos homologados, autorizados,
identificados, inventariados e protegidos com documentação atualizada
A classificação deve tratar a informação duran
seus níveis e critérios para sua criação, transporte, manuseio e descarte,
devendo ser revista periodicamente. Incidentes de segurança que trazem
prejuízos forçam a reclassificação
informações são classificadas mediante sua necessidade de sigilo, ou pela
integridade e confiabilidade:
Classificação: Ultra-secreto, Secreto, Confidencial e Reservado;
8.4. Área de Segurança da Informação
O grupo criará uma área de seg
na matriz de riscos. A intenção é colocar uma blindagem
ocorrrências sejam tratadas imediatamente de
tal maneira que seja transparent
8.5. Tratamentos de Vulnerabilidade dos Ativos
8.5.1. Ativos - 1# 2# 3# 4#
O grupo formado deverá
toda a organização para evitar que cabos sejam corroídos ou partidos por
roedores evitando assim que a rede tanto elétrica como lógica fiquem
danificadas causando paralisação dos sistemas internos, e ou externo.
Neste cenário o grupo
propor estruturar toda a rede tanto lógica como
• A parte elétrica deverá atender com rigorosa observância todo projeto
seus detalhes, exigência, especificações
projeto elaborado pelo profissional da área contratado pelo grupo e
atenda as normas vigentes na ABNT respectiva, INMETRO
euniões periódicas com o comitê de gestão de SI, prestando
esclarecimentos etc.
Classificando as informações
A classificação da informação deve atender a política de segurança da
informação da FACSENAC usando recursos homologados, autorizados,
identificados, inventariados e protegidos com documentação atualizada
A classificação deve tratar a informação durante o seu ciclo de vida com
seus níveis e critérios para sua criação, transporte, manuseio e descarte,
devendo ser revista periodicamente. Incidentes de segurança que trazem
prejuízos forçam a reclassificação ou desclassificação dos ativos.
ão classificadas mediante sua necessidade de sigilo, ou pela
integridade e confiabilidade:
secreto, Secreto, Confidencial e Reservado;
Área de Segurança da Informação
uma área de segurança relativo aos ativos enumerados
intenção é colocar uma blindagem nesta área
ocorrrências sejam tratadas imediatamente de modo a se tornar automática de
tal maneira que seja transparente ao usuário[5].
Tratamentos de Vulnerabilidade dos Ativos
4# 5# e 6#
O grupo formado deverá propor uma higienização e dedetização para
toda a organização para evitar que cabos sejam corroídos ou partidos por
roedores evitando assim que a rede tanto elétrica como lógica fiquem
o paralisação dos sistemas internos, e ou externo.
Neste cenário o grupo liderado pelo Administrador de Rede
propor estruturar toda a rede tanto lógica como elétrica.
deverá atender com rigorosa observância todo projeto
seus detalhes, exigência, especificações e componentes constantes no
projeto elaborado pelo profissional da área contratado pelo grupo e
atenda as normas vigentes na ABNT respectiva, INMETRO etc, qu
!`
euniões periódicas com o comitê de gestão de SI, prestando
A classificação da informação deve atender a política de segurança da
informação da FACSENAC usando recursos homologados, autorizados,
identificados, inventariados e protegidos com documentação atualizada[3].
te o seu ciclo de vida com
seus níveis e critérios para sua criação, transporte, manuseio e descarte,
devendo ser revista periodicamente. Incidentes de segurança que trazem
dos ativos. As
ão classificadas mediante sua necessidade de sigilo, ou pela
secreto, Secreto, Confidencial e Reservado;
enumerados
ea para que
automática de
propor uma higienização e dedetização para
toda a organização para evitar que cabos sejam corroídos ou partidos por
roedores evitando assim que a rede tanto elétrica como lógica fiquem
o paralisação dos sistemas internos, e ou externo.
pelo Administrador de Rede deverá
deverá atender com rigorosa observância todo projeto
constantes no
projeto elaborado pelo profissional da área contratado pelo grupo e que
que passe
pela aprovação de Órgãos
órgãos competentes.
• A parte lógica também deve ter o seu projeto regido pelas normas da
ABNT, INMETRO etc, e a
colocar pontos de rede o
para um ponto central, onde ficam os switches e outros equipamentos de
rede.
Tudo começa com a área central da rede,
ficaram todos os servidores, switches patch panel
Este é intermediário entre as tomadas de parede e outros pontos de conexão e
os switches da rede. Os cabos vindos dos pontos individuais são numerados
instalados em portas correspondentes ao patch panel, e as portas utilizadas
são ligadas aos switches e os roteadores
de cabos, os patch panels permitem a conexão com um número maior de
pontos de rede do que portas dos switches. Veja figura abaixo.
área de equipamentos seja uma área
fiquem fisicamente protegidos
com identificação.
8.5.2. Ativo 3#
Os roteadores deverão ser inteligentes com redundância para prover
rota alternativa em caso de pane.
8.5.3. Ativo 4#
Com o crescimento da rede a maior carga vai para o
tornando-se vulnerável, então mensurar um backbone melhor, mais eficiente,
robusto e com capacidade de evol
Órgãos específicos, como Corpo de Bombeiros e
A parte lógica também deve ter o seu projeto regido pelas normas da
ABNT, INMETRO etc, e a idéia central é cabear todo o prédio de forma a
rede onde possam ser necessário. Todos os cabos irão
para um ponto central, onde ficam os switches e outros equipamentos de
Tudo começa com a área central da rede, de preferência no térreo,
rvidores, switches patch panel ou painel de comunicação.
entre as tomadas de parede e outros pontos de conexão e
os switches da rede. Os cabos vindos dos pontos individuais são numerados
instalados em portas correspondentes ao patch panel, e as portas utilizadas
switches e os roteadores. Além de melhorarem a organização
de cabos, os patch panels permitem a conexão com um número maior de
pontos de rede do que portas dos switches. Veja figura abaixo. A Idea é que a
área de equipamentos seja uma área de acesso restrito, onde os equipamentos
fiquem fisicamente protegidos com câmeras em pontos estratégicos e portarias
"#$%&'(D(3(i'67(
Os roteadores deverão ser inteligentes com redundância para prover
o de pane.
Com o crescimento da rede a maior carga vai para o backb
se vulnerável, então mensurar um backbone melhor, mais eficiente,
robusto e com capacidade de evolução.
!!
específicos, como Corpo de Bombeiros e outros
A parte lógica também deve ter o seu projeto regido pelas normas da
central é cabear todo o prédio de forma a
. Todos os cabos irão
para um ponto central, onde ficam os switches e outros equipamentos de
de preferência no térreo, onde
painel de comunicação.
entre as tomadas de parede e outros pontos de conexão e
os switches da rede. Os cabos vindos dos pontos individuais são numerados e
instalados em portas correspondentes ao patch panel, e as portas utilizadas
. Além de melhorarem a organização
de cabos, os patch panels permitem a conexão com um número maior de
A Idea é que a
de acesso restrito, onde os equipamentos
com câmeras em pontos estratégicos e portarias
(
Os roteadores deverão ser inteligentes com redundância para prover
backbone,
se vulnerável, então mensurar um backbone melhor, mais eficiente,
8.5.4. Ativo 5#
Os Switches deverão ser inteligentes e monitoráveis para se identificar
gargalos na rede e poder ter uma solução imediata para
8.5.5. Ativos 6# 9#
O servidor de Arquivos tem que ter um tratamento especial
utilização com servidores duplicados em uma rede local, torna
de uso simples, factível e de baixo custo, possibilitando o aumento de
disponibilidade e da confiabilidade dos sistemas
antivírus.
O servidor de Banco de Dados(SGB
backups eficiente e constante. O objetivo principal é realizar backups dos
sistemas em produção mantendo
recuperação dos dados[2]
segurança.
O Analista de banco de dados deverá acompanhar con
seu desempenho para que
performance do BD.
8.5.6. Ativo 8#
O administrador de rede responsável pelo FIREWAL
política de concessão de acesso a servidores de acordo com seu cargo dentro
da empresa. Deverá manter o aplicativo
regras de para segurança.
8.6. Rede Wireless
As redes Wireless se tornaram padrão para a conexão de
computadores, praticamente todos os modelos de roteadores
permite compartilhar a internet banda larga com vários micros, vem com antena
para rede sem fio, permitindo que a sua conexão a internet seja compartilhada
não só entre os micros conectados via
aqueles dotados de antena para rede sem fio. Com essa popularização
crescem também as vulnerabilidade
cuidados básicos deverão ser tomados como:
Os Switches deverão ser inteligentes e monitoráveis para se identificar
gargalos na rede e poder ter uma solução imediata para o desempenho não cair.
O servidor de Arquivos tem que ter um tratamento especial, assim a sua
servidores duplicados em uma rede local, torna-se uma técnica
de uso simples, factível e de baixo custo, possibilitando o aumento de
disponibilidade e da confiabilidade dos sistemas todos protegidos por um bom
O servidor de Banco de Dados(SGBD) terá que ter uma política de
backups eficiente e constante. O objetivo principal é realizar backups dos
sistemas em produção mantendo-os disponíveis para a necessidade da
[2]. Mantendo-os fisicamente distantes para a maior
O Analista de banco de dados deverá acompanhar constantemente a
para que eventualmente construa rotinas para melhorar a
administrador de rede responsável pelo FIREWAL deverá manter uma
concessão de acesso a servidores de acordo com seu cargo dentro
Deverá manter o aplicativo atualizado e rever constantemente as
As redes Wireless se tornaram padrão para a conexão de
praticamente todos os modelos de roteadores – periféricos que
permite compartilhar a internet banda larga com vários micros, vem com antena
para rede sem fio, permitindo que a sua conexão a internet seja compartilhada
não só entre os micros conectados via cabo ao roteador, mas também com
aqueles dotados de antena para rede sem fio. Com essa popularização
vulnerabilidades das redes sem fio, portanto
ser tomados como:
!:
Os Switches deverão ser inteligentes e monitoráveis para se identificar
não cair.
, assim a sua
se uma técnica
de uso simples, factível e de baixo custo, possibilitando o aumento de
todos protegidos por um bom
D) terá que ter uma política de
backups eficiente e constante. O objetivo principal é realizar backups dos
os disponíveis para a necessidade da
os fisicamente distantes para a maior
tantemente a
eventualmente construa rotinas para melhorar a
manter uma
concessão de acesso a servidores de acordo com seu cargo dentro
tantemente as
As redes Wireless se tornaram padrão para a conexão de
periféricos que
permite compartilhar a internet banda larga com vários micros, vem com antena
para rede sem fio, permitindo que a sua conexão a internet seja compartilhada
cabo ao roteador, mas também com
aqueles dotados de antena para rede sem fio. Com essa popularização
das redes sem fio, portanto certos
• Mudança de senha padrão do roteador
funcionalidade de rede sem fio, caso não
• Atualizar o firmware do roteador
conhecidas, desabilitar o gerenciamento remoto
• Habilitar e usar o tipo certo de criptografia
no roteador como nos
• Configurar a freqüência para que seja garantida a conexão de
100% de todos os pontos dentro da área determinada;
• É papel do Administrador
monitoramento da rede para impedir invasões e
indevidos.
A existência de um
usuário tomar conhecimento
informações. Do ponto de vista dos profissionais técnicos, eles passarão a
possuir um modelo de atuação comum, evitando assim que cada equipe tenha
para si um padrão desconexo das demais equipes. A grande contribuição da
metodologia é permitir que o responsável pel
segurança tenha uma visão única do sistema de segurança da informação e
dos diversos padrões, controles e métodos que o compõem.
(((((((((((((((
Mudança de senha padrão do roteador, desabilitar
funcionalidade de rede sem fio, caso não usá-la;
Atualizar o firmware do roteador para mante-lo livre de falhas
conhecidas, desabilitar o gerenciamento remoto;
abilitar e usar o tipo certo de criptografia (WPA-2) sugerido
or como nos computadores que farão parte da rede
Configurar a freqüência para que seja garantida a conexão de
100% de todos os pontos dentro da área determinada;
É papel do Administrador de rede, fazer todo o
monitoramento da rede para impedir invasões e
10. CONCLUSÃO
A existência de um PGSI a ser implantado na FACSENAC permite ao
usuário tomar conhecimento do quão protegido e seguro estarão as suas
informações. Do ponto de vista dos profissionais técnicos, eles passarão a
possuir um modelo de atuação comum, evitando assim que cada equipe tenha
para si um padrão desconexo das demais equipes. A grande contribuição da
itir que o responsável pelo planejamento do projeto de
segurança tenha uma visão única do sistema de segurança da informação e
dos diversos padrões, controles e métodos que o compõem.
!C
, desabilitar a
lo livre de falhas
2) sugerido, tanto
computadores que farão parte da rede;
Configurar a freqüência para que seja garantida a conexão de
de rede, fazer todo o
monitoramento da rede para impedir invasões e acessos
permite ao
estarão as suas
informações. Do ponto de vista dos profissionais técnicos, eles passarão a
possuir um modelo de atuação comum, evitando assim que cada equipe tenha
para si um padrão desconexo das demais equipes. A grande contribuição da
do projeto de
segurança tenha uma visão única do sistema de segurança da informação e
**" +,-,+./0123)
t!u9 2@a;9(2VVM1=2vwM(@U2V=\>=U2(0>(aMU*2V(G-$%&'4H'(3(V#G8-E'G(,-($-G8I+(,-(G-$%&'4H'(,'(#4c+&E'HI+9(a@U(=VMn=>1(:Y``!9
t:u9 ">UU>=U2[("9(a9("9[(2U2xyM[(*9(;9([("z?>UM[(29(>9[(/+.#8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+[(O%#'(/&R8#6+(F'&'(>.'<+&'HI+(-(=EF.-E-48'HI+(:{(>,#HI+(U-L#G','[(U#+(,-(y'4-#&+[(-,#8+&'(6#j46#'(E+,-&4'[(:``]9(
tCu9 "2mV;=a=[(U+,&#$+9(2&8#$+k(/+.K8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+9(0#GF+4KL-.(-Ek(|588FknnWWW9c'%G8#4#6+4G%.8#4$96+En'&8#$+`Q958E
tDu9 /+.K8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+(G-$%&'46'),')#4c+&E'6'+)6+E+)c'J-&
tQu9 Vm}m~=[(*'&6#+(}'F'8-&[(U+,&#$+(9(V-$%&'4H'(,'(=4c+&E'HI+[(mE(,#c-&-46#'.(,-8-&E#4'48-(4'(6+EF-8#L#,',-(,'G(6+&F+&'Hp-G9(0#GF+4KL-.(-Ek(|588FknnWWW9F&+E+496+E9<&nF+&8%$%-Gn4+8#6#'Gn,+W4.+',nV-$%&'46'�D^-<9F,c:`!!9((
[6]. M(P%-(B(+(V#G8-E'(ÄVÄÅ(()(V>a2=(3(
em 02/10/2011.
[7]. \-$#G.'HI+('F.#6','('+(G#G8-E'((ÇVÇ(
http://portal.mec.gov.br/index.php?option=com_content&task=view&id=11613
(
((((((((((((((((((((((((((((((
2@a;9(2VVM1=2vwM(@U2V=\>=U2(0>(aMU*2V(;É1a=12V9(;-64+.+$#'(,'(#4c+&E'HI+(3(;B64#6'G(,-(V#G8-E'G(,-($-G8I+(,-(G-$%&'4H'(,'(#4c+&E'HI+9(a@U(=VMn=>1(:Y``!9(
">UU>=U2[("9(a9("9[(2U2xyM[(*9(;9([("z?>UM[(29(>9[(/+.#8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+[(O%#'(/&R8#6+(HI+(:{(>,#HI+(U-L#G','[(U#+(,-(y'4-#&+[(-,#8+&'(6#j46#'(E+,-&4'[(:``]9(
"2mV;=a=[(U+,&#$+9(2&8#$+k(/+.K8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+9(0#GF+4KL-.(-Ek(588FknnWWW9c'%G8#4#6+4G%.8#4$96+En'&8#$+`Q958EÑ9(26-GG+(-Ek(`X(G-89(:`!!9((
=4c+&E'HI+(3(6+E+(c'J-&Å9(0#GF+4KL-.(-Ek(|588Fknn'4'.#G8'8#96+EnF+.#8#6'c'J-&Ñ9(26-GG+(-Ek(`X(G-89(:`!!9(
Vm}m~=[(*'&6#+(}'F'8-&[(U+,&#$+(9(V-$%&'4H'(,'(=4c+&E'HI+[(mE(,#c-&-46#'.(,-8-&E#4'48-(4'(G9(0#GF+4KL-.(-Ek(
588FknnWWW9F&+E+496+E9<&nF+&8%$%-Gn4+8#6#'Gn,+W4.+',nV-$%&'46'�D^-<9F,cÑ9(26-GG+(-Ek(](G-89(
(0#GF+4#L-.(-E(k!<http://www.senai.br/br/ParaVoce/faq.aspx
\-$#G.'HI+('F.#6','('+(G#G8-E'((ÇVÇ(3(0#GF+4#L-.(-E(k(
http://portal.mec.gov.br/index.php?option=com_content&task=view&id=11613. Acesso em 02/10/2011
!D
;B64#6'G(,-(
">UU>=U2[("9(a9("9[(2U2xyM[(*9(;9([("z?>UM[(29(>9[(/+.#8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+[(O%#'(/&R8#6+(HI+(:{(>,#HI+(U-L#G','[(U#+(,-(y'4-#&+[(-,#8+&'(6#j46#'(E+,-&4'[(:``]9((
588Fknn'4'.#G8'8#96+EnF+.#8#6'),-)
Vm}m~=[(*'&6#+(}'F'8-&[(U+,&#$+(9(V-$%&'4H'(,'(=4c+&E'HI+[(mE(,#c-&-46#'.(,-8-&E#4'48-(4'(
Ñ9(26-GG+(-Ek(](G-89(
http://www.senai.br/br/ParaVoce/faq.aspx>. Acesso
. Acesso em 02/10/2011
(((((((((
MINI-CURRÍCULO DOS AUTORES
Autor(a)1.
Jacy Ferreira – Graduado em Análise de Sistemas pela Universidade São Francisco-SP (1995). Pós-Graduando em Segurança da Informação na FACSENAC - Faculdade Senac em Brasília/DF.
Autor(a)2.
Daniel Cordeiro Gouveia– Graduado em Tecnologia em Rede de Computadores pela FAMA- AP (2009). PósFACSENAC - Faculdade Senac em Brasília/DF.
Autor(a)3.
Carlos Magno de Oliveira CutrimPioneira de Integração SocialInformação na FACSENAC – Faculdade Senac em Brasilia/DF.
Autor(a)3.
Edilberto Magalhães Silva - Mestre em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasda Computação - Faculdades Integradas do Planalto Central (1996). Pósem Gestão de Tecnologia da Informação pela Universidade SenacPós-Graduando em Engenharia de Requisitos e Modelagem de Negócios pUniversidade Federal do Rio Grande do Sul (2010MCT - Ministério de Ciência e Tecnologia Brasília/DF como Analista em TI. Docente na graduação da FACSENAC Tecnologia da Informação) e Docente titular da UNIPLAC Planalto Central na graduação (Bacharel em Sistemas de Informação). Docente na pós-graduação (Banco de Dados, Segurança da Informação e Design Digital) na FACSENAC/DF. Tutor no curso de especializaçsegurança da informação na UnB/DF (modalidade EAD). Experiência profissional e de docência nas áreas de: Segurança da Informação, Desenvolvimento de Sistemas, Hardware, Metodologia de Pesquisa Aplicada, Análise e Modelagem Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe). (http://www.edilms.eti.br - [email protected])
(((
CURRÍCULO DOS AUTORES
Graduado em Análise de Sistemas pela Universidade São Graduando em Segurança da Informação na FACSENAC
Faculdade Senac em Brasília/DF.
Graduado em Tecnologia em Rede de Computadores Pós-Graduando em Segurança da Informação na
Faculdade Senac em Brasília/DF.
Carlos Magno de Oliveira Cutrim – Graduado em Análise de Sistemas pela União e Integração Social--DF(2005). Pós-Graduando em Segurança da
Faculdade Senac em Brasilia/DF.
Mestre em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasília (2002) e Bacharel em Ciência
Faculdades Integradas do Planalto Central (1996). Pós-Graduando em Gestão de Tecnologia da Informação pela Universidade Senac-SP (2010
Graduando em Engenharia de Requisitos e Modelagem de Negócios pUniversidade Federal do Rio Grande do Sul (2010-). Funcionário Público lotado no
Ministério de Ciência e Tecnologia Brasília/DF como Analista em TI. Docente na graduação da FACSENAC - Faculdade Senac em Brasília/DF (Gestão de
ação) e Docente titular da UNIPLAC - União Educacional do Planalto Central na graduação (Bacharel em Sistemas de Informação). Docente na
graduação (Banco de Dados, Segurança da Informação e Design Digital) na FACSENAC/DF. Tutor no curso de especialização lato sensu (pós-graduação) em segurança da informação na UnB/DF (modalidade EAD). Experiência profissional e de docência nas áreas de: Segurança da Informação, Desenvolvimento de Sistemas, Hardware, Metodologia de Pesquisa Aplicada, Análise e Modelagem Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe).
!Q
Graduado em Análise de Sistemas pela Universidade São Graduando em Segurança da Informação na FACSENAC
Graduado em Tecnologia em Rede de Computadores Graduando em Segurança da Informação na
Graduado em Análise de Sistemas pela União Graduando em Segurança da
Mestre em Gestão do Conhecimento e da Tecnologia ília (2002) e Bacharel em Ciência
Graduando SP (2010-) e
Graduando em Engenharia de Requisitos e Modelagem de Negócios pela ). Funcionário Público lotado no
Ministério de Ciência e Tecnologia Brasília/DF como Analista em TI. Docente Faculdade Senac em Brasília/DF (Gestão de
União Educacional do Planalto Central na graduação (Bacharel em Sistemas de Informação). Docente na
graduação (Banco de Dados, Segurança da Informação e Design Digital) na graduação) em
segurança da informação na UnB/DF (modalidade EAD). Experiência profissional e de docência nas áreas de: Segurança da Informação, Desenvolvimento de Sistemas, Hardware, Metodologia de Pesquisa Aplicada, Análise e Modelagem de Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe).