Aula_06

Aula_06


DisciplinaAuditoria de Sistemas2.731 materiais11.319 seguidores
Pré-visualização4 páginas
de Sistemas - Aula 06
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
05
Elaboração da proposta da política
Eliminar o risco, se possível
Reduzir o risco a um nível aceitável
Limitar o dano, reduzindo o impacto
Compensar o dano, por meio de seguros
Desenvolver estratégias
21
22
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
06
Discussão com os envolvidos
Após termos o rascunho da política de segurança pronto, discutimos com o time de segurança e as pessoas que trabalham com os recursos (gerente das áreas de Sistemas, Recursos Humanos, Recepção e Expedição, Portaria, etc)
22
23
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
07
Elaboração da proposta da política
Eliminar o risco, se possível
Reduzir o risco a um nível aceitável
Limitar o dano, reduzindo o impacto
Compensar o dano, por meio de seguros
Desenvolver estratégias
USUÁRIO
REDE
APLICATIVO(R/O\u2013 R/W)
SE-NHA
SE-NHA
23
24
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
08
Aprovação
A gerencia superior (diretoria executiva) aprova a política já que o comprometimento da direção é fundamental para o cumprimento da mesma
24
25
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
09
Divulgação e implementação
Na divulgação e implementação devemos fazer um treinamento com todos os colaboradores e pessoas que seriam afetadas pela política. 
Campanha do banco quando define que seus clientes deverão ter senha de acesso à sua conta-corrente, a partir de uma determinada data
25
26
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
10
Avaliação da política e identificação das mudanças necessárias
Nesta fase, cujo período pode variar de 6 meses a um ano, as pessoas podem reportar como estão sendo os resultados da política. Se está sendo fácil de usar, se dificultou o processo operacional da empresa, etc. Qualquer alteração será estudada e se necessária, implementada com a devida divulgação
26
27
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
11
Revisão e implementação definitiva
Após revisão, a política é implementada em definitivo. Ela representa os valores e credo da empresa, não devendo, portanto, ser alterada. 
 
A política de segurança diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação nela. Isto fica por conta dos procedimentos, que representam o como uma política será implementada.
27
28
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Para melhor controle administrativo, devemos classificar as políticas em subgrupos inter-relacionados. Por exemplo, para políticas de segurança, teríamos subgrupos de políticas de backup, políticas de senhas, políticas de acesso, políticas de instalação de equipamentos, etc.
Caso o modo de operar seja alterado, a política fica intacta e só mudamos os procedimentos
28
29
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
CUIDANDO DO COMPORTAMENTO DE TODOS
Introdução
Processo de implantação de uma Política de Segurança da Informação
O que fazer em casos de violação da Política de Segurança da Informação
Descrição de cargos na área de Informática
30
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
O QUE FAZER EM CASOS DE VIOLAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Como nem sempre é fácil detectar uma violação da política de segurança, os procedimentos de segurança devem ser implementados de tal forma a minimizar a possibilidade de ocorrência de violação sem que essa seja detectada.
30
31
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
O QUE FAZER EM CASOS DE VIOLAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Negligência?
Acidente ou Erro?
Desconhecimento PSI?
Ação deliberada?
INVESTIGAR
Circunstâncias da violação 
e 
Razões do ocorrido
31
32
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
O QUE FAZER EM CASOS DE VIOLAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
É recomendável que a política de segurança mostre o que fazer em cada tipo de violação, de acordo com sua severidade, visando ações corretivas sobre as vulnerabilidades atingidas e a punição dos infratores, se for o caso. 
32
33
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
O QUE FAZER EM CASOS DE VIOLAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Dependendo do tipo de violação e de quem a cometeu, a punição pode variar desde uma advertência verbal, à demissão por justa causa ou até mesmo um processo judicial.
33
34
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
O QUE FAZER EM CASOS DE VIOLAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
O programa de treinamento em segurança deve fazer parte do programa de formação de novos colaboradores e de reciclagem de colaboradores antigos, utilizando meios distintos para atingir seu público (aulas, boletins informativos, vídeos, etc).
34
35
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
CUIDANDO DO COMPORTAMENTO DE TODOS
Introdução
Processo de implantação de uma Política de Segurança da Informação
O que fazer em casos de violação da Política de Segurança da Informação
Descrição de cargos na área de Informática
36
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
DESCRIÇÃO DE CARGOS NA ÁREA DE INFORMÁTICA
As descrições de cargos e funções possibilitam uma implementação consistente de controles organizacionais na área de Tecnologia da Informação.
36
37
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
DESCRIÇÃO DE CARGOS NA ÁREA DE INFORMÁTICA
Supervisão da infraestrutura de TI
Atuar junto a gerencia de tecnologia da informação, definindo e propondo metas e soluções;
Planejar e avaliar a capacidade da estrutura existente, indicando melhorias;
Definir e buscar recursos para o ambiente;
Coordenar ações para projetos e metas da área;
Garantir o perfeito funcionamento do ambiente de informática através de equipes técnicas.
37
38
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
DESCRIÇÃO DE CARGOS NA ÁREA DE INFORMÁTICA
Administração de redes . . . 
Administrar, supervisionar e acompanhar as facilidades das instalações de rede;
Instalar, administrar e fornecer suporte aos diversos servidores da empresa;
Administrar de forma adequada as contas de usuários e devidas permissões de acesso às informações;
Monitorar o desempenho da rede e solucionar possíveis problemas de desempenho e falhas de conectividade;
38
39
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
DESCRIÇÃO DE CARGOS NA ÁREA DE INFORMÁTICA
Administração de redes . . .
Traçar as diretrizes para o perfeito funcionamento da rede (servidores, equipamentos ativos e estações de trabalho, etc.) e administrar os serviços que venham a ser contratados para as áreas de rede;
Auxiliar no planejamento, implementação e acompanhamento de novos projetos de rede;
Adotar as ações necessárias à implantação de novas tecnologias, aprovadas pela gerência de TI;
39
40
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
DESCRIÇÃO DE CARGOS NA ÁREA DE INFORMÁTICA
Administração de redes
Manter toda a infraestrutura de rede, servidores, sistemas operacionais e dispositivos de conexão em perfeito funcionamento e atualizados;
Supervisionar manutenção preventiva e corretiva, realizadas por terceiros, nos componentes de rede.
40
41
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 06
DESCRIÇÃO DE CARGOS NA ÁREA DE INFORMÁTICA
Administração