Baixe o app para aproveitar ainda mais
Prévia do material em texto
POLITICA DE SEGURANÇA DA INFORMAÇÃO 1Professor MSc Rogério Alves INTRODUÇÃO A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). A informação é elemento essencial para todos os processos de negocio da organização, ela é um ativo de grande valor” (CAMPOS, 2007) . A informação agrega valor ao negócio, tem natureza estratégica e permite que empresas se diferenciem de outras pela competitividade. Em síntese quem tem informação tem poder!!!!! A INFORMAÇÃO • Segundo a ISO/IEC 27002:2005(2005), a informação é um conjunto de dados que representa um ponto de vista, um dado processado é o que gera uma informação. • Ainda segundo a ISO/IEC 27002:2005, a informação é um ativo que, como qualquer outro ativo é importante, é essencial para os negócios de uma organização, e deve ser adequadamente protegida. • De fato, com o aumento da concorrência de mercado, tornou-se vital melhorar a capacidade de decisão em todos os níveis. INTRODUÇÃO A informação é o ativo mais valioso das empresas/organizações, o que a faz um alvo de uma série de ameaças com a finalidade de explorar as vulnerabilidades e causar prejuízos consideráveis. ATENÇÃO! A informação deve ser protegida(SEMPRE); Para isso é necessário a implementação de políticas de se segurança da informação que busquem reduzir as chances de fraudes ou perda de informações. Desafios relacionados a segurança da informação • Evitar vazamento de informações confidenciais: Ex: Caso de Edward Snowden, que revelou espionagem dos EUA, Wikleaks etc; • Manter a segurança dos dados de clientes; Ex: Evitar fraudes diversas, cartões de crédito; • Proteger a propriedade intelectual da empresa; Ex – evitar espionagem industrial • Prover Disponibilidade de serviços essenciais A segurança da informação pode ser definida como um conjunto de ações que são executadas com a finalidade de prover segurança às informações de indivíduos e organizações (CONCEIÇÃO, 2014). Segurança da Informação Atributos básicos de Segurança da Informação Autenticidade: A autenticidade é um atributo que visa estabelecer a origem da informação, buscando verificar a identidade de um usuário (CONCEIÇÃO, 2014). Assim, objetiva-se garantir que o usuário ou serviço é realmente quem diz ser e que tem os privilégios necessários para acessar e ou enviar uma determinada informação; Integridade: A integridade é aquela que se preocupa em evitar ou em detectar a modificação não autorizada de informações ou mensagens; Confidencialidade: preocupa-se com a proteção contra acessos não autorizados de dados e informações. Esse atributo procura proteger o conteúdo de uma mensagem ou informação para que ele não possa ser visualizado no momento da transmissão, exceto por serviços autorizados a visualizá-los (BERTINO et al., 2010); Disponibilidade: a disponibilidade está preocupada com a garantia de que os serviços de informação permaneçam acessíveis somente a usuários autorizados. Em outras palavras, esse atributo busca garantir que a informação, recurso estará disponível quando solicitada (CONCEIÇÃO, 2014). Tipos de Segurança da Informação SEGURANÇA FÍSICA • Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, algo que possa danificar a parte física da segurança, acesso indevido de estranhos (controle de acesso), forma inadequada de tratamento e manuseio do veículo. • O objetivo é prevenir o acesso físico não autorizado. Convém que sejam utilizados perímetros de segurança para proteger as áreas que contenham informações e instalações de processamento da informação, segundo a ISO/IEC 27002:2005(2005). Pode-se obter proteção física criando uma ou mais barreiras ao redor das instalações e dos recursos de processamento da informação, tais como, leitores biométricos, portas de acesso com cartões magnéticos, portões elétricos, colocando vigias em local de acesso restrito. • Controlar o acesso de quem entra e sai das instalações é um aspecto importante na segurança física. • Não basta ter um guarda na entrada identificando os visitantes. É fundamental ter a certeza, por exemplo, de que os visitantes não levem materiais ou equipamentos da empresa. • Políticas de Backups: O processo de backup envolve segurança física e lógica – física: armazenamento das mídias https://pt.wikipedia.org/wiki/Controle_de_acesso SEGURANÇA FÍSICA • Apesar de todos os cuidados em se definir os perímetros de segurança, essa ação não produzira resultados positivos se os colaboradores não estiverem sintonizados com a cultura de segurança da informação. • Essa cultura deve estar pulverizada em toda a organização e especialmente consolidada dentro das áreas críticas de segurança. • A informação pertinente ao trabalho dentro dessas áreas deve estar restrita a própria área e somente durante a execução das atividades em que ela se torna necessária. • A NBR ISO/IEC 27002 (2005) recomenda que seja feito um projeto para a implementação de áreas de segurança com salas fechadas e com vários ambientes seguros de ameaças como fogo, vazamento de água, poeira, fumaça, vibrações, desastres naturais, e manifestações. Os locais escolhidos para a instalação dos equipamentos devem estar em boas condições de uso, com boas instalações elétricas, saídas de emergência, alarme contra incêndio, devem conter extintores de incêndios, entre outros aspectos que devem ser levados em consideração Tipos de Segurança da Informação SEGURANÇA FÍSICA A norma NBR ISO/IEC 17799:2001 divide a área de segurança física da seguinte forma: • Áreas de segurança (Prevenir acesso n ã o autorizado, dano e interfer ê ncia às informações e instalações físicas da organização.) • perímetro da segurança física • controles de entrada física • segurança em escritórios, salas e instalações de processamento • trabalhando em áreas de segurança • isolamento das áreas de expedição e carga • Segurança dos equipamentos (Prevenir perda, dano ou comprometimento dos ativos, e a interrupção das atividades do negócio) • instalação e proteção de equipamentos • fornecimento de energia • segurança do cabeamento • manutenção de equipamentos • segurança de equipamentos fora das instalações • reutilização e alienação segura de equipamentos • Controles gerais (Evitar exposição ou roubo de informação e de recursos de processamento da informação.) • política de mesa limpa e tela limpa • remoção de propriedade Tipos de Segurança da Informação Tipos de Segurança da Informação SEGURANÇA LÓGICA ▪ Autenticação ▪ Senhas ▪ Biometria ▪ Cartões de Acesso com RFID ▪ Antivírus ▪ Backups : O processo de backup envolve segurança física e lógica – lógica: software de backup; ▪ Políticas de Senhas ▪ Criptografia (Simétrica ou Assimétrica), Assinatura digitais, Certificados Digitais ▪ Ferramentas de: ▪ Bloqueio de acesso ▪ Firewall ▪ Detecção de invasões - IPS ▪ Detecção de Vulnerabilidades ▪ VPN (Virtual Private Networks) É uma rede privada construída sobre a infra- estrutura de uma rede pública, normalmente a Internet. Política de Segurança da Informação (PSI) • A Segurança da Informação deve ser definida por meio de políticas claras e sólidas acerca da proteção das informações. • A PSI deve ser compreendida como a tradução das expectativas da empresa em relação a segurança considerando o alinhamento com os seus objetivos de negócio, estratégias e cultura. Política de Segurança da Informação (PSI) • A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. • A propor uma PSI, a organização define suas estratégias e abordagens para a preservação de seus ativos. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ▪ Aborda os princípios: integridade, confidencialidadee disponibilidade da informação. ▪ Propósitos: informar aos usuários suas responsabilidades com relação à proteção da tecnologia e ao acesso à informação e oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e de redes. ▪ A norma ISO/IEC 27002 descreve as três fontes principais de requisitos de segurança da informação: ▪ Análise dos princípios, objetivos e requisitos dos serviços prestados. ▪ Legislação vigente, estatutos e regulamentos. ▪ Análise de riscos, ameaças e vulnerabilidades. http://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/ Política de Segurança da Informação (PSI) • Para se elaborar uma Política de Segurança da Informação, deve se levar em consideração a NBR ISO/IEC 27001:2005; • NBR ISO/IEC 27001:2005 é uma norma de códigos de práticas para a gestão de segurança da informação, onde podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. http://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/ POLÍTICA DE SEGURANÇA DA INFORMAÇÃO • Para Dantas (2001), pode-se definir a política de segurança como um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. • Ela é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação. • Sem regras pré-estabelecidas, ela torna-se inconsistentes e vulnerabilidades podem surgir. A política tende a estabelecer regras e normas de conduta com o objetivo de diminuir a probabilidade da ocorrência de incidentes que provoquem, por, exemplo a indisponibilidade do serviço, furto ou até mesmo a perda de informações. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO • As políticas de segurança geralmente são construídas a partir das necessidades do negócio e eventualmente aperfeiçoadas pele experiência do gestor. • O intervalo médio utilizado para a revisão da política é de seis meses ou um ano, porém, deve ser realizada uma revisão sempre que forem identificados fatos novos, não previstos na versão atual que possam ter impacto na segurança das informações da organização.(FREITAS e ARAUJO, 2008). • Segundo a NBR ISO/IEC27002(2005), é recomendado que a política de segurança da informação seja revisada periodicamente e de forma planejada ou quando ocorrerem mudanças significativas, para assegurar a sua continua pertinência, adequação e eficácia POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Segundo Fontes (2008), a principal razão em classificar as informações, é de que elas não possuem os mesmo grau de confidencialidade, ou então as pessoas podem ter interpretações diferentes sobre o nível de confidencialidade da informação. Além da análise de requisitos, é recomendável também que gerentes/supervisores de cada área estabeleçam critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área, classificando as informações de acordo com a lista abaixo: • pública; • interna; • confidencial e • restrita. CLASSIFICANDO AS INFORMAÇÕES http://www.profissionaisti.com.br/2013/02/a-importancia-dos-requisitos-nao-funcionais/ CLASSIFICANDO AS INFORMAÇÕES • Pública: É uma informação da organização ou de seus clientes com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. É destinada ao público externo ou ocorre devido ao cumprimento de legislação vigente que exija publicidade da mesma. • Interna: É uma informação da organização que ela não tem interesse em divulgar, onde o acesso por parte de indivíduos externos à empresa deve ser evitado. Caso esta informação seja acessada indevidamente, poderá causar danos à imagem da Organização, porém, não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por todos os empregados e prestadores de serviços. • Confidencial: É uma informação crítica para os negócios da organização ou de seus clientes. A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, civis e criminais à organização, empresa ou aos seus clientes. É sempre restrita a um grupo específico de pessoas, podendo ser este composto por empregados, clientes e/ou fornecedores. • Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. PORQUE CLASSIFICAR AS INFORMAÇÕES • Para um simples operário de uma empresa um relatório contendo o seu balanço anual pode não significar nada, já para o pessoal do financeiro e a alta direção é uma informação de suma importância, e que deve ser bem guardada. • Para poder classificar uma informação, é importante saber quais as consequências que ela trará para a organização caso seja divulgada, alterada ou eliminada sem autorização. • Somente através da interação com as pessoas diretamente responsáveis pela informação da empresa será possível estabelecer estas consequências e criar graus apropriados de classificação. • Antes de se iniciar o processo de classificação, é necessário conhecer o processo de negócio da organização, compreender as atividades realizadas e, a partir disso, iniciar as respectivas classificações. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO O que faz uma boa política de segurança? As características de uma boa política de segurança são: • Ela deve ser implementável através de procedimentos de administração, publicação das regras de uso aceitáveis, ou outros métodos apropriados. • Ela deve ser exigida com ferramentas de segurança, onde apropriado, e com sanções onde a prevenção efetiva não seja tecnicamente possível. • Ela deve definir claramente as áreas de responsabilidade para os usuários, administradores e gerentes. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A IMPORTANCIA DENTRO DE UMA ORGANIZAÇÃO • Atualmente, a PSI é adotada em grande parte das organizações em todo o mundo, inclusive no Brasil. Mesmo aquelas empresas que ainda não tem uma política efetiva, reconhecem a necessidade de elaborar e implementar uma (CAMPOS, 2007). • A política de segurança da informação deve estabelecer como será efetuado o acesso as informações de todas as formas possíveis, seja ela internamente ou externamente, e quais os tipos de mídias poderão transportar e ter acesso a esta informação. • A política deve especificar os mecanismos através dos quais estes requisitos podem ser alocados. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - Quem são os responsáveis por elaborar a PSI? É recomendável que na estrutura da organização exista uma área responsável pela segurança de informações, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar funções de segurança. Vale salientar, entretanto, que pessoas de áreas críticas da organização devem participar do processo de elaboração da PSI, como a alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto dirigente da organização. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Que assuntos devem ser abordados na PSI? A política de segurança de informações deve extrapolar o escopo abrangido pelas áreas de sistemas de informação e pelos recursos computacionais. Ela não deve ficar restrita à área de informática. Ao contrário, ela deve estar integrada à visão, à missão, aonegócio e às metas institucionais, bem como ao plano estratégico de informática e às políticas da organização concernentes à segurança em geral. O conteúdo da PSI varia, de organização para organização, em função de seu estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, necessidades requeridas, requisitos de segurança, entre outros aspectos. No entanto, é comum a presença de alguns tópicos na PSI, tais como: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Que assuntos devem ser abordados na PSI? No entanto, é comum a presença de alguns tópicos na PSI, tais como: • Definição de segurança de informações e de sua importância como mecanismo que possibilita o compartilhamento de informações; • Declaração do comprometimento da alta administração com a PSI, apoiando suas metas e princípios; • Objetivos de segurança da organização; • Definição de responsabilidades gerais na gestão de segurança de informações; • Orientações sobre análise e gerência de riscos; • Princípios de conformidade dos sistemas computacionais com a PSI; • Padrões mínimos de qualidade que esses sistemas devem possuir; POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Que assuntos devem ser abordados na PSI? • Políticas de controle de acesso a recursos e sistemas computacionais; • Classificação das informações (de uso irrestrito, interno, confidencial e secretas); • Procedimentos de prevenção e detecção de vírus; • Princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais); • Princípios de supervisão constante das tentativas de violação da segurança de informações; • Consequências de violações de normas estabelecidas na política de segurança; • Princípios de gestão da continuidade do negócio; • Plano de treinamento em segurança de informações POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A elaboração da política de segurança de cada empresa possui suas particularidades de acordo com os requisitos de segurança analisados e alinhados a gestão de processos. Abaixo são sugeridos itens a serem estudados para a criação de regras: • utilização da rede e administração de contas; • política de senhas; • utilização de correio eletrônico; • acesso à Internet; • uso das estações de trabalho; • uso dispositivos de mídias removíveis; • uso de impressoras; • uso de equipamentos particulares; • controle de acesso físico (controle de entrada e saída de pessoas); • termo de compromisso (documento onde usuário se compromete a respeitar a política de segurança); • verificação da utilização da política (supervisão realizada por gestores e equipe de TI) e • Violação da política (definição de ações tomadas nos casos de desrespeito a política de segurança). POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ELABORANDO A POLÍTICA DE SEGURANÇA • Para Ferreira e Araujo (2008), deve-se formar um comitê de segurança da informação, constituído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura, recursos humanos e outro que for necessário. • O comitê será responsável por divulgar e estabelecer os procedimentos de segurança, se reunindo periodicamente, ou a qualquer momento conforme requerido pelas circunstancias, com o objetivo de manter a segurança em todas as áreas da organização. “Convêm que a política de segurança da informação tenha um gestor que tenha responsabilidade de gestão aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da informação”.( ISO/IEC 27002:2005, 2005.) http://www.profissionaisti.com.br/2013/03/politica-de-seguranca-da-informacao-introducao-ao-desenvolvimento/ POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA ELABORAR A POLÍTICA DE SEGURANÇA DEVE-SE • Entender e definir claramente o processo de desenvolvimento. • Definir uma forma de obter dados da empresa/organização. • Buscar entender quais são os: ❖ Negócios ❖ Objetivos ❖ Cultura • O que já existe? • O que é necessário desenvolver? • Definir responsabilidade e penalidades adequadas • Como será a implementação / monitoramento POLÍTICA DE SEGURANÇA DA INFORMAÇÃO IMPLEMENTANDO A POLÍTICA DE SEGURANÇA • Para que a cultura da empresa seja mudada em relação à segurança da informação, é fundamental que os funcionários estejam preparados para a mudança, por meio de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento direcionado. (FREITAS E ARAUJO, 2008, P. 47). • A política deve ser escrita de forma clara, não gerando qualquer dúvida entre os usuários. Todos os funcionários da organização, incluindo aqueles que são terciários e prestadores de serviço, deverão receber um treinamento adequado para que se adequem às mudanças. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO IMPLEMENTANDO A POLÍTICA DE SEGURANÇA • De acordo com a NBR ISSO IEC 27002 (2005), os usuários devem estar clientes das ameaças e das vulnerabilidades de segurança da informação e estejam equipados para apoiar a política de segurança da informação da organização durante a execução normal do trabalho. • A política de segurança deve contar com o apoio e comprometimento da alta direção da organização, pois é fundamental para que a mesma seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo inviável. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO IMPLEMENTANDO A POLÍTICA DE SEGURANÇA • O processo de implantação da política de segurança de informações deve ser formal. No decorrer desse processo, a PSI deve permanecer passível a ajustes para melhor adaptar-se às reais necessidades. • O tempo desde o início até a completa implantação tende a ser longo. Em resumo, as principais etapas que conduzem à implantação bem- sucedida da PSI são: elaboração, aprovação, implementação, divulgação e manutenção. Muita atenção deve ser dada às duas últimas etapas, haja vista ser comum sua não observância. • Normalmente, após a consecução das três primeiras etapas, as gerências de segurança acreditam ter cumprido o dever e esquecem da importância da divulgação e atualização da PSI. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO IMPLEMENTANDO A POLÍTICA DE SEGURANÇA De forma mais detalhada, pode-se citar como as principais fases que compõem o processo de implantação da PSI: • identificação dos recursos críticos; • classificação das informações; • definição, em linhas gerais, dos objetivos de segurança a serem atingidos; • análise das necessidades de segurança (identificação das possíveis ameaças, análise de riscos e impactos); • elaboração de proposta de política; • discussões abertas com os envolvidos; • apresentação de documento formal à gerência superior; • aprovação; • publicação; • divulgação; • treinamento; • implementação; • avaliação e identificação das mudanças necessárias; revisão; POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A quem deve ser divulgada a PSI? • A divulgação ampla a todos os usuários internos e externos à organização é um passo indispensável para que o processo de implantação da PSI tenha sucesso. A PSI deve ser de conhecimento de todos que interagem com a organização e que, direta ou indiretamente, serão afetados por ela. • É necessário que fique bastante claro, para todos, as consequências advindas do uso inadequado dos sistemas computacionais e de informações, as medidas preventivas e corretivas que estão a seu cargo para o bom, regular e efetivo controle dos ativos computacionais. • A PSI fornece orientação básica aos agentes envolvidos de como agir corretamente para atender às regras nela estabelecidas. • É importante, ainda, que a PSI esteja permanentemente acessível a todos. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A quem deve ser divulgada a PSI? A própria Política de Segurança de Informações deve prever os procedimentos a serem adotados para cada caso de violação, de acordo com sua severidade,amplitude e tipo de infrator que a perpetra. A punição pode ser desde uma simples advertência verbal ou escrita até uma ação judicial. A Lei n.º 9.983, de 14 de julho de 2000, que altera o Código Penal Brasileiro, já prevê penas para os casos de violação de integridade e quebra de sigilo de sistemas informatizados ou banco de dados da Administração Pública. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A quem deve ser divulgada a PSI? O novo art. 313A trata da inserção de dados falsos em sistemas de informação, enquanto o art. 313-B discorre sobre a modificação ou alteração não autorizada desses mesmos sistemas. O § 1º do art. 153 do Código Penal foi alterado e, atualmente, define penas quando da divulgação de informações sigilosas ou reservadas, contidas ou não nos bancos de dados da Administração Pública. O fornecimento ou empréstimo de senha que possibilite o acesso de pessoas não autorizadas a sistemas de informações é tratado no inciso I do § 1º do art. 325 do Código Penal. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A quem deve ser divulgada a PSI? O artigo evidencia a importância da conscientização dos funcionários quanto à PSI. Uma vez que a Política seja de conhecimento de todos da organização, não será admissível que as pessoas aleguem ignorância quanto às regras nela estabelecidas a fim de livrar se da culpa sobre violações cometidas. Quando detectada uma violação, é preciso averiguar suas causas, consequências e circunstâncias em que ocorreu. Pode ter sido derivada de um simples acidente, erro ou mesmo desconhecimento da PSI, como também de negligência, ação deliberada e fraudulenta. Essa averiguação possibilita que vulnerabilidades, até então desconhecidas pelo pessoal da gerência de segurança, passem a ser consideradas, exigindo, se for o caso, alterações na PSI. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PSI PRINCIPAIS PROBLEMAS NA IMPLEMENTAÇÃO DE UM PSI? • Falta de Consciência Sobre e Importância da PSI; • Orçamento Reduzido; • Falta de Recursos Humanos Adequados; • Ausência de Ferramentas adequadas. Referências https://www.profissionaisti.com.br/2013/05/cuidado-com-os-mitos-de-seguranca-dos- aplicativos-web/ http://portal3.tcu.gov.br/portal/page/portal/TCU/comunidades/biblioteca_tcu/biblioteca_di gital/BOAS_PRATICAS_EM_SEGURANCA_DA_INFORMACAO_0.pdf http://www.vert.com.br/blog-vert/5-desafios-dos-gestores-de-seguranca-da-informacao/ ABNT NBR ISO/IEC 27002:2008. Código de Prática para a Gestão da Segurança da Informação. Ferreira, Fernando Nicolau Freitas; Araújo, Márcio Tadeu. Política da Segurança da Informação: Guia Prático para Elaboração e Implementação. Editora Ciência Moderna, 2006. Bacik, Sandy. Building an Effective Information Security Policy Architecture. Auerbach Book, 2008 https://www.profissionaisti.com.br/2013/05/cuidado-com-os-mitos-de-seguranca-dos-aplicativos-web/ http://portal3.tcu.gov.br/portal/page/portal/TCU/comunidades/biblioteca_tcu/biblioteca_digital/BOAS_PRATICAS_EM_SEGURANCA_DA_INFORMACAO_0.pdf http://www.vert.com.br/blog-vert/5-desafios-dos-gestores-de-seguranca-da-informacao/
Compartilhar