A Certificação de Segurança

[pic 1] 

Certificação de Segurança

Português

1 - Sobre a Certificação de Segurança

Você Usuário é parte integrante da Segurança na IBM

Esta Certificação foi elaborada para disseminar a Cultura e os Controles de segurança que você usuário, quer seja um funcionário efetivo,

um estagiário ou um prestador de serviço contratado, é solicitado a implementar, bem como importantes políticas, padrões e processos

de segurança que descrevem como implementar esses controles.    Além disso, destaca a importância de obedecer a esses padrões e

políticas, explica o seu dever de administrar cada política de maneira proativa e solicita que você tome a iniciativa de identificar, relatar e

corrigir qualquer vulnerabilidade encontrada no sistema.

Ao concluir esta Certificação, você usuário tomará ciência da Politica de Segurança de Informação, ou seja :  

• O conceito de segurança;
• Quem são e como contactar os Coordenadores de SARM Brasil;
• Os requerimentos de segurança aplicados à sua estação de trabalho;
• As Considerações Legais;
• Como proteger informações da IBM;
• Redes Internas IBM;
• Os requerimentos para participação de conferências;
• Conexões remotas à Redes e Sistemas IBM;
• Acesso a recursos;
• As práticas de Mesa Limpa;
• Os requerimentos de Aplicação de Patches de Segurança;
• A importânca da ferramenta WST;
• Os tipos de medidas disciplinares aplicadas pela IBM;
• Como buscar informações sobre segurança.

Antes de concluir esta Certificação, você usuário deverá responder a um questionário de 3 perguntas sobre o conteúdo

apresentado.  O intuito deste questionário é garantir que você leu e entendeu os conceitos, processos, e requerimentos de

segurança aqui apresentados.

**** Esta certificação deve ser revalidada anualmente por todos os funcionários que possuem acesso a rede IBM. ****

2 - Introdução à Segurança

Segurança é um sentimento de conforto ou confiança que nos permite executar nossa rotina diária sem medo ou ansiedade.

Em uma rodovia, há um determinado nível de confiança de que as ações de outros motoristas sejam relativamente previsíveis.  Eles vão parar

nos sinais de Pare, vão dirigir no lado correto da rodovia e obedecer outras leis de trânsito.  Além disso, só depositamos nosso dinheiro em

um banco se tivermos a confiança de que teremos acesso a esse dinheiro quando precisarmos dele.

O mesmo nível de confiança se aplica à Segurança de TI.   Não conectaríamos nosso computador a outro se tivéssemos receio de que as

informações contidas nele pudessem ser destruídas, alteradas ou roubadas, ou se não tivéssemos confiança de que poderíamos acessar

ou recuperar as informações quando precisássemos.

Conseqüências da Segurança Inadequada

Quando questionadas sobre as conseqüências da segurança inadequada, a maioria das pessoas pensa nas conseqüências tangíveis, como

perda dos ativos da empresa (roubo dos ativos, danos em computadores, perda de dados, interrupções de serviços na rede). Entretanto, há

outras conseqüências que também podem causar prejuízos, por exemplo:

• Perda de receita ou participação no mercado;
• Perda da propriedade intelectual;
• Perda da privacidade;
• Danos morais.

Segurança é uma prática de Negócio

Segurança é um componente essencial de todas as práticas de negócio da IBM.

A IBM e seus clientes esperam que a segurança de seus processos de negócio e informações essenciais seja mantida pela IBM.

Para assegurar a implementação de ações consistentes e específicas, a IBM criou vários processos, políticas e padrões de segurança.  

Esses  documentos são regularmente revisados e atualizados para assegurar que a IBM e seus clientes não sejam expostos a novas ameaças.

A segurança da informação se baseia em três princípios básicos, normalmente chamados de Tríade  C-I-D :

• Confidencialidade: Manter as informações privadas ou em segredo e evitar a divulgação de informações a pessoas que não necessitem delas.

• Integridade : Assegurar que as informações estejam completas e que as alterações sejam feitas somente por pessoas autorizadas e sejam adequadamente registradas.

• Disponibilidade:   Assegurar que as informações estejam disponíveis para uso quando necessário em um formato utilizável.

Controles de segurança, mecanismos e salvaguardas são implementados para fornecer um ou mais desses princípios.

O departamento de SARM  tem a missão de orientar quanto aos procedimentos de segurança que devem ser seguidos e verificar para que não

existam riscos de acesso indevido.

SARM - Security Asset & Risk Management

3 - Coordenadores SARM Brasil e Politica de Segurança de Informação em TI

Em caso de problemas / dúvidas, envie um email para   SARM@br.ibm.com    (Security Asset & Risk Mgmt)

IBM - Política de Segurança da Informação em TI 

A segurança da informação é um componente vital para o sucesso do negócio da IBM, tendo papel importante na liderança em e-business;

incluindo os serviços on-demand emergentes em  TI. A aderência aos padrões e guias da IBM fornece a segurança end-to-end para aplicações

e informações através de múltiplas plataformas de hardwares, softwares e redes.

A política de segurança da informação da IBM, detalhada nos padrões da corporação, adequa os princípios, as exigências e a garantia da

conformidade para a preservação da confidencialidade, a integridade e a disponibilidade da informação (tanto  para interno IBM e cliente), em

linha com os valores IBM.

As gerências, empregados e contratados IBM estão comprometidos com os princípios e os objetivos de segurança da informação, alinhados

com as estratégias e os objetivos de negócio para crescer; baseados na confiança e na dedicação do sucesso de cada cliente.

Todos são responsáveis pela conformidade junto as instruções de segurança em TI, assim como em registrar os incidentes de segurança da

informação.

A gerência e pessoal qualificado são designados para monitorar os objetivos do controle de segurança da informação, executar avaliações  

e gerência do risco usando aplicativos e procedimentos apropriados.

Os princípios e objetivos da política de segurança da informação em TI incluem:

- Conformidade com exigências legisladoras, reguladoras e contratuais;

- Conscientização, instrução e treinamento de segurança da informação para todos os gerentes,  funcionários regulares e contratados;

- Gerência da continuidade do negócio e

- Gerência sobre as violações da política de segurança da informação.

A aplicação destes princípios e objetivos são descritos mais aprofundadamente nas instruções, guias corporativos, processos e procedimentos

locais IBM, tais como:

- I/T Security Management BR-Process-288 :

- Issue Management;

- Incidentes de Segurança;

- Security Risk Management Process;

- Corporate Instruction CIO 104 - Information Technology security;

- Corporate Instruction LEG 116 - Classification and control of IBM information;

- Information Technology Security Standards (Standard ITCS104);

- Security and use Standards for IBM employees (Standard ITCS300);

- Security Controls for Customer (GSD331) e/ou Information Security Controls (ISeC); e

- WW Business Controls Integrated Toolset (WWBCIT) - Risk Evaluations.

Assinado por Ney Aparecido da Cruz

GTS Service Delivery - Brazil

A Política de Segurança da Informação em TI encontra-se disponível também em :

Manual da Qualidade : QMX ==> BR_QM_0052 [Notes Link]