COLETÂNEA BITEC2008-2010 - CNI
Share Embed Flag
Download ePaper

COLETÂNEA BITEC2008-2010 - CNI

COLETÂNEA BITEC2008-2010 - CNI COLETÂNEA BITEC2008-2010 - CNI

arquivos.portaldaindustria.com.br
from arquivos.portaldaindustria.com.br More from this publisher
12.07.2015 Views

26 COLETÂNEA BITEC 2008-2010ameaças e as principais vulnerabilidades que podem comprometer os negócios da Gerência de Tecnologiada Faculdade SEAMA. Na segunda parte, após coleta e análise das informações realizadas na Gestãode Risco, que faz parte da primeira parte desde artigo, é desenvolvida uma política básica de segurança,que são documentos dos quais a organização fará uso e servirá como linhas-mestres para segurança dosativos da Gerência de Tecnologia. Na terceira e última parte serão sugeridas ferramentas que poderãoefetuar segurança e gerenciamento dos principais ativos da Gerência de Tecnologia da Faculdade SEAMApermitindo, assim, uma segurança efetiva e funcional.2.2 Objetivo geralFazer a Análise e Avaliação de Risco (AAR) do setor de Tecnologia da Faculdade SEAMA, definir políticasde segurança e sugerir implementação de ferramentas de monitoramento para ativos do setor detecnologia.2.2.1 Objetivos específicosRealizar a Gestão de Risco para identificar os principais ativos, as ameaças, as vulnerabilidades e os riscos,definidos a partir das informações coletadas. Documentos de políticas de segurança básicas que sãodiretrizes, normas, procedimentos e instruções para os ativos da Gerência de Tecnologia, no entanto,cabíveis de acordo com a análise.2.3 MetodologiaGestão de Risco é o processo que identifica os ativos, as ameaças, as vulnerabilidades e os riscos.A coleta de informações da Gestão de Risco foi realizada por meio da Análise e Avaliação de Risco quedefiniu: levantamento dos ativos, levantamento dos riscos, levantamento das ameaças, levantamentodas vulnerabilidades. A coleta de dados ocorreu por meio de entrevistas com funcionários, pesquisa dedocumentos existentes e implementação de ferramentas de monitoramento. Após o levantamento, foimapeado e identificado os principais dados levantados. Foram elaboradas tabelas com a definição dosprincipais ativos, ameaças e vulnerabilidades.Realizado o estudo da Análise e Avaliação de Risco, efetuado a priorização dos riscos, nível de proteções,valor dos ativos, tamanho dos impactos, aplicação das proteções, montagem da Política de Segurançada Informação para a Gerência de Tecnologia da Faculdade SEAMA (GETEC) e sugestões deimplementações e aprimoramento de ferramentas de monitoramento.O produto final foi: 1) o mapeamento dos principais ativos, das ameaças e da vulnerabilidades daGerência de Tecnologia da Faculdade SEAMA; 2) a elaboração de política de segurança mínima paraproteção adequada dos ativos definidos e para gerenciamento e monitoramento das proteções dessesativos; e 3) a sugestão de implementação de ferramentas.2.3.1 Conceitos básicos de segurança da informaçãoDevemos entender primeiramente o conceito de informação, esta nada mais é que o conjunto de dados,esses dados hoje são os responsáveis pela continuidade de negócios de muitas empresas pelo mundoafora. Estão armazenadas em grandes servidores, mídias de backup, estações de trabalho, em documentos

8ª EDIÇÃO 27impressos e, até mesmo, no pensamento das pessoas. Há uma necessidade de criar mecanismos paraproteger essas informações, permitindo a continuidade dos negócios da empresa.A política de segurança surgiu como forma de minimizar os impactos causados por ameaças, evitaros prejuízos, efetuar o tratamento dos riscos 1 e ameaças para que se possa ter um ambiente seguro econfiável, em que os ativos estão protegidos contra determinadas ameaças que comprometem os negóciosda empresa.Para alcançar essas proteções, são adotadas medidas na qual são elaborados documentos organizacionais,definidos como normas, diretrizes, procedimentos e instruções. Entende-se por ativos tudoaquilo que possui de alguma forma valor para uma empresa, as vulnerabilidades são falhas ou ausênciade um mecanismo de defesa e as ameaças exploram as vulnerabilidades, causam incidentes e afetamum dos pilares da segurança da informação.Segundo Anderson Ramos et al. (2007, p. 20-22), as políticas de segurança são formadas por trêsgrandes pilares: disponibilidade, confidencialidade e integridade.A disponibilidade é quando a informação está disponível na hora e quando aquele que desejaracessar necessitar de sua utilização. Quando falamos de confidencialidade, referimo-nos basicamenteem garantir que apenas as pessoas envolvidas podem ter direito em acessar aquela certa informação.Integridade é a informação estar íntegra, ou seja, sem erros, completa, encontrada em seu estado originale sem alterações.2.3.2 Gestão de riscoO processo de Gestão de Risco define-se pela identificação e pelo tratamento dos riscos e cobre todoo ciclo de vida do tratamento de um risco desde sua identificação até sua comunicação com as partesenvolvidas. A gestão de risco é composta de quatro etapas:Análise e avaliação: a etapa de análise e avaliação compreende duas partes, análise de riscos eavaliação dos riscos, em que a esta última cobre dois processos: identificação do risco e estimativa dorisco. A identificação do risco é feita em cima de dados coletados com base nos ativos ou nos boletinsespecializados ou na delimitação dos grupos envolvidos, definido por discussões. A estimativa do riscoé a probabilidade de que o risco tende a ter ameaças envolvidas com uma ou mais vulnerabilidades.Com base nas informações do autor Anderson Ramos et al. (2007, p. 50-53), a seguinte etapa avaliaçãodos riscos efetua a comparação dos riscos e define o tratamento ou o aceitação do risco.Tratamento: o tratamento do risco compreende a segunda etapa e trata de medidas para reduzir osriscos, ela visa trazer os níveis de risco para patamares aceitáveis. Os níveis e os patamares são definidospor meio do critério de risco. As medidas mais comuns para se tratar um risco são: evitar, transferir, reter,reduzir e suavizar.Aceitação: esta acontece quando o nível de proteção não vale mais a pena, ou seja, quando a valorda proteção supera o valor do ativo ou quando os riscos já se encontram em patamares aceitáveis.1 Ameaças concretizadas consequentemente causando impactos nos quais põem em risco os negócios da empresa. O risco é a probabilidadede uma ameaça explorar uma ou várias vulnerabilidades.

8ª EDIÇÃO 27impressos e, até mesmo, no pensamento das pessoas. Há uma necessidade de criar mecanismos paraproteger essas informações, permitindo a continuidade dos negócios da empresa.A política de segurança surgiu como forma de minimizar os impactos causados por ameaças, evitaros prejuízos, efetuar o tratamento dos riscos 1 e ameaças para que se possa ter um ambiente seguro econfiável, em que os ativos estão protegidos contra determinadas ameaças que comprometem os negóciosda empresa.Para alcançar essas proteções, são adotadas medidas na qual são elaborados documentos organizacionais,definidos como normas, diretrizes, procedimentos e instruções. Entende-se por ativos tudoaquilo que possui de alguma forma valor para uma empresa, as vulnerabilidades são falhas ou ausênciade um mecanismo de defesa e as ameaças exploram as vulnerabilidades, causam incidentes e afetamum dos pilares da segurança da informação.Segundo Anderson Ramos et al. (2007, p. 20-22), as políticas de segurança são formadas por trêsgrandes pilares: disponibilidade, confidencialidade e integridade.A disponibilidade é quando a informação está disponível na hora e quando aquele que desejaracessar necessitar de sua utilização. Quando falamos de confidencialidade, referimo-nos basicamenteem garantir que apenas as pessoas envolvidas podem ter direito em acessar aquela certa informação.Integridade é a informação estar íntegra, ou seja, sem erros, completa, encontrada em seu estado originale sem alterações.2.3.2 Gestão de riscoO processo de Gestão de Risco define-se pela identificação e pelo tratamento dos riscos e cobre todoo ciclo de vida do tratamento de um risco desde sua identificação até sua comunicação com as partesenvolvidas. A gestão de risco é composta de quatro etapas:Análise e avaliação: a etapa de análise e avaliação compreende duas partes, análise de riscos eavaliação dos riscos, em que a esta última cobre dois processos: identificação do risco e estimativa dorisco. A identificação do risco é feita em cima de dados coletados com base nos ativos ou nos boletinsespecializados ou na delimitação dos grupos envolvidos, definido por discussões. A estimativa do riscoé a probabilidade de que o risco tende a ter ameaças envolvidas com uma ou mais vulnerabilidades.Com base nas informações do autor Anderson Ramos et al. (2007, p. 50-53), a seguinte etapa avaliaçãodos riscos efetua a comparação dos riscos e define o tratamento ou o aceitação do risco.Tratamento: o tratamento do risco compreende a segunda etapa e trata de medidas para reduzir osriscos, ela visa trazer os níveis de risco para patamares aceitáveis. Os níveis e os patamares são definidospor meio do critério de risco. As medidas mais comuns para se tratar um risco são: evitar, transferir, reter,reduzir e suavizar.Aceitação: esta acontece quando o nível de proteção não vale mais a pena, ou seja, quando a valorda proteção supera o valor do ativo ou quando os riscos já se encontram em patamares aceitáveis.1 Ameaças concretizadas consequentemente causando impactos nos quais põem em risco os negócios da empresa. O risco é a probabilidadede uma ameaça explorar uma ou várias vulnerabilidades.

logo

Produtos

Recursos

Empresas

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!