Segurança e Auditoria em Sistemas de Informação
Por: AndAlmeida • 3/10/2021 • Trabalho acadêmico • 3.580 Palavras (15 Páginas) • 143 Visualizações
UNIVERSIDADE FEDERAL DO AMAZONAS - UFAM[pic 1]
Instituto de Computação - ICOMP
Segurança e Auditoria em Sistemas de Informação
Manaus - Amazonas
2019
Andrew Felipe Almeida de Souza - e-mail: afas@icomp.ufam.edu.br
SGSI
Manaus - Amazonas
2019
Sumário
- Sumário Gerencial …………………………………………………………………… 4
- Diagnóstico da Área de Informática ………………………………………………..... 6
- Plano de Organização da Área de Segurança em Informação ……………………. 11
- Plano de Tecnologia ………………………………………………………………… 13
- Plano de Ação ………………………………………………………………………. 15
- Plano de Classificação de Dados …………………………………………………… 16
- Plano de Treinamento ………………………………………………………………. 18
- Plano Tático de Segurança em Informática…………….…………………………….19
1. Sumário Gerencial
Na definição deste documento foram realizadas diversas atividades para atender e manter os três pilares da segurança da informação (integridade, confidencialidade e disponibilidade), realizando levantamentos e avaliações de tudo que engloba informações da instituição em estudo.
As definições de alguns princípios e conceitos da segurança da informação seguem necessárias para a compreensão do que será abordado e demonstrado nos tópicos seguintes deste documento.
- Integridade: Segundo Andress Jason (2011, p. 6) integridade é prevenir que sua informação não seja modificada por alguém que não está autorizado ou de maneira indesejada. Seja uma alteração ou exclusão não autorizada de nossos dados ou parte deles.;
- Confidencialidade: A confidencialidade é um componente necessário da privacidade e refere-se à nossa capacidade de proteger nossos dados daqueles que não estão autorizados a visualizá-los. (Jason; 2011, p. 6);
- Disponibilidade: Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna. (Beal, 2008, p. 1);
- Ativo: Qualquer coisa que tenha valor para a organização (ISO/IEC 13335-1:2004).
- Ativo de Informação: Base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas (ISO/IEC 27002:2005).
- Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ISO/IEC 13335-1:2004)
- Ataque: O ato de tentar desviar dos controles de segurança de um sistema. Ou ainda, qualquer ação que comprometa a segurança da informação de propriedade de uma organização.
- Incidente: É um simples (ou uma série de) evento(s) indesejado(s) ou inesperado(s), que tem uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. (ISO/IEC TR 18044:2004)
- Políticas de Segurança: Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação.
- Controle de Acesso: É todo e qualquer mecanismo utilizado para diminuir as fraquezas de ativo da informação, seja um equipamento, tecnologia, pessoa ou processo.
Para a elaboração do documento tomamos por base constatações relacionadas às ISOs 27001, 27002, 27003, 27004 e 27005, a fim de obter informações sobre como implementar o SGSI. Na primeira etapa, de Organização e Administração do Projeto, houve uma visita nas dependências do Icomp onde realizou-se inspeção e levantamento sobre a situação desses locais. Com todas as informações coletadas durante a inspeção, elaboraram-se planos de ação voltados para as necessidades de cada local. Após a fase de elaboração pretende-se apresentar esses planos à organização, ressalta-se que cabe à ela a decisão de aderir ou não ao sistema proposto, bem como seu cumprimento e manutenção.
1.1 Classificação da importância do ativo
Foi estabelecida uma classificação dos ativos conforme a sua necessidade para a continuidade de operação de cada área de informática, sendo ela:
- Baixa: ativo não possui grande importância para o funcionamento e operação do local, sendo possível que o local opere sem o mesmo;
- Média: ativo possui importância parcial na operação do local, sendo necessário de uso para operação, porém, sem o mesmo, é possível operar com restrições;
- Alta: ativo possui função imprescindível para a plena operação e execução de seu objetivo.
1.2 Classificação da informação
Para cada ativo levantado no diagnóstico da área de informática, uma classificação foi definida, sendo ela:
- Pública: ativos possuem informações que possuem restrições e que podem ser de conhecimento público, não prejudicando a operação da organização;
- Restrita: ativos que contenham informações que não exigem um nível de confidencialidade, mas que não é interessante permitir o acesso público a eles, sendo apenas utilizados internamente;
- Confidencial: ativos que possuem informações que exigem um alto nível de confidencialidade que se expostas de maneira incorreta ou possuir um acesso não autorizado, pode prejudicar a operação e continuidade da instituição.
2. Diagnóstico da área de informática
Todos os locais de responsabilidade do Icomp que continham algum artefato relacionado a informática foram verificados pela equipe, que analisou e identificou possíveis riscos. Ficaram isentas da análise as salas pertencentes às Startups que estão localizadas no Icomp.
...