{"id":1753,"date":"2015-03-22T21:27:08","date_gmt":"2015-03-23T00:27:08","guid":{"rendered":"http:\/\/efagundes.com.br\/artigos\/?page_id=1753"},"modified":"2015-03-22T21:27:08","modified_gmt":"2015-03-23T00:27:08","slug":"seguranca-da-informacao","status":"publish","type":"page","link":"https:\/\/efagundes.com\/artigos\/seguranca-da-informacao\/","title":{"rendered":"Seguran\u00e7a da Informa\u00e7\u00e3o"},"content":{"rendered":"<p class=\"page_content_verdana_10pt\">Seguran\u00e7a da informa\u00e7\u00e3o significa proteger seus dados e sistemas de informa\u00e7\u00e3o de acessos e uso n\u00e3o autorizados, divulga\u00e7\u00e3o, modifica\u00e7\u00e3o, leitura, grava\u00e7\u00e3o, inspe\u00e7\u00e3o e destrui\u00e7\u00e3o. O conceito de seguran\u00e7a da informa\u00e7\u00e3o est\u00e1 ligado \u00e0 confidencialidade, integridade e disponibilidade da informa\u00e7\u00e3o. O conceito de seguran\u00e7a de processamento est\u00e1 ligado \u00e0 disponibilidade e opera\u00e7\u00e3o da infraestrutura computacional. Esses conceitos s\u00e3o complementares e asseguram a prote\u00e7\u00e3o e disponibilidade das informa\u00e7\u00f5es das organiza\u00e7\u00f5es. O impacto da perda e ou viola\u00e7\u00e3o de informa\u00e7\u00f5es para empresa \u00e9 enorme e pode, em alguns casos, a leva-la a fal\u00eancia. Casos reais de empresas que tiveram seus ambientes invadidos por hackers sofreram quedas no valor de suas a\u00e7\u00f5es nas bolsas de valores. A quest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o cresce em import\u00e2ncia com o uso intensivo do com\u00e9rcio eletr\u00f4nico e das redes sociais. Com uma multiplicidade de tecnologias envolvidas \u00e9 necess\u00e1rio \u00e0 especializa\u00e7\u00e3o nas \u00e1reas de infraestrutura, softwares, banco de dados, testes de seguran\u00e7a, gest\u00e3o de risco, auditoria, planejamento de continuidade de neg\u00f3cios, t\u00e9cnicas forense digital, etc.<\/p>\n<p class=\"page_content_verdana_10pt\">As diretrizes para a seguran\u00e7a dos sistemas e redes de informa\u00e7\u00e3o, definida pelo OCDE (Organisation for Economic Co-operation and Development), prop\u00f4s nove princ\u00edpios geralmente aceitos: consci\u00eancia e responsabilidade; resposta; \u00e9tica; democracia; avalia\u00e7\u00e3o de risco; design e implanta\u00e7\u00e3o de seguran\u00e7a; gest\u00e3o da seguran\u00e7a e reavalia\u00e7\u00e3o. Uma evolu\u00e7\u00e3o da tr\u00edade cl\u00e1ssica da seguran\u00e7a (integridade, confidencialidade e disponibilidade) foi revista e hoje conta com seis elementos: confidencialidade, posse, integridade, autenticidade, disponibilidade e utilidade.<\/p>\n<p class=\"page_content_verdana_10pt\">Uma quest\u00e3o que o com\u00e9rcio eletr\u00f4nico tenta resolver \u00e9 como evitar o n\u00e3o rep\u00fadio em transa\u00e7\u00f5es eletr\u00f4nicas. O n\u00e3o rep\u00fadio \u00e9 o fato de depois de registrado uma solicita\u00e7\u00e3o de compras o comprador no momento do recebimento da mercadoria se nega a receb\u00ea-la. Este fato ocorre, pois n\u00e3o existe a garantia que o solicitante \u00e9 quem est\u00e1 recebendo a mercadoria. Isso gera um enorme preju\u00edzo \u00e0s empresas de com\u00e9rcio eletr\u00f4nico que devem pela lei do consumidor retornar sem custo para o comprador a mercadoria. A solu\u00e7\u00e3o para isso \u00e9 o uso de tecnologias de assinaturas digitais e criptografia de chave p\u00fablica para verificar a autenticidade do comprador e evitar o n\u00e3o rep\u00fadio.<\/p>\n<p class=\"page_content_verdana_10pt\">Um ponto crucial da estrat\u00e9gia empresarial \u00e9 a gest\u00e3o de risco de seguran\u00e7a da informa\u00e7\u00e3o. Esse tema n\u00e3o \u00e9 apenas uma quest\u00e3o da \u00e1rea de TI, \u00e9 uma quest\u00e3o corporativa. O conceito de gest\u00e3o de risco \u00e9 o processo de identifica\u00e7\u00e3o de vulnerabilidade e amea\u00e7as para os recursos de informa\u00e7\u00e3o usados por uma organiza\u00e7\u00e3o para alcan\u00e7ar objetivos de neg\u00f3cios, e decidir contra medidas, se houver, para mitigar o risco a um n\u00edvel aceit\u00e1vel, com base no valor da informa\u00e7\u00e3o para a organiza\u00e7\u00e3o. Pesquisas mostram que o fator humano \u00e9 a maior componente de risco para as organiza\u00e7\u00f5es.<\/p>\n<p class=\"page_content_verdana_10pt\">Para gerenciar o risco, a ISO 27002:2005 recomenda a an\u00e1lise e controle dos seguintes pontos:<\/p>\n<ul class=\"style_lista_rfp\">\n<li>Pol\u00edtica de seguran\u00e7a;<\/li>\n<li>Organiza\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o;<\/li>\n<li>Gest\u00e3o de ativos;<\/li>\n<li>Recursos humanos;<\/li>\n<li>Seguran\u00e7a f\u00edsica e ambiental;<\/li>\n<li>Gest\u00e3o da opera\u00e7\u00e3o e comunica\u00e7\u00e3o;<\/li>\n<li>Controle de acessos;<\/li>\n<li>Sistemas de aquisi\u00e7\u00e3o de informa\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o;<\/li>\n<li>Informa\u00e7\u00f5es sobre seguran\u00e7a e gerenciamento de incidentes;<\/li>\n<li>Gest\u00e3o de continuidade de neg\u00f3cios, e<\/li>\n<li>Conformidade regulat\u00f3ria.<\/li>\n<\/ul>\n<p class=\"page_content_verdana_10pt\">O processo de gest\u00e3o de risco envolve os seguintes pontos:<\/p>\n<ul class=\"style_lista_rfp\">\n<li>Identifica\u00e7\u00e3o dos ativos e estimar o seu valor. Incluem: pessoas, edif\u00edcios, hardwares, software, dados e suprimentos;<\/li>\n<li>Realizar uma avalia\u00e7\u00e3o das amea\u00e7as. Incluem: atos da natureza, acidentes, atos maliciosos de dentro e fora da organiza\u00e7\u00e3o e atos de terrorismo;<\/li>\n<li>Conduzir uma avalia\u00e7\u00e3o de vulnerabilidade. Para cada vulnerabilidade calcular a probabilidade de ocorr\u00eancia. Avaliar as pol\u00edticas, procedimentos, normas, treinamento, seguran\u00e7a f\u00edsica, controle de qualidade e t\u00e9cnicas de seguran\u00e7a;<\/li>\n<li>Calcular o impacto que cada amea\u00e7a tem sobre cada ativo atrav\u00e9s de an\u00e1lises quantitativa e qualitativa;<\/li>\n<li>Identificar e selecionar os controles apropriados, considerando a produtividade, rentabilidade e valor do ativo;<\/li>\n<li>Avaliar a efic\u00e1cia das medidas de controle para assegurar que os controles forne\u00e7am a prote\u00e7\u00e3o necess\u00e1ria a um custo eficaz sem perda de funcionalidade.<\/li>\n<\/ul>\n<p class=\"page_content_verdana_10pt\">Essas an\u00e1lises devem ser submetidas aos dirigentes da organiza\u00e7\u00e3o que podem optar por aceitar o risco ou investir em projetos para mitigar os riscos. Embora n\u00e3o livre a responsabilidade da empresa, o risco pode ser transferido para uma empresa especializada na modalidade de outsourcing.<\/p>\n<p class=\"page_content_verdana_10pt\">A gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o \u00e9 complexa e multidisciplinar. Para apoio aos processos de design, an\u00e1lise e opera\u00e7\u00e3o as seguintes ferramentas s\u00e3o recomendadas:<\/p>\n<ul class=\"style_lista_rfp\">\n<li>Sistema de firewall;<\/li>\n<li>Sistema de detec\u00e7\u00e3o de intrus\u00e3o;<\/li>\n<li>Sistema de antiv\u00edrus;<\/li>\n<li>VPN, virtual private network<\/li>\n<li>PKI, public key infrastructure;<\/li>\n<li>Sistemas de criptografia;<\/li>\n<li>Sistema de gest\u00e3o de identidade.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Seguran\u00e7a da informa\u00e7\u00e3o significa proteger seus dados e sistemas de informa\u00e7\u00e3o de acessos e uso n\u00e3o autorizados, divulga\u00e7\u00e3o, modifica\u00e7\u00e3o, leitura, grava\u00e7\u00e3o, inspe\u00e7\u00e3o e destrui\u00e7\u00e3o. O conceito de seguran\u00e7a da informa\u00e7\u00e3o est\u00e1 ligado \u00e0 confidencialidade, integridade e disponibilidade da informa\u00e7\u00e3o. O conceito de seguran\u00e7a de processamento est\u00e1 ligado \u00e0 disponibilidade e opera\u00e7\u00e3o da infraestrutura computacional. Esses [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"open","ping_status":"open","template":"","meta":{"jetpack_post_was_ever_published":false,"footnotes":""},"class_list":["post-1753","page","type-page","status-publish","hentry"],"jetpack_shortlink":"https:\/\/wp.me\/P8yInB-sh","jetpack-related-posts":[{"id":1463,"url":"https:\/\/efagundes.com\/artigos\/engenharia-social\/","url_meta":{"origin":1753,"position":0},"title":"Engenharia Social","author":"Eduardo Fagundes","date":"22 de mar\u00e7o de 2015","format":false,"excerpt":"Publicado em 15\/julho\/2010 O principal fator de risco de seguran\u00e7a nas empresas s\u00e3o as pessoas. Altos investimentos s\u00e3o realizados em ferramentas de seguran\u00e7a para controlar e garantir a continuidade das opera\u00e7\u00f5es das empresas, por\u00e9m muitas com enfoque em tecnologia. O foco da engenharia de seguran\u00e7a deve ser as pessoas. Isso\u2026","rel":"","context":"Post similar","block_context":{"text":"Post similar","link":""},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":1453,"url":"https:\/\/efagundes.com\/artigos\/a-lei-sarbanes-oxley-e-seu-impacto-em-ti\/","url_meta":{"origin":1753,"position":1},"title":"A lei Sarbanes-Oxley e seu impacto em TI","author":"Eduardo Fagundes","date":"22 de mar\u00e7o de 2015","format":false,"excerpt":"A Sarbanes-Oxley, ou simplesmente Sox, \u00e9 uma lei criada nos Estados Unidos para aperfei\u00e7oar os controles financeiros das empresas que possuem capital na Bolsa de Nova York, incluindo cerca de 70 empresas brasileiras. Esta lei veio em decorr\u00eancia dos esc\u00e2ndalos financeiros das empresas Enron, Worldcom e outras que pulverizaram as\u2026","rel":"","context":"Post similar","block_context":{"text":"Post similar","link":""},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":1731,"url":"https:\/\/efagundes.com\/artigos\/gestao-de-processos-de-negocios-bpm\/","url_meta":{"origin":1753,"position":2},"title":"Gest\u00e3o de Processos de Neg\u00f3cios (BPM)","author":"Eduardo Fagundes","date":"22 de mar\u00e7o de 2015","format":false,"excerpt":"BPM \u00e9 a gest\u00e3o de processos com abordagem hol\u00edstica focada em alinhar os processos das organiza\u00e7\u00f5es as necessidades dos clientes. O objetivo do BPM \u00e9 desenvolver processos de neg\u00f3cios eficientes e eficazes com flexibilidade baseados em tecnologia. Tem foco em melhoria cont\u00ednua de processos e inova\u00e7\u00e3o. Uma organiza\u00e7\u00e3o com foco\u2026","rel":"","context":"Post similar","block_context":{"text":"Post similar","link":""},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":1447,"url":"https:\/\/efagundes.com\/artigos\/cobit\/","url_meta":{"origin":1753,"position":3},"title":"COBIT","author":"Eduardo Fagundes","date":"22 de mar\u00e7o de 2015","format":false,"excerpt":"Um kit de ferramentas para a excel\u00eancia de TI Artigo revisado em 25 de abril 2012 Autor: Eduardo Mayer Fagundes Introdu\u00e7\u00e3o Atualmente, \u00e9 imposs\u00edvel imaginar uma empresa sem uma forte \u00e1rea de sistemas de informa\u00e7\u00f5es (TI), para manipular os dados operacionais e prover informa\u00e7\u00f5es gerenciais aos executivos para tomadas de\u2026","rel":"","context":"Post similar","block_context":{"text":"Post similar","link":""},"img":{"alt_text":"estrutura_cobit","src":"https:\/\/i0.wp.com\/efagundes.com\/artigos\/wp-content\/uploads\/sites\/2\/2015\/03\/estrutura_cobit1.jpg?resize=350%2C200","width":350,"height":200},"classes":[]},{"id":1561,"url":"https:\/\/efagundes.com\/artigos\/processo-para-reduzir-o-custo-de-propriedade-em-ti-tco\/","url_meta":{"origin":1753,"position":4},"title":"Processo para reduzir o custo de propriedade em TI (TCO)","author":"Eduardo Fagundes","date":"22 de mar\u00e7o de 2015","format":false,"excerpt":"Ap\u00f3s a empresa de consultoria americana Gartner Group divulgar um relat\u00f3rio apresentando um custo de US$ 9.784 por PC com o Microsoft Windows 95, as empresas perceberam o impacto dos custos indiretos que incidem em um computador. Muito desses custos ocultos s\u00e3o gastos em outras \u00e1reas da organiza\u00e7\u00e3o ou por\u2026","rel":"","context":"Post similar","block_context":{"text":"Post similar","link":""},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":1362,"url":"https:\/\/efagundes.com\/artigos\/o-uso-de-ferramentas-de-pesquisa-no-mundo-corporativo\/","url_meta":{"origin":1753,"position":5},"title":"O uso de ferramentas de pesquisa no mundo corporativo","author":"Eduardo Fagundes","date":"22 de mar\u00e7o de 2015","format":false,"excerpt":"publicado em 12-mar\u00e7o-2006 Depois da revolu\u00e7\u00e3o das ferramentas de pesquisas na busca de informa\u00e7\u00f5es na Internet, as empresas de software est\u00e3o direcionando seus investimentos para o mundo corporativo. Essas ferramentas prometem facilitar a busca de toda a informa\u00e7\u00e3o corporativa relevante sobre um determinado assunto e consolid\u00e1-la para an\u00e1lise. Atualmente, muitas\u2026","rel":"","context":"Post similar","block_context":{"text":"Post similar","link":""},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]}],"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/efagundes.com\/artigos\/wp-json\/wp\/v2\/pages\/1753","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/efagundes.com\/artigos\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/efagundes.com\/artigos\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/efagundes.com\/artigos\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/efagundes.com\/artigos\/wp-json\/wp\/v2\/comments?post=1753"}],"version-history":[{"count":0,"href":"https:\/\/efagundes.com\/artigos\/wp-json\/wp\/v2\/pages\/1753\/revisions"}],"wp:attachment":[{"href":"https:\/\/efagundes.com\/artigos\/wp-json\/wp\/v2\/media?parent=1753"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}