Nossa palestra, visa uma interação onde iremos navegar e relembrar alguns conceitos, memórias históricas e atuais sobre nosso tema, dispertando uma conversa aberta, mesclando os diversos conhecimentos, experiências presentes e assim compartilhar-mos as visões quanto ao surpreendente universo das possibilidades de ferramentas tecnológicas.
Assim também refletirmos sobre a movimentação da diversidade das informações que se renovam a cada instante e afetam direta ou indiretamente as Organizações e Pessoas.
Apoio ANEFAC - Associação Nacional dos Executivos de Finanças, Administração e Contabilidade.
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”.
1. Realização
Palestra : Reunião Técnica de Processos e Riscos
“Segurança de Dados em Tempos de Interconectividade”.
Palestrante : Hermann Garbeto Nestlehner Hotel Paulista Plaza (Al. Santos, 85, Jardins, São Paulo/SP)Hotel
Paulista Plaza (Al. Santos, 85, Jardins, São Paulo
Mosaic Fertilizantes do Brasil
Analista ERP SAP
2. Realização
Nossa palestra, visa uma interação onde iremos navegar e relembrar alguns
conceitos, memórias históricas e atuais sobre nosso tema, dispertando uma
conversa aberta, mesclando os diversos conhecimentos, experiências presentes e
assim compartilhar-mos as visões quanto ao surpreendente universo das
possibilidades de ferramentas tecnológicas.
Assim também refletirmos sobre a movimentação da diversidade das
informações que se renovam a cada instante e afetam direta ou indiretamente as
Organizações e Pessoas.
3. Segurança da Informação em Tempos de Interconectividade
1 Significado da Segurança de Informação
2 Quanto valem as Informações ?
3 Controle e Monitoramento dos Ríscos
4 Controle de Acessos Lógicos
5 Conhecendos as Camadas de Segurança da Informação
6 Sobre as Normas Técnicas e Padrões de Segurança
7 Política da Segurança da Informação
8 Planos de Contigência
9 Novidades Técnológicas
4. 1 Significado da Segurança de Informação
Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de
preservar o valor que possuem para um indivíduo ou uma organização.
São características básicas da segurança da informação os atributos de confidencialidade,
integridade e disponibilidade, não estando esta segurança restrita somente a sistemas
computacionais, informações eletrônicas ou sistemas de armazenamento.
O conceito se aplica a todos os aspectos de proteção de informações e dados.
O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado
com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas
também a dos sistemas em si.
BEAL, Adriana - Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. -São Paulo: Editora Atlas, 2005
5. Segurança de Informação
A Segurança da informação é a proteção da informação contra vários tipos de ameaças
para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os
investimentos e as oportunidade de negócios” [ISO 27002].
• Os tipos de Informações são variáveis e flexíveis, estão dispostas de diversas
formas;
• Existem diversas formas de ameaças o que exponencialmente diversificam as
variedades de pontos e tipos de vulnerabilidade;
• Precisamos avaliar as alternativas eficazes de proteção e como aplicar tais
recursos constantemente.
6. 2 Quanto valem as Informações ?
O processo de proteção da informação das ameaças a sua integridade, disponibilidade e
confidencialidade, caracteriza-se como Segurança Informação. (BEAL, Adriana 2005).
RISCO = VULNERABILIDADES x AMEAÇAS x IMPACTOS
Sêmola (2003)
MEDIDAS DE SEGURANÇA
Está claro que vivemos numa sociedade em que a informação nunca foi tão valorizada como é hoje,
CARUSO & STEFFEN (2006) afirmam que o bem mais valioso de uma empresa pode não ser o
produto fabricado por seus operários ou o serviço prestado ao cliente, mas as informações
relacionadas a esse bem de consumo ou serviço.
Como o fato de possuir informações poderia tornar algumas pessoas mais poderosas do que outras,
o acesso às informações sempre foi restrito. Para CARUSO & STEFFEN (2006, p. 24), “os primeiros
suportes para o registro de informações foram as paredes das habitações humanas”.
Atualmente, não há organização humana que não seja altamente dependente da tecnologia da
informação (CARUSO & STEFFEN, 2006) - Computadores Pessoais, Internet, Quanitidade e
velocidade das Informações
BEAL, Adriana - Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. -São Paulo: Editora Atlas, 2005
Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.
CARUSO, Carlos A. A.; STEFFEN, Flavio Deny. Segurança em Informática e de Informação. São Paulo. Editora Senac/sp, 2006.
7. Quanto valem as Informações ?
Segundo MEIRELLES (1994), o valor estratégico da informação é difícil de se medir a priori, mas fácil de
ser justificado quando se avaliam os benefícios em potencial.
Gill, 1996 - Utiliza descreve que a informação deve ser utilizada na Gestão estratégica das organizações
oposto da utilização para processos produtivos e administrativos básicos.
Os sistemas mais importantes passaram a ser os que suportam a estratégia da empresa, cujos objetivos
podem ser bastante intangíveis, e portanto de difícil mensuração.
CLEMONS (1990) afirma que as inovações mais estratégicas pretendem alterar tão radicalmente o
ambiente em que a empresa opera atualmente que realizar estimativas sobre os benefícios futuros com
um razoável grau de precisão é praticamente impossível.
Devido as dificuldades de avaliar e identificar os valores de contríbuíçôes e custos diretos ou indiretos
de TI e seus retornos tangíveis ou não, a responsabilidade dos tomadores de decisões não podem mais
basear-se no Feeling dos gestores ou aparente tendências.
MEIRELLES, Fernando de Souza. Informática, novas aplicações com microcomputadores. 2 edição, Makron Books, São Paulo, 1994.
GILL, Peter. "Creating Virtual Value". Canadian Business Review, outono de 1996.
CLEMONS, E. K. "Evaluating strategic investments in information technology". Communications of the ACM (Association of Computing
Machinery) 1991,34 (I): págs. 22-36.
8. Exemplos de Valores x Informações
03/01/2013
Gastos globais com TI atingirão US$ 3,7 trilhões em 2013, diz Gartner
Dez tendências para indústria de TI a partir de 2013, segundo o Gartner
Estudo confirma que mobilidade, redes sociais, nuvem e analytics vão pressionar mais as companhias
News ANEFAC
21/2/2013 - Como escolher a tecnologia certa para a sua empresa ? – ANEFAC
Veja exemplos de diversos setores que, através das suas necessidades específicas, aproveitaram a tecnologia
para se desenvolver.
5 previsões para a TI em 2013 - DA REDAÇÃO COMPUTER WORLD
Big Data, nuvem pública e outras tendências vão marcar a área de tecnologia da informação nos próximos
meses.
Relógios Suiços (mecânico x Relógios Japoneses (Quartzo) - Nova técnologia s sugem (anos 60)
http://informationweek.itweb.com.br/7084/constante-evolucao-da-tecnologia-exige-rapida-entrega/
http://www.tiespecialistas.com.br/2012/09/a-evolucao-da-tecnologia-atraves-dos-tempos/#.US6tQDDvuSo
9. 3 Controle e Monitoramento dos Ríscos
Os riscos surgem em decorrência da presença de fraquezas, e, por conseguinte, vulnerabilidades.
Neste contexto Beal (2005), acredita que a gestão de risco é o conjunto de processos que permite às
organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a
que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e
financeiros envolvidos.
Como fazer isso ?
1. Relatórios Precisos
2. Avaliando as Necessidades
3. Checar os principais Ríscos Técnológicos, Físicos e Administrativos sendo eles potenciais ou
não.
a. Para o autor Edison Fontes (2000), risco é a chance (probabilidade) de uma ameaça se transformar
em realidade, causando problema à organização;
b. Outro autor, Dawel (2005), identificou que3 o risco é apenas uma forma de representar a
probabilidade de algo acontecer. Trata-se de uma possibilidade. Portanto, pode ocorrer ou não.
10. Conceitos e algumas definições de Ríscos
Segundo DOWD (1998), tudo muda, tanto para o bem quanto para o mal, e afeta as pessoas e as
organizações. Mudanças sempre carregam riscos, sejam eles tanto para o ganho quanto para a perda,
e lidar com eles faz parte tanto da vida das pessoas quanto da sobrevivência de uma organização.
Lidar com os riscos não significa eliminá-los ou simplesmente ignorá-los. Significa que devemos
gerenciar os riscos: decidir quais devemos evitar e como, quais riscos aceitar e em que condições,
quais riscos devemos tomar, etc.
“(...) 2. Situação em que há probabilidades mais ou menos previsíveis de perda ou ganho (...)”. (FERREIRA,
1999, pág. 1772).
“(...)a possibilidade de que os resultados realizados possam ser diferentes daqueles esperados.”. (GITMAN,
1997, pág. 17).
Dowd, K. (1998). Beyond Value at Risk: The new science of Risk Management. West Sussex: John Wiley & Sons.
FERREIRA, A. B. H.; Novo Aurélio – O dicionário da Língua Portuguesa; Nova Fronteira, 1999, 3a ed.; ISBN 85-209-1010-6; p. 1772.
GITMAN, L. J.; Princípios de Administração Financeira; Harbara Editora, 1997, 7a ed.; ISBN 85-294-0060-7; p.17.
11. Algumas análises referente aos Ríscos
Em pesquisa realizada no ano de 2004 pela revista Continuity Insights e KPMG, com a participação de
410 empresas, foram apontadas as sete maiores causas de interrupção. São ocorrências normais e
que podem afetar os negócios de grandes corporações:
• 81% das empresas afetadas por falta de energia.
• 65% por desastres naturais.
• 62% por falhas na rede de telecomunicação.
• 61% por falhas de hardware.
• 58% por vazamento de informações.
• 57% por erro humano.
• 56% por falha de software.
Para 64% das empresas entrevistadas, as paralisações ocorridas nos 12 meses anteriores ao período
da pesquisa causaram prejuízo médio da ordem de U$ 100,000 e, para 24% delas, de até U$ 500,000.
Segundo o DRII – Disaster Recovery Institute International, de cada cinco empresas que possuem
interrupção nas suas operações, por uma semana, duas fecham as portas em menos de três anos.
12. Ríscos - Tipos de Ameaças - Vulnerabilidades
Ataques de Hackers
• O FBI, trabalhando junto com o Facebook, conseguiu desmantelar uma gangue de hackers cujos
crimes podem ter causado um prejuízo de USR 850 milhões. Fonte BBC
• O ataque aos servidores da PlayStation Network e do Sony Online Entertainment .04.2011 77
milhões de pessoas sem acesso
• Gawker Media sofreu um duro ataque em dezembro de 2010. Contas dos foram usuários
comprometidas.
• Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas
tentativas de invasão aos seus bancos de dados. RSA Security, que teve diversos de seus dados
roubados por hackers não identificados.
• Em 13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dólares americanos em
recompensa para qualquer informação que levasse à condenação e à prisão de pessoas por trás da
criação e/ou distribuição do Conficker.
• (Fonte da imagem: Governo dos Estados Unidos)Entre 2005 e 2007, o hacker Albert Gonzalez
conseguiu roubar os dados de mais de 45 milhões de números de cartões de crédito e débito
acumulados pela loja de departamento TJ Maxx & Marshalls.
Conficker, virus foi criado para afetar o sistemas opercionais da Miscrosoft Windows.
13. Ríscos - Tipos de Ameaças - Vulnerabilidades
Ataques de Hackers
• 1988 fez com que Robert Tappan Morris. Ficou conhecido no mundo inteiro por criar o virus
(WORM) CERTque infectou milhares de computadores e prejuízos a diversas empresas.
• (Fonte da imagem: Governo dos Estados Unidos)Em 1982, um ataque perpetuado pela CIA
mostrou o estrago físico que um simples código de comando corrupto pode fazer.
Tipos de Ameaças (Fonte COMPUTER WORLD)
• n° 1: os sindicatos do Cibercrime – São grupos altamente técnicos;
• n°2: Pequenos grupos - e as mulas de dinheiro e lavagens que os apoiam - seu objetivo é
fraudar de alguma maneira visando dinheiro;
• n°3: Hackers ativistas – Visam causar sérios danos aos seus focos e vitimas;
• n° 4: roubo de propriedade intelectual e espionagem corporativa
• n° 5: Mercenários de malware – Existem “industrias” de programas criminosos;
• n° 6: Botnets como serviço - Programas de exploração de computadores
• n° 7: Malwares “all-in-one” - Programas sofisticados de infecção e proliferação;
• n° 8: A internet - A internet tem suas “aberturas”;
• n° 9: Ciberguerra – Processos complexos visando vantagens e prejudicar.
• Brasil Eonòmico.05.03.2013 Hackers acessam dados de 50 milhões de usuários da EVERNOTE
14. 4 Controle de Acessos Lógicos
Segurança lógica
Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup
desatualizados, violação de senhas, etc.
Adequação de procedimentos básicos de controle de acesso em aplicações
e administração de segurança das aplicações.
Suporte aos procedimentos de:
• Concessão de acessos a usuários;
• Concessão de senhas de acesso;
• Exclusão de usuários demitidos, transferidos e desligados;
• Utilização de ferramenta única e escalável.
A segurança lógica é um modo de controle essencialmente utilizado para regular o acesso a
PCs, redes de dados, aplicações e ficheiros.
15. 5 Conhecendo as Camadas de Segurança da Informação (parte I)
Para Adachi (2004) estudou a gestão da segurança em Internet Banking , dividiu
estes aspectos em três camadas: física, lógica e humana.
Para SÊMOLA (2003), a gestão de segurança da informação pode ser classificada
em três pontos: Tecnológica, Física e Humana.
Também ressalta, que a todo momento as empresas são alvos de ataques
nesses três aspectos com o objetivo de identificar o ponto mais fraco para uma
investida contra a segurança.
Muitas organizações não direcionam esforços para área física e humana, onde
justamente ficam vulneráveis e sucetíveis a ataques. Normalmente as empresas
tende a focar em Antivírus e Firewall.
• Camada fìsica é o local físico onde se encontra o Hardware
• Camada lógica é o uso dos Softwares
• Camada Humana é formada por todos os recursos humanos da organização
Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.
16. Camadas - Algumas prevenções ( parte II )
Camada Física - Apesar de seu pouco rísco devido a estar relacionado ao suporte que armazena as
informações alguns controles são importantes:
Controle de Acesso Físico - Proteção a sala de Servidores – Acesso de Visitantes
Prevenção contra incêncio – Quedas de energia
Camada Lógica - Para Adachi (2004) ela é caracterizada pelo uso de softwares e pela realização de
transações em base de dados organizacionais, criptografia de senhas, ou seja, “regras, normas,
protocolo de comunicação e onde, efetivamente, ocorrem as transações e consultas”.
Foi desenvolvido um guia pela Interpool sobre segurança e métodos de prevenção de crimes de TI
(interpoll ,2000) Adachi (2004), com algumas medidas a serem implantadas:
• Registro (Log – histórico dos acessos) - Backup de dados - Firewall (Filtro das informações)
• Sistema Detector de intrusões – Atualização de Aplicativos/Softwares e correções(pathes)
• Não permitir instalações suspeitas - Procedimentos de Recuperação e Contingência
Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.
17. Camadas - Algumas prevenções ( parte III )
Camada Humana - Das três camadas, esta é a mais difícil de avaliar os riscos e gerenciar a segurança,
pois envolve o fator humano, com características psicológicas, sócio-culturais e emocionais, que variam
de forma individual (SCHNEIER, 2001).
A gestão desta camada envolve mais do que software e hardware, equipamentos e programas só
estarão vulneráveis caso algo seja negligenciado ou configurado de forma incorreta, ao contrário das
pessoas que, comumente executam ações e colocam dados em perigo mesmo sabendo que isso pode
trazer sérios danos para a empresa. Educar as pessoas é o maior desafio num ambiente tecnológico.
(CARUSO & STEFFEN, 2006).
Segundo a norma de qualidade NBR ISO/IEC 17799 (2005), deve-se levar em consideração três
momentos referentes aos recursos humanos em uma corporação:
• Antes da contratação;
• Durante a execução das funções;
• Encerramento das atividades profissionais.
A norma NBR ISO/IEC 17799 (2005, p.13) Confidencialidade das Informações
Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.
SCHNEIER, Bruce. Segurança. com;: segredos e mentiras sobre a proteção na vida digital. RJ, editora Campos, 2001.
18. 6 Sobre as Normas Técnicas e Padrões de Segurança ( Parte I )
Como surgiu a norma da Segurança da Informação – Um pouco da história
Em outubro de 1967 foi criado um documento chamado “Security Control for Computer System” que
marcou o passo inicial para criação de conjunto de regras para segurança de computadores.
DoD também não ficou fora disto e teve grande participação na elaboração de regras.
Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria”
por DoD. A versão final deste documento foi impresso em dezembro de 1985.
Em 1988 o Governo Canadense formou o Canadiam System Security Center (CSSC) e em maio de 1989
foi publicada a primeira versão draft do CTCPEC, ou Canadiam Criteria, cuja versão mais recente é a 3.0,
publicada em janeiro de 1993.
Em 1989 o governo Alemão publicou, através do West German Information Security Agency, seu critério
de avaliação de sistemas computacionais que, ao contrário do TCSEC, não se preocupava somente com
questões de segurança do sistema, mas também com a integridade, disponibilidade e segurança da
rede.
O Departamento de Defesa dos Estados Unidos (DOD ou DoD ( Department of Defense)
19. Sobre as Normas Técnicas e Padrões de Segurança ( Parte II )
Como surgiu a norma da Segurança da Informação – Um pouco da história
Ao mesmo tempo o Britsh Commercial Computer Security Center (CCSC) desenvolvia o critério Britânico,
escrito em uma linguagem clara permitindo aos desenvolvedores de sistemas a fácil compreensão e
implementação dos critérios em seus produtos.
Esta ISO se originou de um esforço do governo britânico, que em 1987, através do UK DTI
(Departamente of Trade Center) criou o CCSC (Comercial Computer Security Centre), cujo objetivo era a
criação de critérios para a avaliação da segurança e de um código de segurança para os usuários das
informações, de uma forma geral. No ano de 1989 foi publicada a primeira versão do código de
segurança, que na época foi denominado de PD0003 - Código de Gerenciamento de Segurança da
Informação.
Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de
2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da
Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa,
denominada "NBR ISO/IEC-17799“.nova edição ISO/IEC 27002
.
COBIT – Control Objectives for Information and related Technology ( guia formulado como framework destinado a gestão de TI)
20. Sobre as Normas Técnicas e Padrões de Segurança (Parte III )
Sintese das Normas
COIBIT - – Control Objectives for Information and related Technology . Prevê boas práticas de
gerenciamento e gestão de TI com amplas recomendações de segunaça da informação.
NBR ISO/IEC-17799 - a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo
esquema de numeração como ISO/IEC 27002. Código de Prática para a Gestão de
Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização”.
. .
21. Sobre as Normas Técnicas e Padrões de Segurança (Parte IV)
Sintese das Normas
É preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/IEC 17799,
mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de
numeração como ISO/IEC 27002. Seções.
• Política de Segurança da Informação – Políticas, Princípios, Diretrizes e outros.
• Organizando a Segurança da Informação – Estrutura de gerenciamento.
• Gestão de Ativos - Tudo que possue valor na empresa – Seu controle total.
• Segurança em Recursos Humanos - Consciêntização, Treinamentos, outros.
• Segurança Física e do Ambiente – Avaliar ríscos gerais em toda estrutura.
• Gestões das Operações e Comunicações – Recomendações para integridade.
• Controle de Acesso - Ativar monitoramento contínuo interno e externo.
• Aquisição, Desenvolvimento e Manutenção de Sistemas - Fazer gestão em todo o processo.
• Gestão de Incidentes da Segurança da Informação - evidênciar possíveis ríscos, antecipar.
• Gestão da Continuidade do Negócio – Estar preparados para qualquer evento de paradas.
• Conformidade - Aspéctos de direitos autorais e privacidade.
. .
22. Sobre as Normas Técnicas e Padrões de Segurança (Parte V)
Algumas análises equivocadas quantoa Segurança da Informação
Algumas organizações criaram pensamentos e práticas equivocadas durante muitos anos conforme os
autores Caruso e Steffen (1999) bem referenciaram.
• Uma vez implantada a segurança, as informações estão seguras;
• A implantação da segurança é um processo simples;
• A segurança é um assunto de esclusiva responsabilidade da área de segurnaça;
• A estrutura de segurança é relativamente estática.
• A segurança de informação é responsabilidade somente da área de TI;
• Outras áreas quanto a informações serem subordinadas nas decisões de segurança;
• Limitar investimentos pensando somente na área de TI;
• Ter planos somente reativos e não preventivos;
• Pensar que TI nada tem a ver com negócio;
• Ti é custo, não é investimento;
• Utilização do paliativo ao invés do correto e seguro;
• Não dissiminar a importância da Segurança e boas práticas ;
• Tratam a Segurança da Informação como um projeto. Deve ser um processo evolutivo.
. .
23. 7 Política da Segurança da Informação ( Parte I )
A segurança da informação visa preservar três princípios básicos pelos quais norteiam a
sua implementação e devem estar bem consubstanciados na política de segurança:
Confiabilidade – Toda informação deve ser protegida de acordo com o grau de sigilo de
seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem
elas são destinadas.
Integridade – Toda a Informação deve ser mantida na mesma condição em que foi
disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas,
intencionais ou acidentais.
Disponibilidade – Toda a informação gerada ou adquirida por um individuo ou instituição
deve estar disponível aos seus usuários no momento em que os mesmos delas
necessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).
24. Política da Segurança da Informação ( Parte II )
A Política de Segurança da Informação deve envolver todos que trabalham numa
organização e, no processo de gestão da informação, devem possuir responsabilidades
bem definidas. Tais agentes podem ser classificados em (CARUSO, 1999, p. 34):
• Gestor da Informação – Nível de decisão quanto a todas informações;
• Custodiante – Responsável pela organização, processamento, guardar as
informações ;
• Usuário – Todos os colaboradores.
A Política de Segurança da Informação precisa prover controles nos ambientes
corporativos para identificação de vírus, controles de acesso lógico e mecanismos de
controle de acesso físico envolvendo nesse processo o Gestor da informação, o
Custodiante e todos usuários do sistema.
25. Política da Segurança da Informação ( Parte III )
Algumas sugestões de definição de procedimentos a serem adotados :
• Políticas de acessos externos à organização;
• Política de uso da Intranet;
• Política de uso da Internet:
• Política de acesso físico;
• Política de acesso lógico;
– Outros
• Classificar as informações corporativas, segundo seu grau de sensibilidade, sigilo e
acessibilidade em: confidenciais, corporativas e públicas;
• Conscientizar, delegar responsabilidades quanto as informações;
A importância da conscientização da equipe de profissionais é consenso entre os especialistas em
segurança (BARBOSA, 2001, p. 27).
BARBOSA, Alexandre. E-Bussiness com Segurança. Internet Bussiness, São Paulo-SP, ano 5, 27 de setembro de 2001, 49p
26. Política da Segurança da Informação ( Parte IV )
Obstáculos comuns numa Implantação de Política de Segurança
Pesquisa de Segurança da Informação realizada pela empresa Módulo, foram citados os principais
obstáculo para a implementação da segurança da informação. Citaremos eles:
Falta de conscientização dos executivos e usuários ( indicado por 55% dos entrevistados );
Falta de orçamento ( 28% dos entrevistados );
Falta de profissionais capacitados ( 8% );
Falta de soluções específicas para minha necessidade ( 3% );
Falta de ferramentas no mercado ( 2% ).
Outros desafios são citados pelo livro Seccurity Officer [33]:
Questões políticas, Poder, Resistência a Mudanças, Ambientes sem senso de Urgência x
Necessidade
Para Howard (apud GRUM, 1972), a informação real nunca é tão boa quanto a informação perfeita,
embora esta última represente o limite que deve ser perseguido para a boa informação.
1 - percepção limitada; 2 - informação parcial; 3 - lógica da satisfação; 4 - Interferência política
A Módulo é uma empresa brasileira, com atuação internacional, especializada em soluções para Governança, Riscos e Compliance
GRUM, Allen F. et al. The trials and tribulations of the tribnian situation: a pilot level decision analysis of intelligence resource allocation. Stanford Research Institute, novembro de
1972.
27. 8 Planos de Contigência
CARUSO & STEFFEN apud WEIGHTS (2006) recomenda a adoção de alguns passos para a elaboração
do plano de contingência:
1. Formação da equipe de planejamento;
2. Avaliação das atividades críticas;
3. Lista do pessoal necessário;
4. Equipamentos necessários;
5. Dados, Software e documentação;
6. Alternativas de coleta de dados e distribuição de saídas;
7. Acordos de backup em locais alternativos;
8. Manuais de contingência;
9. Testes de contingência periódicos: CARUSO & STEFFEN (2006) afirmam que é na realização
dos testes que costuma-se encontrar os pontos fracos do plano de contingência.
De nada valem os conceitos contidos no plano de contingência, se a empresa não souber identificar
corretamente as suas necessidades. (SÊMOLA, 2003). E acima de tudo, saber prever formas de
contornar os possíveis problemas. Para CARUSO & STEFFEN (2006, p. 334) “a vulnerabilidade do centro
de processamento de dados pode ser a vulnerabilidade da própria empresa e a sua destruição pode
equivaler ao fim da própria organização”.
28. 9 Novidades Técnológicas
• Datashow para smartphones e tabletes. Alta capacidade, definição e pouco espaço.
• Dinheiro físico e Cartões de Crédito - Near Field Communication (NFC) e aplicações em
nuvem, como PayPal, meios de pagamento que serão mais utilizados a partir de 2013.
• Fim dos Cabos e Adptadores - o wireless vai se tornar o padrão para a conexão em todos
os smartphones, laptops e tablets.
• Carros Inteligentes – sistemas de prevenção de colisão, estacionamento. Segurança.
• Mídia desconectada: VOD (vídeo sob demanda), nuvem e interconectividade de
dispositivos serão mais populares entre os usuários em 2013 que os tradicionais cabos e
satélites.
• Desktops – Tablets e smartphones concorrendo para substituí-los.
• Telefone Físico - Cada vez mais a transição pois hoje quase todos estão ON LINE, com um
celular por exemplo. (ITWEB)
• USB X Tecnologias de Nuvem para armazenagem ou movimentação das Informações.
– Dropbox e Google Drive
• Softwares Corporativos : Cloud Computing, forte tendência e evolução nas plataformas
CRM e ERP. Exemplo SAP HANA.
A ideia do Dropbox criada em 2008 por Drew Houston (EX- Hacker).
SAP HIGH PERFORMANCE ANALYTIC APPLIANCE (SAP HANA) A PRÓXIMA ONDA DA COMPUTAÇÃO EM MEMÓRIA DA SAP.
29. Novidades Técnológicas
• Chris Anderson para Revista Exame 01.12.2012 - Fala da disponibilização cada vez maior
e acessibilidade das técnologias a menores custos. Exemplo da impressora 3D que custava
milhões, hoje feita pela MakerBot e custo em torno de 2 mil dólares.
• Pesquisa da empresa de consultoria inglesa Delloite aponta que a “gamificação” está no
ranking das dez tendências tecnológicas em 2012. Uso na Educação.
• Chips - Transponders - microchips – Implantados em pessoas
e animais com informações. Applied Digital Solutions lançou
o VERICHIP contendo dados para portadores de doenças.
Fonte Jusnavegandi.
• John Brandon, CIO/EUA.18.02/2013
– BYOD (Bring Your Own Device ) Regras e usos para aparelhos mòveis;
– Impressão 3D;
– Desaparecimento das senhas. Segurança por Biometria;
– Salas de aulas On Line;
• Algumas outras fontes, Metropole WEB, Revolução Digital.
• Brasil Econômico, 05.03.2012 APPlE investindo no relógio
Inteligente Página 14.
Chris Anderson tem 44 anos e escreveu o livro A Cauda Longa (Campus/Elsevier), no qual defende o crescimento dos mercados de nicho. É formado em Física, trabalhou nas
revistas Science, Nature e The Economist. Hoje é editor-chefe da revista americana Wired.
FDA (Food and Drug Administration), agência que regula o uso de medicamentos e alimentos nos Estados Unidos, liberou o implante de transponders em seres humanos para
essa finalidade
31. Bibliografias e Fontes das Informações
Referências
• BEAL, Adriana - Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das
organizações. -São Paulo: Editora Atlas, 2005.
• CARUSO, Carlos A. A.; STEFFEN, Flavio Deny. Segurança em Informática e de Informação. São Paulo. Editora
Senac/sp, 2006.
• MEIRELLES, Fernando de Souza. Informática, novas aplicações com microcomputadores. 2 edição, Makron Books,
São Paulo, 1994.
• GILL, Peter. "Creating Virtual Value". Canadian Business Review, outono de 1996.
• CLEMONS, E. K. "Evaluating strategic investments in information technology". Communications of the ACM (Association
of Computing Machinery) 1991,34 (I): páginas. 22-36.
• DAWEL, George - A Segurança da Informação nas Empresas – Rio de Janeiro: Editora Ciência Moderna, 2005.
• FONTES, Edison Luiz Gonçalves - Vivendo a segurança da informação: orientações práticas para as organizações. -
São Paulo: Editora Sicurezza,2000.
• Dowd, K. (1998). Beyond Value at Risk: The new science of Risk Management. West Sussex: John Wiley & Sons.
• FERREIRA, A. B. H.; Novo Aurélio – O dicionário da Língua Portuguesa; Nova Fronteira, 1999, 3a ed.; ISBN 85-209-1010-6; p. 1772.
• GITMAN, L. J.; Princípios de Administração Financeira; Harbara Editora, 1997, 7a ed.; ISBN 85-294-0060-7; p.17.
• Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.
• SCHNEIER, Bruce. Segurança. com;: segredos e mentiras sobre a proteção na vida digital. RJ, editora Campos, 2001.
• BARBOSA, Alexandre. E-Bussiness com Segurança. Internet Bussiness, São Paulo-SP, ano 5, 27 de setembro de 2001, 49p