20

Click here to load reader

ISO1779_COBIT

Embed Size (px)

DESCRIPTION

ISO1779_COBIT

Citation preview

Page 1: ISO1779_COBIT

CENTRO UNIVERSITÁRIO LUTERANO DE JI-PARANÁ

SISTEMAS DE INFORMAÇÃO

ANE PRISCILA GONÇALVES

TIAGO PATRICK NOGUEIRA PADILHA

WELLITON SOUZA ALVES

NORMAS E PADRÕES DE SEGURANÇA

JI-PARANÁ

2014

Page 2: ISO1779_COBIT

INTRODUÇÃO

A atividade desenvolvida como pesquisa bibliográfica explana sobre as características, processos, práticas e controles das normas e padrões de segurança Cobit, ISO/IEC 17799 e ISO 13335 na área de Tecnologia da Informação. Normas estas importantes para a segurança da informação como a proteção da informação de vários tipos de ameaças para garantir a desenvolvimento do negócio, minimizar o risco, aumentar o retorno sobre os investimentos e as oportunidades.

Page 3: ISO1779_COBIT

ISO/IEC 17799

De acordo com (ABNT, 2005) a ABNT NBR ISO/IEC 17799 foi elaborada no

Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela

Comissão de Estudo de Segurança Física em Instalações de Informática (CE-

21:204.01). O Projeto circulou em Consulta Nacional conforme Edital nº 03, de

31.03.2005, com o número de Projeto NBR ISO/IEC 17799.

Ela enfatiza mais os resultados da implantação de um ambiente de segurança da

informação, quando define que a segurança da informação é a proteção da informação

de vários tipos de ameaças para garantir a desenvolvimento do negócio, minimizar o

risco do negócio, aumentar o retorno sobre os investimentos e as oportunidades de

negócio.

NBR ISO/IEC 17799 é voltada para empresas que desejam desenvolver práticas

eficazes de gestão de informações de segurança e melhorar suas atitudes em relação à

segurança de TI. A norma também fornece informações valiosas para gerentes seniores

sobre questões relacionadas à segurança que podem ser usadas antes da realização de

uma avaliação de risco, incluindo as melhores práticas sobre como identificar ativos

críticos.

Segundo a (ABNT, 2005) a NBR ISO/IEC 17799 e dividida em algumas

clausulas como.

Política de segurança

Segurança organizacional

Classificação e controle dos ativos de informação

Segurança em pessoas

Segurança física e do ambiente

Gerenciamento das operações e comunicações

Controle de acesso

Desenvolvimento e manutenção de sistemas

Gestão de Incidentes de Segurança da Informação

Gestão da continuidade do negócio

Conformidade

Page 4: ISO1779_COBIT

Política de Segurança

As políticas de segurança são à base da estrutura de segurança ela fornece

orientação e informações sobre a postura de segurança da empresa. Esta cláusula

proporciona os estados do apoio à segurança da informação, deve ser feita de acordo

com a política de segurança da empresa. Por exemplo, os auditores devem verificar se a

empresa tem uma política de segurança, como ela é mantida, e se ela é disseminada para

todos os funcionários.

Organização da Segurança da Informação

Organização da Segurança da Informação trata da estrutura de elaboração e

organização do programa de segurança, incluindo o quadro adequado para a gestão da

política de segurança, como os ativos de informação devem ser protegidos de terceiros,

e como a segurança da informação é mantida quando o processamento é terceirizado.

Classificação e Controle dos Ativos de Informação

Esta cláusula descreve as melhores práticas para classificar e proteger os ativos,

incluindo dados, software, hardware e serviços públicos. A cláusula também fornece

informações sobre como classificar dados, como os dados devem ser tratados, e como

proteger os ativos de dados de forma adequada.

Segurança em Pessoas

Descreve as melhores práticas para a gestão de pessoal, incluindo práticas de

contratação, procedimentos de rescisão, treinamento para empregados em controles de

segurança, disseminação de políticas de segurança e utilização de procedimentos de

resposta a incidentes.

Segurança Física de Ambientes

Como o nome indica, esta clausula aborda os diferentes aspectos físicos e

ambientais de segurança, incluindo as melhores práticas de organizações podem usar

para minimizar as interrupções de serviço, impedir o acesso físico não autorizado, ou

minimizar o roubo de recursos corporativos.

Gerenciamento das Operações e Comunicações

Page 5: ISO1779_COBIT

O Gerenciamento das Operações e Comunicações discute os requisitos relativos

à gestão e operação de sistemas e informação eletrônica. Exemplos de controles de

auditoria nesta área incluem o planejamento do sistema, gerenciamento de rede e e-mail

e segurança de e-commerce.

Controle de Acesso

Esta cláusula de segurança descreve como o acesso a bens sociais devem ser

geridos, incluindo o acesso à informação digital e não digitais, bem como recursos de

rede.

Desenvolvimento e Manutenção

Esta seção aborda o desenvolvimento de sistemas de TI, incluindo aplicações

criadas por terceiros, e como a segurança deve ser incorporada durante a fase de

desenvolvimento.

Gestão de Incidentes de Segurança da Informação

A Gestão de Incidentes de Segurança da Informação identifica as melhores

práticas para a comunicação de questões de segurança da informação e os pontos fracos,

como os procedimentos de notificação e de escalação. Uma vez estabelecida, os

auditores podem rever os controles existentes para determinar se a empresa tem

procedimentos adequados para lidar com incidentes de segurança.

Gestão de Continuidade de Negócios

Esta fornece informações sobre a recuperação de desastres e planejamento de

continuidade de negócios. Ações auditores devem revisar incluem como os planos são

desenvolvidos, mantidos, testados e validados, e se ou não os planos de abordar os

componentes da operação de negócios críticos.

Conformidade

A cláusula final fornece informações aos auditores da informação que podem

usar ao identificar o nível de conformidade de sistemas e controles com políticas

internas de segurança, regulamentos específicos do setor, e legislação do governo.

Page 6: ISO1779_COBIT

COBIT (Control Objectives for Information and Related Technology)

História

Criado em 1994 pela ISACF (Information Systems Audit and Control

Foundation) o modelo inicial com objetivos de controle e evoluiu com incorporação de

padrões internacionais técnicos regulatórios para processos de TI. Em 1998 foi lançada

a sua 2ª edição agregando um conjunto de ferramentas e padrões de implementação. Em

2005 foi lançada a 3ª edição que foi publicada pelo ITGI(IT Governace Institute) órgão

criado pela ISACA(Information Systems Audit and Control Association) para melhor

atender. Novamente atualizado em 2005 para a versão 4.0 que veio com praticas e

padrões mais maduros alinhados com modelos como ITIL(Information Technology

Infrastructure Library), COSO() e ISO/IEC17799, em 2007 outra atualização aconteceu

mas não de toda versão algumas alterações pontuais em relação a maior eficácia dos

objetivos de controle e dos processos de verificação e divulgação de resultados.

(FERNANDES, 2008).

Fundamentos da Gestão de Segurança

De acordo com McCarthy, 2013 COBIT é uma estrutura de controle e

administração de TI direcionada para o alinhamento de processos de TI e serve como

complemento de outras prática como a ITIL, ISSO/IEC27000 e CMMI(Capability

Maturity Model). Seu objetivo principal e a avaliação do desempenho e maturidade dos

processos de TI.

Para a gestão da segurança da informação são adotadas as normas da série

ISO/IEC 27000, que contempla:

ISO/IEC 27001, Information Security Management Systems - Requirement,

definida para prover um modelo para estabelecer, implantar, operar, monitorar,

rever, manter e melhorar um Sistema de Gestão da Segurança da Informação.

ISO/IEC 27002, Code of Practice for Information Security Management

(substitui a ISO 177799) que tem o objetivo de servir como um guia prático para

desenvolver os procedimentos de segurança da informação e práticas eficientes

de gestão da segurança para a organização.

Page 7: ISO1779_COBIT

Esses padrões devem ser adotados pelas organizações de TI em maior ou menor

escala, dependendo da complexidade do negócio. Quanto mais complexo o negócio

mais formal devem ser a implementação dos processos e seu controle. Se forem

analisadas as técnicas e as práticas recomendadas por esses padrões é possível concluir

que são óbvias para uma boa gestão de TI, entretanto se forem ignoradas as empresas

são colocadas em risco.

A adoção de padrões requer um controle efetivo que avalie continuamente o

desempenho das práticas e das pessoas, garantindo a eficiência da organização. Um

método de acompanhamento das metas pré-definidas pela organização é o Balance

Scorecard. Esse processo permite criar sinergia entre as pessoas, assegurar que a

estratégia seja implementada e avaliar o desempenho da organização.

Abrangência da Norma

O modelo Cobit é utilizado para realizar uma avaliação dos processos de TI

visando identificar as maiores discrepâncias entre os requisitos do negócio e a situação

atual da TI. O escopo do modelo Cobit é aplicável para auditoria e controle de processos

de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os

processos. Suas principais características são o foco nos requisitos do negócio, a

orientação para uma abordagem de processos, a utilização extensiva de mecanismos de

controle e o direcionamento para a análise das medições e indicadores de desempenho

obtidos ao longo do tempo. (ABREU E FERNANDES, 2010).

Processos, Práticas, Controles na Área de TI

Como todo os modelos de gestão, o CobiT prevê processos para garantir a

melhoria contínua dos processos implantados. A metodologia de melhoria contínua Six-

sigma pode ser adotada para atender essa exigência. O Six-sigma está baseado no

PDCA (Plan-Do-Control-Act) do Deming.

Os modelos de maturidade de governança são usados para o controle dos

processos de TI e fornecem um método eficiente para classificar o estágio da

organização de TI. A governança de TI e seus processos com o objetivo de adicionar

valor ao negócio através do balanceamento do risco e returno do investimento podem

ser classificados da seguinte forma:

Page 8: ISO1779_COBIT

0 Inexistente

1 Inicial / Ad Hoc

2 Repetitivo mas intuitivo

3 Processos definidos

4 Processos gerenciáveis e medidos

5 Processo otimizados

Essa abordagem é derivada do modelo de maturidade para desenvolvimento de

software, Capability Maturity Model Integrated for Software (SW-CMMI), proposto

pelo Software Engineering Institute (SEI). A partir desses níveis, foi desenvolvido para

cada um dos 34 processos do CobiT um roteiro:

Onde a organização está hoje

O atual estágio de desenvolvimento da industria (best-in-class)

O atual estágio dos padrões internacionais

Aonde a organização quer chegar

Os fatores críticos de sucesso definem os desafios mais importantes ou ações de

gerenciamento que devem ser adotadas para colocar sobre controle a gestão de TI. São

definidas as ações mais importantes do ponto de vista do que fazer a nível estratégico,

técnico, organizacional e de processo.

Os indicadores de objetivos definem como serão mensurados os progressos das

ações para atingir os objetivos da organização, usualmente expressos nos seguintes

termos:

Disponibilidade das informações necessárias para suportar as necessidades de

negócios

Riscos de falta de integridade e confidencialidade das informações

Confirmação de confiabilidade, efetividade e conformidade das informações.

Eficiência nos custos dos processos e operações

Indicadores de desempenho definem medidas para determinar como os

processos de TI estão sendo executados e se eles permitem atingir os objetivos

planejados; são os indicadores que definem se os objetivos serão atingidos ou não; são

os indicadores que avaliam as boas práticas e habilidades de TI.

Page 9: ISO1779_COBIT

Para avaliação do nível de maturidade utiliza-se o CobiT® Assessment

Process(CAP). O processo avalia os seguintes aspectos: propósito do processo;

resultados do processo; descrição das práticas recomendadas para o processo (BP

– Base Practice); entregáveis do processo (WP – Work Product); e, os processos

dependentes ou requeridos para processo.

Para todas as BPs associadas ao processo avalia-se a capacidade para atender aos

objetivos dos processos de negócio. A partir do resultado da avaliação é planejada ações

para atingir o nível ideal de maturidade do processo.

O CobiT está dividido em quatro domínios:

1. Planejamento e organização.

2. Aquisição e implementação.

3. Entrega e suporte.

4. Monitoração.

Cada domínio cobre um conjunto de processos para garantir a completa gestão

de TI, somando 34 processos:

Planejamento e Organização

1. Define o plano estratégico de TI

2. Define a arquitetura da informação

3. Determina a direção tecnológica

4. Define a organização de TI, os seus processos e seus relacionamentos

5. Gerencia os investimento de TI

6. Comunica os objetivos e direcionamentos gerenciais

7. Gerencia os recursos humanos

8. Gerenciar a qualidade

9. Avalia e gerencia os riscos de TI

10. Gerencia os projetos

Aquisição e implementação

1. Identifica as soluções de automação

Page 10: ISO1779_COBIT

2. Adquire e mantém os softwares

3. Adquire e mantém a infraestrutura tecnológica

4. Viabiliza a operação e utilização

5. Adquire recursos de TI

6. Gerencia as mudanças

7. Instala e aprova soluções e mudanças

Entrega e suporte

1. Define e mantém os acordos de níveis de serviços (SLA)

2. Gerencia os serviços de terceiros

3. Gerencia a performance e capacidade do ambiente

4. Assegura a continuidade dos serviços

5. Assegura a segurança dos serviços

6. Identifica e aloca custos

7. Educa e treina os usuários

8. Gerencia a central de serviços e incidentes

9. Gerencia a configuração

10. Gerencia os problemas

11. Gerencia os dados

12. Gerencia a infraestrutura

13. Gerencia as operações

Monitoração

1. Monitora e avalia o desempenho da TI

2. Monitora e avalia os controles internos

3. Assegura a conformidade com requisitos externos

4. Provê governança para a TI

Page 11: ISO1779_COBIT

ISO/IEC TR 13335

História

De acordo com a ISO/IEC TR 13335 parte 3 - Techniques for the management of

it security. Publicada em 1998, apresenta técnicas de gestão de segurança para a área de

tecnologia da informação. Pode ser utilizada para trabalhar em conjunto com a BS

7799-2, que sugere quais os processos devem ser implantados para conduzir a gestão de

segurança, enquanto que a ISO 13335-3 descreve as técnicas.

Fundamentos da Gestão de Segurança

Governo e organizações comerciais dependem muito do uso da informação para

conduzir suas atividades empresariais. Compromisso de confidencialidade, integridade,

disponibilidade, não repúdio, responsabilidade, autenticidade e confiabilidade de uma

organização ativa pode ter um impacto adverso. Consequentemente há uma necessidade

crítica para proteger as informações e gerenciar a segurança de sistemas de TIC dentro

das organizações. Esta obrigação de proteger informações é particularmente importante

hoje em dia, o ambiente, porque muitas organizações estão interna e externamente

conectadas por redes de sistemas de TIC não necessariamente controlados por suas

organizações. Assim, a legislação em muitos países requer que a Administração tomar

as medidas adequadas para mitigar relacionado com o negócio de risco eo usa de

sistemas de TIC. Essa legislação pode abranger não só a proteção da privacidade /

dados, mas também os mercados de saúde e financeiros, entre outros.

Abrangência da Norma

As informações fornecidas na ISO / IEC 13335-1 podem não ser diretamente

aplicável a todas as organizações. Em particular, as pequenas organizações não são

susceptíveis de ter todos os recursos disponíveis para executar completamente algumas

das funções descritas. Nestas situações, é importante que os conceitos e as funções

básicas sejam tratados de uma maneira apropriada para a organização. Mesmo em

grandes organizações, algumas das funções discutidas nesta parte não podem ser

realizadas exatamente como descritas.

Page 12: ISO1779_COBIT

Processos

Os processos são constituído por um conjunto de orientações genéricas de gestão

da segurança das TI, com 5 partes produzidas nos últimos oito anos, alguns com

atualizações recentes:

2004 - Parte 1: (ISO / IEC 13335-1 de tecnologia da informação - Técnicas de

segurança - Gestão de informação e comunicação de segurança de tecnologia. Parte 1: -

Conceitos e modelos de informação e tecnologia de comunicações de gestão de

segurança) fornece uma visão geral dos conceitos fundamentais e modelos utilizados

para descrever a gestão da segurança das TIC.

1997 - Parte 2: (ISO / IEC 13335-2 Tecnologia de Informação Técnicas de segurança -

Gestão de informação e comunicação de segurança de tecnologia - Parte 2: - Técnicas

de informação e tecnologia de comunicações de gerenciamento de riscos de segurança,

a ser publicado) descreve técnicas de gestão de riscos de segurança apropriadas para o

uso por aqueles envolvidos com atividades de gestão.

Note-se que as partes 3, 4 e 5 são Relatórios Técnicos. Como se observa no prefácio,

ISO / IEC 13335 Parte 1 substitui ISO / IEC TR 13335 Parte 1 e Parte 2. ISO / IEC

13335 Parte 2, quando publicado, irá substituir a norma ISO / IEC TR 13335 Parte 3 e

Parte 4.

1998 - Parte 3: (ISO / IEC TR 13335-3 tecnologia da informação - Técnicas de

segurança - Diretriz para a gestão da segurança de Tecnologia da Informação - Parte 3:

Técnicas para a gestão de segurança de Tecnologia da Informação) descreve técnicas de

gestão de riscos de segurança apropriadas para o uso por aqueles que estão envolvidos

com a gestão atividades.

2000 - Parte 4: (ISO / IEC TR 13335-4 Tecnologia da informação - Técnicas de

segurança - Diretriz para a gestão de segurança de Tecnologia da Informação - Parte 4: -

Seleção de salvaguardas) fornece orientação para a seleção de salva arquivos, e como

isso pode ser apoiada pelo uso de modelos de referência e os controlos. Ele também

descreve como este complementa as técnicas de segurança descritos na Parte 2, e como

métodos de avaliação adicionais podem ser usados para a seleção de salvaguardas.

Page 13: ISO1779_COBIT

2001 - Parte 5: (ISO / IEC TR 13335-5 tecnologia da informação - Técnicas de

segurança - Diretriz para a gestão da segurança de Tecnologia da Informação - Parte 5: -

Gestão orientação sobre segurança de rede) fornece orientação no que diz respeito às

redes e comunicações para os responsáveis pela gestão de TI segurança. Esta orientação

apoia a identificação e análise das comunicações fatores que devem ser levados em

conta para estabelecer os requisitos de segurança de rede relacionados. Ele também

contém uma breve introdução aos possíveis áreas de salvaguarda.

Política de segurança de TI

Uma política de segurança corporativa de TI deve ser produzida baseada de

acordo com a estratégia e objetivos de segurança de TI sendo necessário estabelecer e

manter uma política corporativa de segurança consistente com o negócio, segurança,

políticas de TI, legislação e regulamentação.

Atividades relevantes de segurança descritas na política de segurança podem ser

baseadas nas estratégias e objetivos organizacionais, nos resultados das análises de

risco, revisões, acompanhamento de resultados e nos relatórios de incidentes relevantes.

Page 14: ISO1779_COBIT

REFERENCIA

FAGUNDES, Eduardo. COBIT um kit de ferramentas para a excelência de TI – Disponível em: http://www.efagundes.com/artigos/cobit.htm

MCCARTHY N., K., Resposta A Incidentes de Segurança Em Computadores - Planos Para Proteção de Informação Em Risco. Porto Alegre, RS: Bookman, 2013.

FERNANDES, Aguinaldo Aragon, Implantando a Governança de TI - da Estratégia à Gestão de Processos e Serviços. Rio de Janeiro: Brasport, 2008.

ABNT.NBR ISSO/IEC 17779:2005: Tecnologia da Informação - Técnicas de Segurança - Código de Prática para Gestão de Segurança da Informação. Rio de Janeiro, Associação Brasileira de Normas Técnicas, 2005.


COSTELA DE PREGUIÇOSO

COSTELA DE PREGUIÇOSO

Documents
Planilha de Calculo Motores

Planilha de Calculo Motores

Documents
REUNIÃO ITERPE GARANHUNS

REUNIÃO ITERPE GARANHUNS

Documents
out-nov-dez

out-nov-dez

Documents
NR - Anexo 5 - Matriz de Criticidade Enchimento e Lacração

NR - Anexo 5 - Matriz de Criticidade Enchimento e Lacração

Documents
2011

2011

Documents
Comunicação Gerencial

Comunicação Gerencial

Documents
CADASTRO DE CLIENTES

CADASTRO DE CLIENTES

Documents
Planilha de Solicitação modelo

Planilha de Solicitação modelo

Documents
PADRÃO DE CORES DE LAYERS E ESPESSURAS DE PENAS

PADRÃO DE CORES DE LAYERS E ESPESSURAS DE PENAS

Documents
index

index

Documents
Controle Mensal Pessoal

Controle Mensal Pessoal

Documents
Honorários nova ponte sor

Honorários nova ponte sor

Documents
TÉCNICA DE ENFERMAGEM FAZENDO PREESCRIÇÃO MEDICA

TÉCNICA DE ENFERMAGEM FAZENDO PREESCRIÇÃO MEDICA

Documents
Ácido Sulfúrico

Ácido Sulfúrico

Documents
Apresentação1-MANEJO DA MATERIA ORGANICA

Apresentação1-MANEJO DA MATERIA ORGANICA

Documents
Ai Se Eu Te Pego Flauta

Ai Se Eu Te Pego Flauta

Documents
Guia completo empregos

Guia completo empregos

Documents
Fraquezas humanas

Fraquezas humanas

Documents
PLANILHA DE DESPESAS

PLANILHA DE DESPESAS

Documents
RADIOS CIDADES HABITANTES - REDE SUPERMUSIC 2007(1)

RADIOS CIDADES HABITANTES - REDE SUPERMUSIC 2007(1)

Documents
SISTEMA DE PONTOS COMPLETO

SISTEMA DE PONTOS COMPLETO

Documents
BICHONARIO

BICHONARIO

Documents
Ecografia Planos de Corte Ginecologico

Ecografia Planos de Corte Ginecologico

Documents
(2) SE O SOL SE PÔR E A NOITE CHEGAR (SOBRE AS ÁGUAS)

(2) SE O SOL SE PÔR E A NOITE CHEGAR (SOBRE AS ÁGUAS)

Documents
readme_br

readme_br

Documents
VALTER FICHA REGISTO SOMATOTIPO

VALTER FICHA REGISTO SOMATOTIPO

Documents
SIRES - Sistema Recrutamento e Seleção

SIRES - Sistema Recrutamento e Seleção

Documents
Vôo de Gansos

Vôo de Gansos

Documents
planilha EVA

planilha EVA

Documents