COLETÃNEA BITEC2008-2010 - CNI
COLETÃNEA BITEC2008-2010 - CNI COLETÃNEA BITEC2008-2010 - CNI
26 COLETÂNEA BITEC 2008-2010ameaças e as principais vulnerabilidades que podem comprometer os negócios da Gerência de Tecnologiada Faculdade SEAMA. Na segunda parte, após coleta e análise das informações realizadas na Gestãode Risco, que faz parte da primeira parte desde artigo, é desenvolvida uma política básica de segurança,que são documentos dos quais a organização fará uso e servirá como linhas-mestres para segurança dosativos da Gerência de Tecnologia. Na terceira e última parte serão sugeridas ferramentas que poderãoefetuar segurança e gerenciamento dos principais ativos da Gerência de Tecnologia da Faculdade SEAMApermitindo, assim, uma segurança efetiva e funcional.2.2 Objetivo geralFazer a Análise e Avaliação de Risco (AAR) do setor de Tecnologia da Faculdade SEAMA, definir políticasde segurança e sugerir implementação de ferramentas de monitoramento para ativos do setor detecnologia.2.2.1 Objetivos específicosRealizar a Gestão de Risco para identificar os principais ativos, as ameaças, as vulnerabilidades e os riscos,definidos a partir das informações coletadas. Documentos de políticas de segurança básicas que sãodiretrizes, normas, procedimentos e instruções para os ativos da Gerência de Tecnologia, no entanto,cabíveis de acordo com a análise.2.3 MetodologiaGestão de Risco é o processo que identifica os ativos, as ameaças, as vulnerabilidades e os riscos.A coleta de informações da Gestão de Risco foi realizada por meio da Análise e Avaliação de Risco quedefiniu: levantamento dos ativos, levantamento dos riscos, levantamento das ameaças, levantamentodas vulnerabilidades. A coleta de dados ocorreu por meio de entrevistas com funcionários, pesquisa dedocumentos existentes e implementação de ferramentas de monitoramento. Após o levantamento, foimapeado e identificado os principais dados levantados. Foram elaboradas tabelas com a definição dosprincipais ativos, ameaças e vulnerabilidades.Realizado o estudo da Análise e Avaliação de Risco, efetuado a priorização dos riscos, nível de proteções,valor dos ativos, tamanho dos impactos, aplicação das proteções, montagem da Política de Segurançada Informação para a Gerência de Tecnologia da Faculdade SEAMA (GETEC) e sugestões deimplementações e aprimoramento de ferramentas de monitoramento.O produto final foi: 1) o mapeamento dos principais ativos, das ameaças e da vulnerabilidades daGerência de Tecnologia da Faculdade SEAMA; 2) a elaboração de política de segurança mínima paraproteção adequada dos ativos definidos e para gerenciamento e monitoramento das proteções dessesativos; e 3) a sugestão de implementação de ferramentas.2.3.1 Conceitos básicos de segurança da informaçãoDevemos entender primeiramente o conceito de informação, esta nada mais é que o conjunto de dados,esses dados hoje são os responsáveis pela continuidade de negócios de muitas empresas pelo mundoafora. Estão armazenadas em grandes servidores, mídias de backup, estações de trabalho, em documentos
8ª EDIÇÃO 27impressos e, até mesmo, no pensamento das pessoas. Há uma necessidade de criar mecanismos paraproteger essas informações, permitindo a continuidade dos negócios da empresa.A política de segurança surgiu como forma de minimizar os impactos causados por ameaças, evitaros prejuízos, efetuar o tratamento dos riscos 1 e ameaças para que se possa ter um ambiente seguro econfiável, em que os ativos estão protegidos contra determinadas ameaças que comprometem os negóciosda empresa.Para alcançar essas proteções, são adotadas medidas na qual são elaborados documentos organizacionais,definidos como normas, diretrizes, procedimentos e instruções. Entende-se por ativos tudoaquilo que possui de alguma forma valor para uma empresa, as vulnerabilidades são falhas ou ausênciade um mecanismo de defesa e as ameaças exploram as vulnerabilidades, causam incidentes e afetamum dos pilares da segurança da informação.Segundo Anderson Ramos et al. (2007, p. 20-22), as políticas de segurança são formadas por trêsgrandes pilares: disponibilidade, confidencialidade e integridade.A disponibilidade é quando a informação está disponível na hora e quando aquele que desejaracessar necessitar de sua utilização. Quando falamos de confidencialidade, referimo-nos basicamenteem garantir que apenas as pessoas envolvidas podem ter direito em acessar aquela certa informação.Integridade é a informação estar íntegra, ou seja, sem erros, completa, encontrada em seu estado originale sem alterações.2.3.2 Gestão de riscoO processo de Gestão de Risco define-se pela identificação e pelo tratamento dos riscos e cobre todoo ciclo de vida do tratamento de um risco desde sua identificação até sua comunicação com as partesenvolvidas. A gestão de risco é composta de quatro etapas:Análise e avaliação: a etapa de análise e avaliação compreende duas partes, análise de riscos eavaliação dos riscos, em que a esta última cobre dois processos: identificação do risco e estimativa dorisco. A identificação do risco é feita em cima de dados coletados com base nos ativos ou nos boletinsespecializados ou na delimitação dos grupos envolvidos, definido por discussões. A estimativa do riscoé a probabilidade de que o risco tende a ter ameaças envolvidas com uma ou mais vulnerabilidades.Com base nas informações do autor Anderson Ramos et al. (2007, p. 50-53), a seguinte etapa avaliaçãodos riscos efetua a comparação dos riscos e define o tratamento ou o aceitação do risco.Tratamento: o tratamento do risco compreende a segunda etapa e trata de medidas para reduzir osriscos, ela visa trazer os níveis de risco para patamares aceitáveis. Os níveis e os patamares são definidospor meio do critério de risco. As medidas mais comuns para se tratar um risco são: evitar, transferir, reter,reduzir e suavizar.Aceitação: esta acontece quando o nível de proteção não vale mais a pena, ou seja, quando a valorda proteção supera o valor do ativo ou quando os riscos já se encontram em patamares aceitáveis.1 Ameaças concretizadas consequentemente causando impactos nos quais põem em risco os negócios da empresa. O risco é a probabilidadede uma ameaça explorar uma ou várias vulnerabilidades.
- Page 1 and 2: COLETÂNEA BITEC 2008-2010
- Page 3 and 4: Confederação Nacional da Indústr
- Page 5 and 6: SumárioAPRESENTAÇÃO IELAPRESENTA
- Page 7: Apresentação IELFomentar a intera
- Page 11: Prefácio SEBRAECom o intuito de pr
- Page 15 and 16: 8ª EDIÇÃO 151 IEL/AL - IMPLEMENT
- Page 17 and 18: 8ª EDIÇÃO 171.2 MetodologiaPara
- Page 19 and 20: 8ª EDIÇÃO 19Restos de queijos im
- Page 21 and 22: 8ª EDIÇÃO 21O laticínio utiliza
- Page 23: 8ª EDIÇÃO 231.4 ConclusãoA part
- Page 28 and 29: 28 COLETÂNEA BITEC 2008-2010Comuni
- Page 30 and 31: 30 COLETÂNEA BITEC 2008-2010Ativos
- Page 32 and 33: 32 COLETÂNEA BITEC 2008-2010ativos
- Page 34 and 35: 34 COLETÂNEA BITEC 2008-2010TÍTUL
- Page 36 and 37: 36 COLETÂNEA BITEC 2008-2010CAPÍT
- Page 38 and 39: 38 COLETÂNEA BITEC 2008-2010Portan
- Page 40 and 41: 40 COLETÂNEA BITEC 2008-2010Contin
- Page 42 and 43: 42 COLETÂNEA BITEC 2008-2010Tabela
- Page 44 and 45: 44 COLETÂNEA BITEC 2008-2010Contin
- Page 46 and 47: 46 COLETÂNEA BITEC 2008-2010Contin
- Page 48 and 49: 48 COLETÂNEA BITEC 2008-2010O uso
- Page 50 and 51: 50 COLETÂNEA BITEC 2008-2010A flor
- Page 52 and 53: 52 COLETÂNEA BITEC 2008-2010tos, c
- Page 54 and 55: 54 COLETÂNEA BITEC 2008-2010Figura
- Page 56 and 57: 56 COLETÂNEA BITEC 2008-2010Tabela
- Page 58 and 59: 58 COLETÂNEA BITEC 2008-2010BORGES
- Page 60 and 61: 60 COLETÂNEA BITEC 2008-2010TEIXEI
- Page 62 and 63: 62 COLETÂNEA BITEC 2008-2010Figura
- Page 64 and 65: 64 COLETÂNEA BITEC 2008-2010A impo
- Page 66 and 67: 66 COLETÂNEA BITEC 2008-20104.2.2
- Page 68 and 69: 68 COLETÂNEA BITEC 2008-2010Dessa
- Page 70 and 71: 70 COLETÂNEA BITEC 2008-20104.7.2.
- Page 72 and 73: 72 COLETÂNEA BITEC 2008-20104.9 Mo
- Page 75 and 76: 8ª EDIÇÃO 755 IEL/BA - ANÁLISE
8ª EDIÇÃO 27impressos e, até mesmo, no pensamento das pessoas. Há uma necessidade de criar mecanismos paraproteger essas informações, permitindo a continuidade dos negócios da empresa.A política de segurança surgiu como forma de minimizar os impactos causados por ameaças, evitaros prejuízos, efetuar o tratamento dos riscos 1 e ameaças para que se possa ter um ambiente seguro econfiável, em que os ativos estão protegidos contra determinadas ameaças que comprometem os negóciosda empresa.Para alcançar essas proteções, são adotadas medidas na qual são elaborados documentos organizacionais,definidos como normas, diretrizes, procedimentos e instruções. Entende-se por ativos tudoaquilo que possui de alguma forma valor para uma empresa, as vulnerabilidades são falhas ou ausênciade um mecanismo de defesa e as ameaças exploram as vulnerabilidades, causam incidentes e afetamum dos pilares da segurança da informação.Segundo Anderson Ramos et al. (2007, p. 20-22), as políticas de segurança são formadas por trêsgrandes pilares: disponibilidade, confidencialidade e integridade.A disponibilidade é quando a informação está disponível na hora e quando aquele que desejaracessar necessitar de sua utilização. Quando falamos de confidencialidade, referimo-nos basicamenteem garantir que apenas as pessoas envolvidas podem ter direito em acessar aquela certa informação.Integridade é a informação estar íntegra, ou seja, sem erros, completa, encontrada em seu estado originale sem alterações.2.3.2 Gestão de riscoO processo de Gestão de Risco define-se pela identificação e pelo tratamento dos riscos e cobre todoo ciclo de vida do tratamento de um risco desde sua identificação até sua comunicação com as partesenvolvidas. A gestão de risco é composta de quatro etapas:Análise e avaliação: a etapa de análise e avaliação compreende duas partes, análise de riscos eavaliação dos riscos, em que a esta última cobre dois processos: identificação do risco e estimativa dorisco. A identificação do risco é feita em cima de dados coletados com base nos ativos ou nos boletinsespecializados ou na delimitação dos grupos envolvidos, definido por discussões. A estimativa do riscoé a probabilidade de que o risco tende a ter ameaças envolvidas com uma ou mais vulnerabilidades.Com base nas informações do autor Anderson Ramos et al. (2007, p. 50-53), a seguinte etapa avaliaçãodos riscos efetua a comparação dos riscos e define o tratamento ou o aceitação do risco.Tratamento: o tratamento do risco compreende a segunda etapa e trata de medidas para reduzir osriscos, ela visa trazer os níveis de risco para patamares aceitáveis. Os níveis e os patamares são definidospor meio do critério de risco. As medidas mais comuns para se tratar um risco são: evitar, transferir, reter,reduzir e suavizar.Aceitação: esta acontece quando o nível de proteção não vale mais a pena, ou seja, quando a valorda proteção supera o valor do ativo ou quando os riscos já se encontram em patamares aceitáveis.1 Ameaças concretizadas consequentemente causando impactos nos quais põem em risco os negócios da empresa. O risco é a probabilidadede uma ameaça explorar uma ou várias vulnerabilidades.