VersÃ£o em PortuguÃªs COBIT 4.1 TraduÃ§Ã£o pelo ISACA - Trainning

More documents

Recommendations

Info

Entregar e Suportar Garantir a Segurança dos Sistemas DS5 DS5 Garantir a Segurança dos Sistemas Descrição do Processo Para manter a integridade da informação e proteger os ativos de TI, é necessário implementar um processo de gestão de segurança. Esse processo inclui o estabelecimento e a manutenção de papéis, responsabilidades, políticas, padrões e procedimentos de segurança de TI. A gestão de segurança inclui o monitoramento, o teste periódico e a implementação de ações corretivas das deficiências ou dos incidentes de segurança. A gestão eficaz de segurança protege todos os ativos de TI e minimiza o impacto sobre os negócios de vulnerabilidades e incidentes de segurança. Controle sobre o seguinte processo de TI: Garantir a segurança dos sistemas que satisfaça aos seguintes requisitos do negócio para a TI: manter a integridade da infraestrutura de informação e de processamento e minimizar o impacto de vulnerabilidades e incidentes de segurança com foco em: definir políticas, procedimentos e padrões de segurança de TI e monitorar, detectar, reportar e solucionar vulnerabilidades e incidentes de segurança é alcançado por: · Entendimento dos requisitos, vulnerabilidades e ameaças de segurança · Gerenciamento padronizado das identidades e autorizações de usuários · Testes periódicos de segurança e medido por: va r · Quantidade de incidentes que prejudicam a reputação pública da corporação · Quantidade de sistemas em que os requisitos de segurança não são atendidos · Quantidade de violações na segregação de funções © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org 119
DS5 Entregar e Suportar Garantir a Segurança dos Sistemas DS5 Garantir a Segurança dos Sistemas Objetivos de Controle Detalhados DS5.1 Gestão da Segurança de TI Gerenciar a segurança de TI no mais alto nível organizacional da empresa de modo que a gestão das ações de segurança esteja em alinhamento com os requisitos de negócio. DS5.2 Plano de Segurança de TI Traduzir os requisitos de negócio, de risco e conformidade, em um plano abrangente de segurança de TI, que leve em consideração a infraestrutura de TI e a cultura de segurança. O plano deve ser implementado em políticas e procedimentos de segurança, juntamente com investimentos adequados em serviços, pessoal, software e hardware. Políticas e procedimentos de segurança devem ser comunicados aos usuários e partes interessadas. DS5.3 Gestão de Identidade Todos os usuários (internos, externos e temporários) e suas atividades nos sistemas de TI (aplicação de negócio, desenvolvimento, operação e manutenção de sistemas) devem ser identificáveis de modo exclusivo. Os direitos de acesso dos usuários aos sistemas e dados devem estar em conformidade com as necessidades dos negócios e com os requisitos da função definidos e documentados. Os direitos de acesso devem ser solicitados pela gestão de usuários, aprovados pelo proprietário do sistema e implementados pelo responsável pela segurança. As identidades e os direitos de acesso dos usuários devem ser mantidos em um repositório central. É necessário implementar e manter atualizadas medidas técnicas e de procedimentos com boa relação custo-benefício para determinar a identificação dos usuários, implementar a devida autenticação e impor direitos de acesso. DS5.4 Gestão de Contas de Usuário Assegurar que a solicitação, a emissão, a suspensão, a modificação e o bloqueio de contas de usuário e dos respectivos privilégios sejam tratados por procedimentos de gestão de contas de usuário. Incluir um procedimento de aprovação de concessão de direitos de acesso pelos proprietários dos dados ou sistemas. Esse procedimento deve ser aplicado a todos os usuários, inclusive aos administradores (usuários com privilégios), usuários internos e externos, para os casos normais ou emergenciais. Os direitos e obrigações relativos ao acesso a sistemas e informações corporativos devem ser definidos em contrato para todos os tipos de usuários. Devem ser feitas revisões frequentes de todas as contas e os respectivos privilégios. DS5.5 Teste de Segurança, Vigilância e Monitoramento Garantir que a implementação de segurança de TI seja testada e monitorada proativamente. A segurança de TI deve ser revalidada periodicamente para garantir que o nível de segurança aprovado seja mantido. A função de monitoramento e registro de eventos (logging) deve possibilitar a prevenção e/ou detecção prematura de atividades anormais e incomuns que precisem ser tratadas, bem como a subsequente geração de relatórios no tempo apropriado. DS5.6 Definição de Incidente de Segurança Definir e comunicar claramente as características de incidentes de segurança em potencial para que possam ser tratados adequadamente pelos processos de gestão de incidentes ou gestão de problemas. DS5.7 Proteção da Tecnologia de Segurança Garantir que as tecnologias de segurança importantes sejam invioláveis e que as documentações de segurança não sejam reveladas desnecessariamente. DS5.8 Gestão de Chave Criptográfica Assegurar que sejam estabelecidos políticas e procedimentos de geração, mudança, revogação, destruição, distribuição, certificação, armazenamento, inserção, uso e arquivamento das chaves criptográficas visando proteger contra sua modificação ou revelação pública não autorizada. DS5.9 Prevenção, Detecção e Correção de Software Malicioso Assegurar que medidas preventivas, de detecção e corretivas sejam estabelecidas corporativamente, em especial correções de segurança (patches) e controles de vírus, para proteger os sistemas de informação e tecnologias contra malwares (vírus, worms, spyware, spam.). DS5.10 Segurança de Rede Garantir que técnicas de segurança e procedimentos de gestão relacionados (como firewalls, aplicativos de segurança, segmentação de rede e detecção de intrusão) sejam utilizados para autorizar o acesso e controlar os fluxos de informação entre redes. DS5.11 Comunicação de Dados Confidenciais Assegurar que as transações de comunicação de dados confidenciais ocorram somente por um caminho confiável ou controlado de modo a fornecer autenticação de conteúdo, comprovante de envio, comprovante de recebimento e não-rejeição de origem. 120 © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org
Page 2 and 3:
CobiT4.1 IT Governance Institute TM
Page 4 and 5:
CobiT4.1 Agradecimentos (Continuaç
Page 6 and 7:
CobiT4.1 Agradecimentos aos profiss
Page 8 and 9:
CobiT4.1 Tabela de Conteúdo Sumár
Page 10 and 11:
Sumário Executivo Sumário Executi
Page 12 and 13:
Sumário Executivo Essas áreas de
Page 14 and 15:
Modelo CobiT Modelo CobiT
Page 16 and 17:
CobiT4.1 Quem Uma metodologia de go
Page 18 and 19:
CobiT4.1 RECURSOS DE TI A organiza
Page 20 and 21:
CobiT4.1 Uma diretriz pode ser obti
Page 22 and 23:
CobiT4.1 Figura 10 - Fronteiras de
Page 24 and 25:
CobiT4.1 Figura 11 - Possível Nív
Page 26 and 27:
CobiT4.1 Um ponto de referência es
Page 28 and 29:
CobiT4.1 Os objetivos são definido
Page 30 and 31:
CobiT4.1 Figura 20 - Apresentação
Page 32 and 33:
CobiT4.1 Figura 23 - Visão Geral d
Page 34 and 35:
CobiT4.1 Outro modo de visualizar a
Page 36 and 37:
Planejar e Organizar Definir um Pla
Page 38 and 39:
Planejar e Organizar Definir um Pla
Page 40 and 41:
Planejar e Organizar Definir a Arqu
Page 42 and 43:
Planejar e Organizar Definir a Arqu
Page 44 and 45:
Planejar e Organizar Determinar as
Page 46 and 47:
Planejar e Organizar Determinar as
Page 48 and 49:
Planejar e Organizar Definir os Pro
Page 50 and 51:
Page 52 and 53:
Page 54 and 55:
Planejar e Organizar Gerenciar o In
Page 56 and 57:
Planejar e Organizar Gerenciar o In
Page 58 and 59:
Planejar e Organizar Comunicar Meta
Page 60 and 61:
Planejar e Organizar Comunicar Meta
Page 62 and 63:
Planejar e Organizar Gerenciar os R
Page 64 and 65:
Planejar e Organizar Gerenciar os R
Page 66 and 67:
Planejar e Organizar Gerenciar a Qu
Page 68 and 69:
Planejar e Organizar Gerenciar a Qu
Page 70 and 71:
Planejar e Organizar Avaliar e Gere
Page 72 and 73:
Planejar e Organizar Avaliar e Gere
Page 74 and 75:
Planejar e Organizar Gerenciar Proj
Page 76 and 77: Planejar e Organizar Gerenciar Proj
Page 78 and 79: Planejar e Organizar Gerenciar Proj
Page 80 and 81: Adquirir e Implementar AI 1 AI2 AI3
Page 82 and 83: AI1 Adquirir e Implementar Identifi
Page 84 and 85: AI1 Adquirir e Implementar Identifi
Page 86 and 87: AI2 Adquirir e Implementar Adquirir
Page 94 and 95: AI4 Adquirir e Implementar Habilita
Page 96 and 97: AI4 Adquirir e Implementar Habilita
Page 102 and 103: AI6 Adquirir e Implementar Gerencia
Page 104 and 105: AI6 Adquirir e Implementar Gerencia
Page 106 and 107: AI7 Adquirir e Implementar Instalar
Page 108 and 109: AI7 Adquirir e Implementar Instalar
Page 110 and 111: Entregar e Suportar Definir e Geren
Page 112 and 113: Entregar e Suportar Definir e Geren
Page 114 and 115: Entregar e Suportar Gerenciar Servi
Page 116 and 117: Entregar e Suportar Gerenciar Servi
Page 118 and 119: Entregar e Suportar Gerenciar o Des
Page 120 and 121: Entregar e Suportar Gerenciar o Des
Page 122 and 123: Entregar e Suportar Assegurar a Con
Page 124 and 125: Entregar e Suportar Assegurar a Con
Page 128 and 129: Entregar e Suportar Garantir a Segu
Page 130 and 131: Entregar e Suportar Identificar e A
Page 132 and 133: Entregar e Suportar Identificar e A
Page 134 and 135: Entregar e Suportar Educar e Treina
Page 136 and 137: Entregar e Suportar Educar e Treina
Page 138 and 139: Entregar e Suportar Gerenciar a Cen
Page 140 and 141: Entregar e Suportar Gerenciar a Cen
Page 142 and 143: Entregar e Suportar Gerenciar a Con
Page 144 and 145: Entregar e Suportar Gerenciar a Con
Page 146 and 147: Entregar e Suportar Gerenciar Probl
Page 148 and 149: Entregar e Suportar Gerenciar Probl
Page 150 and 151: Entregar e Suportar Gerenciar os Da
Page 152 and 153: Entregar e Suportar Gerenciar os Da
Page 154 and 155: Entregar e Suportar Gerenciar o Amb
Page 156 and 157: Entregar e Suportar Gerenciar o Amb
Page 158 and 159: Entregar e Suportar Gerenciar as Op
Page 160 and 161: Entregar e Suportar Gerenciar as Op
Page 162 and 163: Monitorar e Avaliar ME1 ME2 ME3 ME4
Page 164 and 165: ME1 Monitorar e Avaliar Monitorar e
Page 172 and 173: ME3 Monitorar e Avaliar Assegurar a
Page 174 and 175: ME3 Monitorar e Avaliar Assegurar a
Page 176 and 177:
ME4 Monitorar e Avaliar Prover Gove
Page 178 and 179:
ME4 Monitorar e Avaliar Prover Gove
Page 180 and 181:
Apêndice I Apêndice I - Tabelas R
Page 182 and 183:
Apêndice I Ligando Processo de TI
Page 184 and 185:
Apêndice II Mapeamento Apêndice I
Page 186 and 187:
Apêndice III Modelo de Maturidade
Page 188 and 189:
Apêndice IV Cobit 4.1 Material de
Page 190 and 191:
Apêndice V Referência Cruzada ent
Page 192 and 193:
CobiT 4.1 CobiT 3ª Edição CobiT
Page 194 and 195:
Page 196 and 197:
Page 198 and 199:
Page 200 and 201:
Apêndice VI - Enfoque de Pesquisa
Page 202 and 203:
Apêndice VII Glossário Apêndice
Page 204 and 205:
CobiT 4.1 Controle automatizado de
Page 206 and 207:
CobiT 4.1 OLA - Acordo de nível op
Page 208 and 209:
CobiT 4.1 TI - Tecnologia da inform
Page 210 and 211:
Apêndice VIII - CobiT e Produtos R
Page 212:
3701 Algonquin Road, Suite 1010 Rol
show all

VersÃ£o em PortuguÃªs COBIT 4.1 TraduÃ§Ã£o pelo ISACA - Trainning

Create successful ePaper yourself

Delete template?

Save as template?