Sistema da informação

Prévia do material em texto

Sistema da informação
AULA-3
Segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócios. Quando se trata de área de oportunidades de negócio. Relacionado ao RH, observamos q existe uma gama de informação vitais e estratégicas que devem ser protegidas com bastante cuidado e critério. Naturalmente que isso exige um custo e um treinamento especifico.
Característica da informação:
Disponibilidade: garantia de q os usuários autorizados obtenham acesso à informação aos ativos correspondentes sempre que necessário.
Integridade: salvaguarda da exatidão; o conceito está relacionado com o fato de assegurar que os dados não foram modificados por pessoas não autorizadas.
Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso
Autenticidade: garantia de que a informação é autêntica e de fonte fidedigna.
Segurança da informação
Antes de implementar, um programa de segurança da informação no setor de RH, é aconselhável responder as seguintes perguntas:
Oq se qr proteger?
Contra q ou quem?
Quais as ameaças mais prováveis?
Qual a importância de casa recurso?
Qual o grau de proteção desejado?
Quanto tempo, recursos financeiros e humanos se pretendem gastar para atingir os objetivos de segurança desejada?
Quais as consequências para a instituição se seus sistemas e informações forem corrompidos ou roubados?
Fatores críticos de sucesso
Um enfoque para a implementação da segurança que seja consistente com a cultura organizacional;
Comprometimento e apoio visível da direção
Um bom entendimento dos requisitos de segurança, avaliação de riscos e gerenciamento de risco;
Divulgação eficiente da segurança para todos os gestores e funcionários;
Distribuição das diretrizes sobre as normas e política de segurança da informação para todos os funcionários e fornecedores;
Um abrangente balanceado sistema de medição q é usado para avaliar o desempenho da gestão de segurança da informação e obtenção de sugestões para a melhoria.
PCN
O sonho de todo empresário é bem parecido com o de qualquer chefe de família: grande ou pequena, a empresa ou a família, ninguém deseja ficar descoberto em situações desfavoráveis.. assim é com o Plano de Continuidade de Negócios (PCN), um novo conceito em segurança...
Trata-se do: E aí? E agora? O que vamos fazer?
Quando ocorrem situações desagradáveis que interrompam o ciclo natural dos acontecimentos destes ou daquele negócio, ou que influam na vida profissional ou pessoal dos envolvidos direta ou indiretamente com evento, as coisas tomam um rumo descontrolado totalmente absurdo!
Sofrer um sinistro, são incêndio roubo, arrombamento e etc.
O que é PCN?
São diversos procedimentos e providências a serem realizados, no âmbito preventivo ou corretivo, os quais são previamente planejados e tem como objetivo assegurar a continuidade dos negócios da empresa, diante de algum evento/ desastre inesperado que comprometa os Processos de Negócios por interromper as atividades do Componente que suporta.
O PCN é um conjunto sistematizado de análise planejamento e operações que garantem autonomia e a continuidade de seus negócios em ambiente em colapso. (lidar com situações diversas sem atrapalhar o andamento do serviço)
Como funciona?
Com o atendimento aos requisitos básicos para certificação de acordo com a British Standard 7799 e a ISSO/IEC 17799, os dirigentes de empresas que possuem um PCN têm a tranquilidade de estarem preparados para operar mesmo em situações de extrema adversidade.
Ninguém, nem os maiores especialistas mundiais no assunto, desejam que ele seja aplicado mas, em caso de necessidade, como um bom planejamento deve ser executado com maestria, trazendo os negócios ao seu prumo natural, rapidamente e com menor custo possível.
Desenvolver um PCN numa empresa é mais ou menos assim:
Efetua-se uma avaliação preliminar do ambiente da empresa, visando estabelecer adequado conhecimento das ameaças que possam afetar o negócio. Estudam-se leis, normas, regionalidade, existência de particularidades naturais ( chuva, tempestade e etc), humanas ( característica financeira, nível de criminalidade), possibilidade de acidentes físicos ( a empresa encontra-se em avenidas de alta velocidade e nela trafegam caminhões pesados?) e características tecnológicas que envolvam o negócio ( trata-se de uma empresa com site de comercialização de produtos pela internet?). Essas considerações serão utilizadas no decorrer do projeto peara determinação dos pontos de importância de criticidade e avaliação de risco.
Plano de contingência ou Disaster Recorver
Este plano contempla a contingência e recuperação prevenção de acidentes, backup, recuperação de dados, seguros e tipo de contingência que a organização deverá adotar.
Serve para fazer cópia de segurança e testas se elas podem ser restauradas.
Prevenção de Acidentes
Extintor
Manutenção preventiva de equipamentos
Politicas de backup, armazenamento e recuperação de sistemas computacionais e dados;
Controle de acesso ao prédio e sistemas de alarme para detecção de intrusos;
Proteção aos documentos não magnéticos (papéis, microfilmes)
Política de pessoal adequada
Campanha de conscientização dos funcionários quanto à segurança de recursos materiais e informações.
Treinamento
Depois disso tudo, é só criar uma rotina de treinamento constante para que as pessoas responsam adequadamente ao Plano, não precisando conhece-lo no momento que terão que utilizá-lo. Parece complicado! Mas é até intuitivo. Seguindo uma metodologia adequada, chega-se certamente ao produto final desejado, um plano que efetivamente atinja às expectativas de minimização de perdas frente ao desconhecido.
TESTE
Os testes podem ser feitos em um conjunto predefinido de procedimentos de uma parte do plano ou utilizando o elemento surpresa de simulação de acidentes. Esse teste representa a garantia para a organização.
ATUALIZAÇÃO DO PLANO
Um plano como este terá pouca ou nenhuma utilidade se for colocado em uma gaveta e nunca for testado ou utilizado. A maioria dos sistemas e funções de negócios muda com frequência, assim com seus procedimentos. Até as mudanças administrativas e computacionais acontecem, como a fusão de empresas e a migração de sistemas de grande porte.