O documento discute conceitos fundamentais de tecnologia da informação, incluindo sistemas de informação, tipos de sistemas, vulnerabilidades da informação, ameaças à segurança, política de segurança e agentes envolvidos na segurança da informação. O documento também aborda classificação de informações, políticas de acesso e falhas comuns em sistemas.
2. Auditoria de sistemas
Noções de Tecnologia da Informação
Gerencial. Noções de auditoria de
sistemas. Segurança de sistemas.
Análise de riscos em sistemas de
informação contábeis. Plano de
contingência. Técnicas de avaliação
de sistemas. Situações de
Vulnerabilidade: Virus, Fraudes,
Criptografia, Acesso não
autorizados, riscos de segurança em
geral.
3. Auditoria de sistemas Aula 1
Noções de Tecnologia da Informação
Gerencial. Noções de auditoria de
sistemas. Segurança de sistemas.
Análise de riscos em sistemas de
informação contábeis. Plano de
contingência. Técnicas de avaliação
de sistemas. Situações de
Vulnerabilidade: Vírus, Fraudes,
Criptografia, Acesso não
autorizados, riscos de segurança em
geral.
4.
5. Tecnologia da Informação e
Comunicação
O que é TI?
O termo Tecnologia da
Informação (TI) serve para
designar o conjunto de
recursos tecnológicos e
computacionais para geração
e uso da informação. (wiki)
6. Dado X Informação
DADO – Nome, cargo, idade, sexo...
INFORMAÇÃO – Maria é filha de
Joana.
Dados informações
7. Dado X Informação
DADO – Nome, cargo, idade, sexo...
INFORMAÇÃO – Maria é filha de
Joana. Maria está sem namorado!
Uso no marketing, vendas, na
engenharia social e na comunicação.
Dados informações conhecimento
8. Tecnologia da Informação e
Comunicação
TIC é um conjunto de recursos
tecnológicos que, se
estiverem integrados entre si,
podem proporcionar a
automação e/ou a
comunicação de vários tipos
de processos existentes nos
negócios, no ensino e na
pesquisa científica, na área
bancária e financeira, etc.
9. Tecnologia da Informação e
Comunicação
são tecnologias usadas
para reunir, distribuir e
compartilhar
informações, como
exemplo: sites da Web,
equipamentos de
informática (hardware e
software), telefonia,
quiosques de informação
e balcões de serviços
automatizados.
10. Sistema de informação
Um Sistema de Informação
(SI) é um sistema cujo
elemento principal é a
informação. Seu objetivo é
armazenar, tratar e fornecer
informações de tal modo a
apoiar as funções ou
processos de uma
organização.
11. Tipos de Sistema de informação
1.Sistemas de Informação Rotineiros ou Transacionais - sofware simples, os mais usados,
como folha de pagamento, cadastros de clientes...(operacional)
2.Sistemas de Gestão de Suprimentos: estoque (operacional)
3. Sistemas de Gestão Empresarial Integrada - ERP (Enterprise Resource Planning) :
responsáveis por administrar, automatizar ou apoiar todos os processos de uma
organização de forma integrada. (tático)
4. Sistemas de Informações Gerenciais (SIG’s ou MIS – Management Information Systems):
(estratégico)
5.Sistemas de Apoio à Decisão (SAD’s ou DSS – Decision Support Systems) (estratégico)
6.Sistemas Especialistas: Objetivo: tomar decisões
12. Tipos de Sistema de informação
Sistemas de Simulação
Sistemas de Informações Distribuídas
Sistemas de Automação
Sistemas de Informações Geográficas (GIS)
Sistemas de Hipertextos, Hipermídia e Multimídia
Sistemas de Gestão Eletrônica de Documentos (GED)
Sistemas de Informações Textuais (Indexação e Recuperação de
Informações)
Sistemas de Workflow
Sistemas de Data Warehouse (Armazém de Dados)
Sistemas de Database Marketing
Sistemas de CRM (Customer Relationship Management)
13. Tipos de Sistema de informação
Sistemas de Data Mining (Mineração de Dados ou Descoberta de
Conhecimento)
Sistemas de Text Mining
Sistemas de Web Mining
Sistemas de Groupware
Sistemas de Intranet
Sistemas de Extranet
Sistemas de Portais Corporativos
Sistemas de E-business
Sistemas de Comércio Eletrônico (e-commerce)
Sistemas de Informações Pervasivos e Ubíquos
Sistemas de Business Intelligence
Sistemas de Inteligência Competitiva
Sistemas de Gestão do Conhecimento
14. O Poder da Informação
Na sociedade de infomação,
informação é poder!
Poder é desejado!
Se a informação pode ser roubada,
o poder pode ser conquistado!
15.
16. Vulnerabilidade da informação
devido aos modernos meios de
disponibilização da mesma...
Antigamente (meio papel) cofre
garantia as informações
Atualmente (computadores e
redes)
17.
18. Vulnerabilidade da informação
1. Tecnologias:
a) computadores sem proteção contra vírus;
b) arquivos de aço sem controle de acesso;
c) equipamentos em locais públicos (impressoras, fax)
d) cabos de redes expostos;
e) celulares sem senha;
f) redes locais com senha padrão ou pública;
g) sistemas sem controle de acesso lógico;
h) falta de controle a áreas críticas;
i) problemas de manutenção em equipamentos;
j) problemas com energia elétrica.
19. Vulnerabilidade da informação
2. Pessoas e processos:
a) ausência de política institucional de segurança na organização;
b) inexistência de especialistas em segurança na organização;
c) inexistência de regulamentação para acesso às informações da
organização;
d) procedimentos ineficientes para análise e conferência das
informações;
e) colaboradores não-treinados em segurança;
f) ausência de procedimentos disciplinares para o tratamento das
violações da política de segurança;
g) ausência de planos de contingência;
20. Vulnerabilidade da informação
3. Ambiente:
a) ausência de mecanismos contra incêndio;
b) inexistência de mecanismos de prevenção à
enchente;
c) inexistência de proteção contra poluentes diversos
que possam prejudicar mídias e equipamentos;
21. Ameaças
A ameaça é um agente externo ao
ativo de informação, que,
aproveitando-se das vulnerabilidades
desse ativo, poderá quebrar a
confidencialidade, integridade ou
disponibilidade da informação
suportada ou utilizada pelo agente.
Fraudes
Espiões
Sabotadores
Vândalos
Sobrecargas no sistema elétrico
Tempestades
Vírus, etc.
22. Probabilidade de uma falha de
segurança
ocorrer levando-se em conta o grau de
vulnerabilidade presente nos ativos
que sustentam o negócio e o grau das
ameaças que possam explorar essas
vulnerabilidades.
O impacto de um incidente são as
potenciais conseqüências que este
incidente possa causar ao negócio da
organização.
O impacto de um mesmo incidente
pode repercutir de maneira diferente
em organizações distintas.
Um site fora do ar?
SUBMARINO X FMB
Quanto maior for a relevância do ativo
maior será o impacto de um incidente
de segurança.
23. Política de Segurança da Informação
Serve como base ao Para atender as principais
estabelecimento de normas e necessidades da empresa, uma
procedimentos que garantem a Política de Segurança da Informação
segurança da informação, bem deve ser:
como determina as
responsabilidades relativas à Clara e concisa
segurança dentro da empresa.
De fácil compreensão
Coerente com as ações da
A elaboração de uma Política de
empresa
Segurança da Informação deve ser o
ponto de partida para o Amplamente divulgada
gerenciamento dos riscos Revisada periodicamente
associados aos sistemas de
informação.
24. Política de Segurança
A Política de Segurança da
Informação visa preservar a
confidencialidade, integridade e
disponibilidade das informações.
Descrevendo a conduta adequada
para o seu manuseio, controle,
proteção e descarte.
25. Política de Segurança
Diretrizes de Segurança da
Informação
Normas de segurança
Procedimentos Operacionais
Instruções Técnicas
Termo de Sigilo e Responsabilidade
26. Política de Segurança - Benefícios
•Comprometimento da alta direção,
com a continuidade dos negócios;
•Aumento da conscientização da
empresa quanto a segurança das
informações;
•Padronização nos processos
organizacionais;
•Definição das responsabilidades
pelos ativos da empresa;
•Conformidade com a Legislação e
obrigações contratuais.
27.
28. Agentes envolvidos na Segurança da
Informação
GESTOR DA INFORMAÇÃO: O
indivíduo responsável para fazer
decisões em nome da organização
no que diz respeito ao uso, à
identificação, à classificação, e à
proteção de um recurso específico
da informação.
CUSTODIANTE:Agente
responsável pelo processamento,
organização e guarda da
informação.
USUÁRIO: Alguma pessoa que
interage diretamente com o
sistema computadorizado. Um
usuário autorizado com poderes
de adicionar ou atualizar a
informação. Em alguns ambientes,
o usuário pode ser o proprietário
da informação.
29. Classificação de Informações
Classificar todas as
informações críticas
segundo o seu grau de
criticidade e teor crítico:
Informações Confidenciais:
Devem ser disseminadas
somente para empregados
nomeados
Informações Corporativas:
Devem ser disseminadas
somente dentro da Empresa
Informações Públicas:
Podem ser disseminadas
dentro e fora da Empresa
30. Política de acessos externos à
Instituição
Definição de Convênios
para acesso às bases
corporativas
Criptografia
Certificação
Log de acessos
Configuração de Firewall
31. Definição das Políticas
Política de acessos externos à
Instituição
Criptografia
Configuração de Firewall
Política de uso da Intranet
Padrão de Gerenciamento de
Rede
Padrão de distribuição de
versões de software
Modelo de identificação de
pirataria
Política de uso da Internet
Política de Backup
Política de Acesso físico
Política de Acesso Lógico
32.
33.
34.
35. Falhas comuns
De forma global, as ocorrências de
falha mais comuns são: Vírus, perda
de disco rígido, perda de um servidor
da rede ou de uma ligação de rede,
alteração/atualização de software,
falha de sistema de suporte (ar
condicionado e/ou de energia, por
exemplo), avarias mecânicas do
hardware, etc.
36. Auditoria de sistemas Aula 2
Noções de Tecnologia da Informação
Gerencial. Noções de auditoria de
sistemas. Segurança de sistemas.
Análise de riscos em sistemas de
informação contábeis. Plano de
contingência. Técnicas de avaliação
de sistemas. Situações de
Vulnerabilidade: Vírus, Fraudes,
Criptografia, Acesso não
autorizados, riscos de segurança em
geral.