Segurança da Informação

Caros leitores, como novidade, estou disponibilizando Cursos de:

- Anti-Hacker
- Cobit
- ISO 17799
- ISO 27001
- ITIL
- Projetos de Redes
- Projetos de Segurança

Entre em contato para saber mais

Observação
- Apostilas Exclusivas
- Aprovação mediante avaliação
- Cada curso tem a duração de um mês, totalmente on-line
- Oferecemos Certificado
- Tratamento Individual (V.I.P.)

Valores dos Cursos por Carga Horária
HORAS VALOR CURSO
3 R$ 140,00
8 R$ 230,00
16 R$ 350,00
20 R$ 400,00
24 R$ 420,00
40 R$ 560,00

NÃO VÁ PERDER ESTA OPORTUNIDADE !!!!!

Entre em contato para saber mais

Controles Internos para TI

Objetivo
Prover conhecimento sobre a Gestão de Risco e Controles Internos aplicado às áreas da Tecnologia da Informação.

Público alvo
Profissional que atua na área de Tecnologia da Informação, compliance, governança de TI.

Conteúdo Programático
1. Visão Geral da Gestão do Risco:
- Principais conceitos sobre Risco
- A importância da Gestão do Risco
- Escritório de Risco (Risk Office)
2. Metodologia de Análise do Risco:
- Identificação de Risco
- Valor dos Ativos
- Ameaças;
- Vulnerabilidades;
- Análise/Avaliação dos Riscos
- Gestão de Risco (Resposta ao Risco)
- Mitigar risco;
- Ciclo de Melhoria Continua na Gestão de Risco

3. Frameworks, Melhores Práticas e Normas:
- Framework COSO/ERM
- Framework ITIL
- Framework Cobit
- Norma ISO 17799 / 27001

4. Sistema de Controle Interno:
- Definição e Princípios de SCI
- Avaliação da eficiência dos controles
- Auditoria interna/externa de SCI
- Melhores Práticas para os Controles Internos

5. Ambiente de Compliance:
- Visão Geral da Lei Sarbanes Oxley
- Controle Internos (Susep e Bacen)
- Basel II
- Lei de Responsabilidade Fiscal

6. Analise das principais ferramentas para a Gestão de Risco

7. Estudo de Caso

Informações Gerais
Carga horária: 20 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar
 
Curso Básico de Segurança da Informação

Objetivo
Este curso pretende apresentar os conceitos necessários para o desenvolvimento de um projeto de segurança da informação e para identificação de como aplicar o ferramental tecnológico existente.

Público alvo
Todos os envolvidos na área de segurança de informações.

Pré-requisitos
Nenhum

Metodologia
Far-se-á a explanação do funcionamento e uso das soluções de segurança disponíveis no mercado, auxiliando a tomada de decisões e o entendimento da dinâmica existente neste setor. Abrange servidores Windows e Unix (Linux).

Conteúdo Programático
1) Histórico
2) Riscos
3) Hackers
4) Necessidade de Segurança nas Organizações
- Projeto de Segurança
- Política de segurança
- Security Officer

5) Técnicas de ataque
6) Demonstração - Ataques
7) Tecnologias de Segurança
- Firewall e Proxy
- Criptografia
- IDS
- Scanners de Vulnerabilidade
- Antivírus
- Autenticação Robusta
- Verificação de Conteúdo
- HoneyPots

8) Infra-estrutura - Arquitetura ideal
9) Implementação de segurança em servidores Windows e Unix
10) Respostas à Incidentes
11) Demonstração - ferramentas
12) Conclusões e Recomendações

Informações Gerais
Carga horária: 16 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 
Gestão de Projetos com PMI

Objetivo
Qualificar profissionais a gerenciar projetos com abordagem do PMI (Project Management Institute). O curso tem por finalidade preparar os profissionais a utilizar as melhores práticas para fazer projetos.
As melhores práticas do PMI são aplicadas em várias áreas, como: agência de publicidade, metalúrgica, tecnologia da informação, recursos humanos, automobilísta, engenharia cível e outros.

Tudo é projeto, portanto, uma vez que os conceitos preconizados pelo PMI sejam a simulados sua aplicação é imediata. Quais são os principais ganhos? Essa é pergunta, como já foi dito, tudo é projeto na empresa e inclusivo no meio pessoal para ser realizar algo é necessário estruturar um projeto, uma vez que você utilize ás melhores práticas você irá acertar mais, ou seja, irá entregar os projetos no prazo, na qualidade desejada ou necessária para atender a demanda.

Público alvo
Profissionais que buscam conhecimentos em Gestão de Projetos com uma metodologia mundialmente utilizada.

Metodologia
Aulas expositivas com exercícios.

Conteúdo Programático
1) Contexto mundial das empresas
2) O papel do PMI - Project Management Institute
3) Apresentação do PMBOK - Project Management Body of Knowledge
4) O que gerenciamento de Projetos
5) Os principais motivos de falhas nos projetos
6) Características de um projeto bem sucedido
7) Apresentação das 9 áreas de conhecimento do PMI
8) Desenvolvimento do Plano de Projeto
9) Processos de Gerenciamento da Integração
10) Processos de Gerenciamento do Escopo
11) Processos de Gerenciamento do Tempo
12) Processos de Gerenciamento de Custos
13) Processos de Gerenciamento da Qualidade
14) Processos de Gerenciamento dos Recursos Humanos
15) Processos de Gerenciamento das Comunicações
16) Processos de Gerenciamento dos Riscos
17) Processos de Gerenciamento das Aquisições
18) Kick-off

Informações Gerais
Carga horária: 16 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 

Implementação de Governança de TI com COBIT

Objetivo
O mercado tem uma forte demanda por governança, a tradução simplista do conceito deste conceito é: um Novo modelo de Gestão de Empresas.
Este novo modelo proporciona maior credibilidade aos investidores, acionistas, sociedade e força de trabalho. A credibilidade significa maior geração de riqueza e facilidade na busca de capital.

Os princípios são: transparência, sustentabilidade, prestação de contas, ética, conformidade e equidade.

Entretanto, a implementação por este novo modelo de Gestão é desafio para todas as áreas de negócio da empresa.

A área de Tecnologia da Informação acaba sendo o local de concentração natural da maioria dos processos de negócio da empresa.

A aposta do mercado é que as melhores práticas de Governança de TI ajudem alinhar os processos de TI com os processos de negócios e determinar qual é o valor que TI gera ao negócio.

As principais responsabilidades de TI é planejar, construir, gerenciar o risco, entregar, avaliar os ativos e serviços de TI;
Entretanto os guias, frameworks, padrões e metodologias disponíveis no mercado não são de fácil implementação, eles requerem conhecimentos teórico & prático e dedicação de tempo dos profissionais.

Este cenário exige que o profissional vá além do atendimento das demandas de serviços do dia-a-dia, pois, ele deve estar preparado para implementar as melhores práticas de Governança de TI.

Principais questões no momento que o profissional se depara com a necessidade de implementar a Governança de TI:
- Por onde começar ? Como começar ?
- Qual é framework, guia, padrão ou metodologia vou utilizar ?
- Como vou fazer a integração como os objetivos e a missão da empresa ?
- Quais são os recursos necessário ?
- Como posso gerar valor ao negócio ?

A experiência prática de nossos consultores aliada ao conhecimento das melhores práticas de Governança de TI ajudaram nas respostas destas questões de forma simples e objetiva com foco em produzir um projeto de implementação orientado a resultado.

Abordagem utilizada neste treinamento tem um forte apelo a prática. Será desenvolvido um estudo de caso que seguira um guia mestre, uma metodologia, que tem como objetivo facilitar a implementação das melhores práticas de Governança de TI, reduzindo tempo de implementação e maximizando os resultados.

Lista de empresas que prestamos serviços de consultoria e serviços de treinamento:
Correios, Hospital da Clinicas da Faculdade de Medicina da Universidade de São Paulo (HCFMUSP), Petrobras, EDS, Procwork, NSK, Endesa, Ministério Público do Estado de Alagoas, Ambev, Petrobras, Aços Villares, Unimed e outras

Público alvo
Diretores de TI , Gerentes de TI, Gerentes de Gestão de Serviços de TI, Lideres, Coordenadores, Auditores de TI, Consultores de TI , Analista de Negócios e todos que estão envolvidos com a implementação da Governança de TI

Pré-requisitos
Conhecimento de gestão de TI e conhecimentos de Cobit.

Conteúdo Programático
§Visão Geral do Framework Cobit
§Visão Geral da Governança de TI
§Modelo de Governança de TI do Cobit
- Alinhamento Estratégico
- Entrega de Valor
- Gestão de Risco
- Gestão de Recursos
- Mensuração de Performance

§ Melhores Práticas para Governança de TI
- ITIL, COSO, ISO 17799/27001, PMI/PMBok, e-SCM e CMMI

§ Planejamento da implantação da Governança de TI:
- Desenho do modelo de Governança de TI;
- Alinhamento da expectativa com negócio;
- Recursos necessários (financeiro, humanos e materiais);
- Fatores críticos de sucesso;
- Comunicação & Mudança comportamental;
- Ciclo de vida da Governança de TI:
1- Planejar;
2- Construir;
3- Entregar;
4- Avaliar.

§ Definindo o Road Map de Implementação:
- Por onde começar ?

§ Estratégia de Implementação:
- Avaliação do nível de maturidade dos processos (Maturity Measurement)
- Processo de Gestão de Mudança
- Metas de Negócios, Metas de TI e Processo de TI
* Gestão de Serviços de TI
* Ponto critico
* Conformidade de Lei e Regulamentações (Sox, Basel 2, Susep, ANS etc)

§ Projeto de implementação da Governança de TI com base no Cobit
Fases do projeto:
- Identificação das Necessidades
- Visão da Solução
- Plano de Solução
- Implementação Solução
- Operacionalização da Solução

§ Estudos de Caso:
Será escolhido uma estratégia de implementação para demonstrar as práticas de implementação através de um projeto, que utilizará as melhores práticas de gestão de projetos, orientada a resultado, ou seja, uma implementação efetiva de um modelo de Governança de TI.

Informações Gerais
Carga horária: 16 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 
Mapeamento e Desenho de Processos utilizando MS Visio

Objetivo
Mapear, modelar, desenhar e documentar os processos são condições básicas para quem quer melhorar seus produtos e/ou serviços. A documentação de processos é um requisito da norma de qualidade, como ISO 9001.

Para desenhar os processos, existem diversas ferramentas no mercado, que além do alto custo elas exigem um acentuado tempo de aprendizado.

A MS Visio é uma ferramenta simples com uma boa relação custo vs beneficio que pode ajudar no desenho de fluxos, fluxogramas e diagramas necessários para documentar os processos.

Público alvo

Metodologia
Curso com visão prática, dinâmica, exercícios e estudo, através de notebook (1 equipamento para cada participante)

Conteúdo Programático
Introdução:
A estratégia de negócio e os processos
A visão de processos
Definição de processo
Componentes dos Processos
Elementos dos Processos
Notação de Processo
- Fluxograma
- EPC
- BPMN

Mapeamento, Modelagem e Desenho:
Aspecto do mapeamento de processos
Aspecto da modelagem de processos
A documentação de processo
O Desenho de processo
- Mapa de processos
- Diagramas
- Fluxo e Fluxograma

A ferramenta MS Visio:
Desenho de processo com MSVisio
Recursos Avançado
Usando modelos
Publicação de Processos na Web

Estudo de caso

Informações Gerais
Carga horária: 8 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

MS Project na Prática com PMI/PMBok

Objetivo
Para gerenciar projeto é necessário o saber bem as melhores práticas de gestão de projeto do PMI/PMbok, mas para conseguir produtividade e um gerenciamento efetivo dos projetos é necessário conhecer ferramentas de gestão.

MS Project possui uma excelente relação de custo x benefício, é de fácil aprendizado e também é uma ferramenta robusta para o gerenciamento de projetos, pois ela fornece um conjunto de recursos que simplifica o gerenciamento de tempo, recursos e custos do projeto.

O objetivo deste workshop é prover conhecimento prático sobre Gestão de Projetos com a ferramenta MS Project explorando os seus recursos e seguindo as melhores práticas de gestão do PMI/PMBok.

Público alvo
Pessoas que necessitam de conhecimento prático sobre Gestão de Projetos com a ferramenta MS Project seguindo as melhores práticas do PMI/PMBok.

Pré-requisitos
Conhecimento básico de gestão de projetos e do PMI/PMBok

Conteúdo Programático
Visão geral:
- Definição de Projeto
- As melhores práticas de Gestão de Projetos segundo PMI/PMBok
- Portfólio de projetos
- Ciclo de Vida do Projeto
- Gerenciamento Projetos com MS Project
- Os recursos do MS Project

Trabalhando com MS Project:
- Visão geral do Gerenciamento de Integração

- Gerenciamento de Escopo:
- Planejar o escopo do projeto
- Termo de Abertura do Projeto (Project Charter)
- Declaração de Escopo
- EAP, Estrutura Analítica do Projeto (WBS)
- Plano de Gerenciamento de Escopo

- Gerenciamento de Tempo:
- Planejar o tempo do projeto
- Lista das atividades (com duração)
- Alocação dos Recursos
- Gráficos: Gantt e Rede
- Milestones do Projeto (Marcos)
- Relatório de Nivelamento de Recursos

- Gerenciamento de Custos:
- Planejar os custos do projeto
- Decomposição do orçamento por atividade e recurso
- Orçamento de recursos
- Análise dos custos do projeto (Atividade, Recurso e Fase)

- Visão geral do Gerenciamento da Qualidade;
- Gerenciamento de Recursos Humanos
- Planejar os recurso humanos
- Lista de Recursos Humanos
- Distribuição de Atividade x Recursos

Visão geral do Gerenciamento das Comunicações
Visão geral do Gerenciamento de Riscos
Visão geral do Gerenciamento de Aquisições

Controle de Projeto com MS Project
- Definindo e Controlando as Linhas de Bases (Baseline)
- Controle do Andamento do projeto (progresso)
- Controle do Cronograma
- Elaboração de Plano de Ação para Recuperação do Projeto

Informações Gerais
Carga horária: 8 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 

Mapeamento, Modelagem e Processos com BPMN

Objetivo
Fazer uma imersão de forma simples e objetiva, através de exercícios práticos de como utilizar a notação BPMN para modelar e desenhar processos.

Serão apresentadas as ferramentas: MS Visio 2007, Savvion Process Modeler e BA Process Modeler.

Público alvo
Qualquer pessoa que possua conhecimento básico sobre processo e tenha necessidade ou queira aprender o BPMN.

Pré-requisitos
Ter conhecimento de processos

Metodologia
Curso com visão prática, dinâmica, exercícios e estudo de caso.

Conteúdo Programático
Introdução:
- A estratégia de negócio e os processos
- Cadeia de Valor e Fluxo de Valor
- Definição, Componentes, Elementos de processo
- A visão de processos

As melhores Práticas para Modelagem e Desenho:
- Tipos de Ferramentas
- BPMN (Business Process Management Notation) BPD (Business Process Diagram), elementos:
- Eventos
- Tipos de Eventos: Mensagem, Tempo, Exceção, Cancelar Compensação, Regra, Link, Terminador e Múltiplo

Atividades:
- subprocesso, tarefa, loop, múltiplas instância, compensação, ad-hoc

Conexões:
- Fluxo de Seqüência, Fluxo de Mensagem e Associação

Gateways:
- Exclusive: Decisão, Junção/Merge (XOR)
- Inclusive: Decisão, Junção/Merge (OR)
- Complexo: Decisão, Junção/Merge
- Paralelismo e Junção (AND)

Swimlines e Lanes:
-Orquestração e Coreografia

Artefatos:
-Objeto de dados, anotação e grupo

Exercícios As melhores Práticas para Mapeamento:
-Aspecto do mapeamento de processos
-Aspecto da modelagem de processos
-A documentação de processo
-O Desenho de processo

Informações Gerais
Carga horária: 16 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 

Orçamento e Planejamento de TI baseado no Cobit

Objetivo
Fornecer aos participantes do programa os conceitos e práticas necessários para o preciso planejamento da TI direcionado à estratégia do Negócio, definindo seu posicionamento e adequando todos os recursos envolvidos.

O Planejamento Rápido de TI (PRTI) vem trazer uma ruptura ao processo continuado de melhoria, onde a estabilidade é um dogma inquestionável. Hoje ações de dinamismo dos mercados requerem uma nova abordagem o Planejamento Rápido de TI (PRTI) que projeta e concebe um novo processo, onde se privilegia a inovação, a flexibilidade e a agilidade, dentro de estruturas adequadas de custos e gestão.

O Planejamento Rápido de TI (PRTI) traduz a necessidade das empresas na busca de modelos inovadores de negócios, onde as ferramentas da TI são elementos de alavancagem destes novos negócios.

Público alvo
O programa se destina aos profissionais responsáveis em trazer resultados aos negócios através da contribuição da Tecnologia da Informação TI. Este programa é aberto a diretores, gerentes.

Pré-requisitos
Atuar como executivo ou função correlata da área de TI.

Metodologia
A condução deste programa se fará através da Orientação ao Negócio, Orientação à Tecnologia e a Orientação às Pessoas, que formam os três pilares básicos do Planejamento Rápido de TI (PRTI).
O foco do desenvolvimento dos conteúdos é na aplicação dos temas em situações que façam parte da realidade do cotidiano do mercado e das empresas.
Com um método prático e exemplos reais todos os conceitos do Planejamento Rápido de TI (PRTI) são transmitidos juntamente com os meios para aplicá-los.

Conteúdo Programático
Módulo 1- Ciclo de vida do Planejamento Estratégico de TI
O que é planejamento estratégico em TI
Quais são as etapas e fases do planejamento estratégico de TI
Como definir e elaborar as etapas do planejamento estratégico
A integração com o planejamento corporativo
O balanceamento entre a manutenção e o aperfeiçoamento

Módulo 2- Planejamento Estratégico e tático para TI
Tipos de planejamento:
Estratégico - Acompanhando a evolução dos negócios
Tático - Adquirindo e gerenciando viabilizadores para a estratégia
Os planos de curto, médio e longo prazo para TI
Comunicando as estratégias e decisões de TI. Divulgando o plano.
Atualização e modificação do planejamento

Módulo 3- Direcionamento tecnológico e forecast em TI
Definição da arquitetura de informação
Seleção das bases de melhores práticas
Modelo de maturidade em TI - Manter ou evoluir?
Determinação da direção tecnológica
Previsões e tendências, como influenciar o planejamento sem contaminá-lo

Módulo 4- Planejamento e priorização de projetos e recursos de TI
Planejamento como um processo:
Preparação e definição
Análise e ajustes e revisão
Definindo os critérios de criticidade e relevância para TI
Variáveis empresariais, financeiras e tecnológicas
Como avaliar e monitorar a performance do planejamento

Módulo5- Gestão e planejamento de talentos e profissionais
Seleção e controle sobre a alocação de talentos
Compartilhando e priorizando recursos
Planejamento de projetos
Acompanhando e relacionando os projetos com os planos
Organização e estruturação de equipes multidisciplinares

Módulo 6- Acompanhamento e Gestão estratégica
Gestão de planos e projetos
Controles e gestão de riscos em TI
Monitoração e avaliação dos resultados
Análise da maturidade de TI
Observando os fatores críticos de sucesso

Módulo 7- Avaliando TI através do BSC
Selecionando os indicadores corretos
Mesclando indicadores de aprendizagem, tecnologia, finanças e de processos
Definição do valores objetivos
Monitorando os indicadores para definir planos de ação para melhoria
Contribuição do BSC no resultado de TI

Módulo 8- ROI - Análise Financeira de Negócios e Projetos em TI
Viabilidade Econômica Financeira de Projetos
Planejamento de custos e investimentos
Avaliando as condições e vantagens do TCO em TI
Selecionando as opções e estratégias de TI

Informações Gerais
Carga horária: 16 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 

Governança de TI x Resultados

Objetivo
Apresentar as melhores práticas em Governança de TI e através de exercícios práticos (hands-on), levar para o dia-a-dia das empresas as melhores técnicas para as práticas de governança de TI.

Público alvo
Profissional da área de TI ou Telecom.

Pré-requisitos
Ser profissional da área de TI ou Telecom.

Conteúdo Programático
Governança de TI x Resultados
Visão executiva
Cenário e casos de sucessos publicados
Governança Corporativa
Governança de TI
Desafios para os executivos
Resultados & Benefícios
Exercicio

Informações Gerais
Carga horária: 3 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 
Resposta à Incidentes

Objetivo
Este curso visa capacitar o profissional de segurança a identificar e reagir aos principais tipos de ataques à infra-estrutura de tecnologia.

Público alvo
Todos os profissionais envolvidos em segurança da informação

Metodologia
Desta forma, apresentamos as metodologias de resposta à incidentes de segurança

Conteúdo Programático
1) Conceitos Básicos
- O que é ataque
- Comunidade Underground
- Motivação dos atacantes
- Níveis de ataque
- Ciclo de vida dos ataques

2) Principais Técnicas de ataques
- Negação de serviço, roubo de informação, invasão de sistema, etc
- Vírus, SPAM, Scans, Buffer Overflows, Ping da Morte, Smurf, DDoS, etc
- Modus operandi dos -hackers-

3) Estratégias Preventivas
4) Características de um incidente
5) Plano de Resposta à Incidentes
6) CIRT - Computer Incident Response Team
7) Identificação de um Incidente
8) Como responder à um incidente
-Contenção
- Correção
- Análise pós-morte

9) Análise Forense
10) Estudo de casos reais
11) Conclusões e Recomendações

Informações Gerais
Carga horária: 16 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 

Risco e Controles Internos com COSO e COBIT

Objetivo
Prover conhecimento sobre a Gestão de Risco e Controles Internos aplicado às áreas da Tecnologia da Informação.

Público alvo
Profissional que atua na área de Tecnologia da Informação, compliance, governança de TI.

Conteúdo Programático
1. Visão Geral da Gestão do Risco:
- Principais conceitos sobre Risco
- A importância da Gestão do Risco

2. Metodologia de Análise do Risco:
- Identificação de Risco
- Valor dos Ativos
- Ameaças;
- Vulnerabilidades;
- Análise/Avaliação dos Riscos
- Gestão de Risco (Resposta ao Risco)
- Mitigar risco;
- Ciclo de Melhoria Continua na Gestão de Risco

3. Frameworks, Melhores Práticas e Normas:
- Framework COSO
- Framework Cobit
- Norma ISO 17799 / 27001

4. Sistema de Controle Interno:
- Definição e Princípios de SCI
- Avaliação da eficiência dos controles
- Auditoria interna/externa de SCI
- Melhores Práticas para os Controles Internos

5. Ambiente de Compliance:
- Visão Geral da Lei Sarbanes Oxley
- Controle Internos (Susep e Bacen)
- Basel II
- Lei de Responsabilidade Fiscal

Informações Gerais
Carga horária: 16 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 

Sarbanes Oxley (SOX)

Objetivo
Explorar as oportunidades, desafios e dificuldades na implementação, gestão e acompanhamento de estruturas de controles internos como forma de melhorar e sustentar resultados e promover as melhores práticas de governança corporativa, contribuindo para a geração de valor para os acionistas.

Por quê participar?
• Conhecer as principais ferramentas de controle interno e seu potencial de geração de valor numa perspectiva de risco e estratégia.
• Identificar oportunidades de análise e gerenciamento de riscos através de uma abordagem de controle voltada para melhoria e sustentação de resultados.
• Entender como a Lei Sarbanes-Oxley surgiu e porque transformou os controles internos no centro das atenções das grandes corporações.
• Aplicar os conceitos do Framework do COSO em exercícios baseados em contextos reais
• Aprender como analisar processos, objetivos e riscos para escolher adequadamente os controles
• Saber como os controles internos são atualmente parte integrante dos sistemas de governança corporativa.

Público alvo
Profissionais que estão envolvidos nos projetos SOX, Controller’s e Auditores Internos.

Metodologia
Aulas expositivas com exercícios conceituais e práticos.

Conteúdo Programático
Módulo I
CONTROLES INTERNOS E SARBANES-OXLEY
O COSO como marco conceitual de avaliação de riscos e controles na SOX
Governança: afinal de contas, o que é?
Controle Interno e Modelo de Gestão: onde esses conceitos se aproximam?
Custos e Benefícios: há limite para o controle

Módulo II
COSO - INTERNAL CONTROL INTEGRATED FRAMEWORK
O ambiente de controles: a base da pirâmide
Atividades de Controle: a estratégia de gerenciamentos de riscos em foco
Análise de Riscos: objetivos, incertezas e riscos
Monitoramento: avaliando a qualidade do sistema

Módulo III
O ALICERCE DE UMA ESTRUTURA DE CONTROLES EFICAZ
Objetivos: a gênese dos riscos
Riscos: a razão de ser de um controle
Análise de riscos: a priorização em foco
Mapeamento de processos

Módulo IV
CONTROLE INTERNO COMO UM PROCESSO
Modelo de gestão e metas
Melhorar e sustentar resultados: como pensar os controles como parte do modelo de gestão PDCA
Matriz de risco e controles: as “armadilhas” das matrizes
Planos de ação de melhoria
Testes de controles
Sistemas de suporte

Módulo V
NA PRÁTICA
Exercicios com simulação de situações do dia-a-dia

Informações Gerais
Carga horária: 16 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 
Gestão de Risco de TI

Objetivo
Com passar do tempo muitas empresas se tornaram dependentes de seus sistemas de informação. A área de TI fornece suporte as operações destas empresas, fazendo parte da estratégia de negócio ou como uma vantagem competitiva.

Para estas empresas, o ambiente de TI não pode ficar instável ou vulnerável, pois isto traria risco a sua operação.

Muitos negócios seriam perdidos e muitos clientes ficaram insatisfeitos, isto acarretaria um enorme prejuízo para a empresa.

O último relatório sobre a Gestão de Risco de TI - The Economist, - Assimilando os riscos da Tecnologia da Informação (Coming to grips with IT risk), conclui que as maioria das grandes empresas não gerência eficientemente os riscos associados à TI. Este relatório foi elaborado com base em pesquisa realizada com 145 altos executivos de corporações ao redor do mundo.
Se você precisa proteger os ativos de TI, seja para tornar o ambiente de TI mais estável e menos vulnerável, mais eficiente, ou para manter a conformidade com lei ou regulamentações (ANS, Susep ou Bacen). Este curso abordará a Gestão de Risco de TI, de forma objetiva e com a utilização das melhores práticas de mercado, como: frameworks (COSO) e guias de gestão para mitigar o risco operacional de TI e outros.

Público alvo
Gestor, Gerente de TI, Gerente de Desenvolvimento de Software, Lideres de Equipe, Coordenadores, Analista de Segurança, Gerente de Suporte Técnico, Analista de Sistemas, Gerente de Serviços de TI, Gerente de Infra-estrutura e qualquer profissional envolvido diretamente com a Gestão de Risco de TI.

Conteúdo Programático
1. Introdução

2. Visão geral sobre Risco
- Definição
- Natureza do Risco
- Componentes

3. Gestão de Risco de TI:
- Identificando os riscos
- Analisando de Severidade do Risco (Impacto vs Probabilidade)
- Respostas ao Risco
- Monitoramento

4. Controle Internos:
- Definição
- Compliance com regulamentação
- Controle Eficientes
- Auditoria Interna

5. As Melhores Práticas:
- Para Gestão de Risco Operacional: COSO
- Gestão Estratégica de TI: COBIT
- Gestão de Serviços de TI: ITIL
- Gestão de Segurança da Informação: ISO 17799
- Desenvolvimento de Software: Práticas PMBok e Processo Unificado
- Gestão de Fornecedores: e-SCM.

6. Elaboração de Estratégia de Gestão de Riscoem Ambiente de TI
7. Estudo do Caso

Informações Gerais
Carga horária: 8 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 
Governança de TI & Gestão de Projetos

Objetivo
Apresentação de como obter melhor desempenho da área de TI através da implantação da Governança de TI e Gestão de Projetos, de uma forma objetiva, simples e focada em resultados.

Público alvo
Executivos da empresa, Profissionais de TI, Gerentes de Projetos, Auditores, Analistas de Processos e Negócios, Analistas de Sistemas e Consultores.

Conteúdo Programático
• Definição de Plano Estratégico de TI;
• Alinhamento de TI e requisitos de negócios;
• Implantação da Governança com base no Cobit;
• Gerencia de serviços de com base na ITIL;
• Revisão dos Processos;
• Gestão de Projetos - PMI;
• Gestão da Segurança da Informação;
• Gestão de indicadores de desempenho;
• Gestão de Projetos no suporte da governança de TI;
• Cases.

Informações Gerais
Carga horária: 8 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 

ISO 20.000

Objetivo
A ISO 20000, aprovada em dezembro de 2005, é uma norma internacional que possibilita ás organizações a implementação de um sistema de gestão de serviços de tecnologia da informação, através do estabelecimento de controles e procedimentos direcionados ao negócio e requisitos do cliente e foi uma evolução da antiga norma BS 15000.

Principais objetivos
- Capacitar os profissionais em termos de conceitos fundamentais vinculados ao norma ISO 20.000;
- Qualificar, de forma didática e pedagógica, as principais características, requisitos e os inter-relacionamentos dos processos na gestão de serviços de TI;
- Oferecer material de apoio adequado, através da entrega de material didático completo em português;
- Fornecer informações relevantes sobre o processo de certificação ISO 20.000 e seus principais requerimentos.

Por quê buscar a ISO 20.000?
1. Proporcionar uma DIANTEIRA de mercado sobre organizações não certificadas (marketing muito valioso)
2. Confirma que a organização foi verificada, por auditores independentes, em termos de adequação ao padrão
3. Acrescentar CREDIBILIDADE à operação de gerenciamento de serviços da organização
4. Redução de riscos operacionais
5. Aumento da terceirização do Brasil
6. Maior produtividade
7. Fornece evidência, reconhecimento oficial, de que a qualidade do gerenciamento de serviços de TI é levada a sério na organização
8. Ajudar a documentar os processos de TI para fornecer uma base essencial à boa governança e são particularmente úteis na preparação para conformidade com regulamentações
9. O empresário corre menos riscos se for obrigado a substituir uma pessoa ou um grupo de pessoas, pois os novatos entram produzindo
10. Significa que clientes potenciais podem comprar serviços com segurança, sabendo que os processos de gerenciamento de serviços de TI da organização são sólidos
11. Risco e chance de erro reduzido
12. Informações mais confiáveis
13. Entrar em concorrência onde será necessário apresentar certificação
14. Pode ajudar a RETER os clientes atuais
15. ATRAIR novos Clientes.
16. Deixa a empresa mais atraente aos olhos do cliente
17. Em pouco tempo será um requisito como hoje é a ISO 9000

Diferencias
1. Excelente material de apoio em português;
2. Profissional com vasta experiência nos processos ITIL, base de referência da norma.

Público alvo
- Profissionais da área de Tecnologia da Informação e Telecomunicação (TIC);
- Profissionais de Provedores internos e externos de Serviços de TI;
- Gerentes de TI;
- Gerentes de Serviços, Gerentes de Infra-estrutura, Gerentes e Analistas de Negócios;
- Gerentes de Centro de Suporte Técnico;
- Analista de suporte;
- Gerentes de Call Centers, Help Desk e Service Desk;
- Profissionais envolvidos em desenvolvimento e manutenção de políticas de qualidade;
- Usuários ou clientes de serviços de TI internos ou terceirizados, que queiram auditar serviços de TI contratados, fomentar sua melhoria contínua, contribuir para o aprimoramento dos mesmos ou ainda realizar benchmarks com as melhores práticas estabelecidas.

Pré-requisitos
Conhecimento básico dos componentes e/ou serviços da Tecnologia da Informação e/ou Telecomunicação.

Metodologia
Aulas expositivas com exercícios, ao final deste curso, o participante será capaz de:
• Compreender a função e o relacionamento dos processos para gerenciamento de serviços.
• Conhecer as melhores práticas para entrega e suporte a serviços de TI.
• Identificar as ações necessárias para melhoria de processos internos.
• Saber quais são os componentes que integram cada uma das áreas-chave.

Conteúdo Programático
1. Contextualização;
2. Gestão de Serviços de TI (ITSM - IT Service Management);
3. Gestão por Processos;
4. Introdução ao modelo Introdução a ITIL;
5. Apresentação da norma ISO 20.000;
6. Apresentação dos principais requisitos para obtenção da certificação;
7. Exercícios de avaliação (assessment) para geração de um relatório de não conformidade.

Informações Gerais
Carga horária: 8 horas;

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

 

ITIL v3 Foundation
A Evolução das melhores práticas: ITIL 3.0

Objetivo
Nosso curso tem duração de 3 dias e apresenta aos alunos o ciclo de vida da Gestão de Serviços de TI, seus processos, funções e papéis.

O curso é 100% focado na preparação dos participantes para o exame ITIL FOUNDATION v3.

A versão 3 das melhores práticas da ITIL é composta de cinco principais disciplinas:

- Estratégia do Serviço;
- Desenho do Serviço;
- Transição do Serviço;
- Operação do Serviço;
- e Melhoria Contínua do Serviço.

Essas disciplinas representam a estrutura do ciclo de vida do serviço que proporciona melhorias ao alinhamento do negócio ao mesmo tempo demonstrando valor, ROI e permitindo a TI solucionar necessidades operacionais.

Principais objetivos:
Ao final do curso, você será capaz de:
Identificar os princípios chaves e conceitos da Gestão de Serviços de TI.
Identificar os benefícios da implementação de ITIL numa organização.
Identificar os processos do Gerenciamento de Serviços e como eles mapeiam o Ciclo de Vida dos Serviços.
Identificar os conceitos básicos e definições relacionadas ao Ciclo de Vida dos Serviços.
Identificar as atividades e papéis envolvidos com o Ciclo de Vida dos Serviços.
Identificar as relações de cada componente do Ciclo de Vida dos Serviços e como eles mapeiam outros componentes.
Identificar os fatores que afetam a eficácia do Ciclo de Vida do Serviço.

Público alvo
Gerentes de TI, Pessoal de Suporte de TI, Consultores de TI, Gerentes de Negócio, Proprietários de Processos de Negócio, Desenvolvedores de TI, Fornecedores de Serviços de TI, Integradores de Sistemas.

Pré-requisitos
Familiaridade com Tecnologia da Informação ou Telecomunicação.

Metodologia e Resultados
- Aulas expositivas, com aplicação de Estudo de Caso e Simulado.

Conteúdo Programático
1. Introdução
2. Gestão de Serviços como uma Prática
3. Ciclo de Vida do Serviço
4. Estratégia do Serviço
5. Desenho do Servico
6. Transição do Serviço
7. Operação do Serviço
8. Melhoria Contínua do Serviço
9. Tecnologia e Arquitetura
10. Avaliação do Treinamento

Informações Gerais
Carga horária: 24 horas;
Incluso:

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

Curso Anti-Hacker
Objetivo
O Curso de Tecnologias de Tecnologias Anti-Hackers foi desenvolvido para acompanhar pela internet todos os interessados em conhecer a fundo as técnicas usadas pelos hackers, como keyloggers, trojans etc, e discutir, junto com toda a nossa comunidade, quais medida devemos tomar para maior segurança.
O curso exige apenas como pré-requisito que você seja um usuário de internet. Vamos apresentar vários programas através de vídeos e com uma apostila completa que vai te ajudar muito durante o curso.
Você fará duas provas durante o curso, a primeira servirá para se auto avaliar, sabendo então o que deve estudar para melhorar. A segunda vai finalizar o curso, onde entregaremos o certificado pelo correio na sua casa.

Público alvo
Gerentes de TI, Pessoal de Suporte de TI, Consultores de TI, Gerentes de Negócio, Proprietários de Processos de Negócio, Desenvolvedores de TI, Fornecedores de Serviços de TI, Integradores de Sistemas.

Pré-requisitos
Familiaridade com Tecnologia da Informação ou Telecomunicação.
Metodologia e Resultados
- Aulas expositivas, com aplicação de Estudo de Caso e Simulado.

Informações Gerais
Carga horária: 40 horas;
Incluso:

Incluso:
a) Material didático (apostila impressa)
b) Certificado de Participação
c) DVD-R com material complementar

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

A Busca pelo acesso a Rede Mundial de Computadores
Em um relatório divulgado no segundo semestre de 2007 pela Symantec, uma das maiores companhias americanas de segurança na internet do mundo, o Brasil concentra 39% de todos os computadores infectados por “bots” na América Latina. Neste relatório também vemos que esse crescimento de bots por PC se da pelo desenvolvimento do mercado.

Segundo essa pesquisa nunca se vendeu tantos micros no Brasil como agora. A desoneração fiscal e o câmbio favorável à importação de componentes derrubaram os preços e abriram as portas do consumo à classe C. Só no primeiro semestre foram 4,33 milhões de unidades, incluindo micros de mesa e portáteis, de acordo com a Associação Brasileira da Indústria Elétrica e Eletrônica (Abinee).

A estimativa para o ano é de que as vendas alcançarão 10,1 milhões de máquinas, 23% a mais que em 2006. Esses volumes animam a indústria, mas representam um risco maior à segurança da rede.

Além do aumento da base de computadores, outros movimentos positivos do mercado acabam apresentando efeitos colaterais. É o caso das conexões de banda larga, que proporcionam acesso mais veloz à internet.

Segundo um levantamento recentemente divulgado pela Cisco Systems, a gigante americana de redes, o país encerrou o primeiro semestre com 6,549 milhões de conexões de banda larga. Essa infra-estrutura melhorada facilita tarefas como transferir arquivos, baixar música e trocar imagens, mas também expõem o usuário a mais riscos. E ameaças mostram o relatório da Symantec, não faltam - em quantidade e sofisticação.

A Organização do Crime na Internet
Nos primeiros tempos da internet, os hackers competiam entre si pela “honra” de disseminar o vírus que causasse a maior destruição possível. Quanto mais estardalhaço, melhor. Mas os tempos mudaram. Hoje os hackers são silenciosos porque o objetivo é financeiro: eles querem roubar informações financeiras das vítimas, vemos que acabou a busca pela “fama”, o objetivo, agora, é ganhar dinheiro.

O total aumentou das 74.482 invasões via internet mapeadas no segundo semestre de 2006 para 212.101 entre janeiro e junho de 2007. Os cavalos-de-tróia respondem pela maior parte desses riscos e essa preponderância mostra uma mudança significativa na área de segurança, afirma a pesquisa.

Nem sempre o hacker rouba as informações para o seu próprio uso, já existe um mercado em que as informações são revendidas a outros criminosos.

Isso significa que o crime on-line está se profissionalizando. O trabalho da Symantec mostra que já existe um mercado negro organizado de informações financeiras. Pela tabela internacional, dados de cartão de crédito - os mais procurados - valem de US$ 0,50 a US$ 5; os de conta em banco variam de US$ 30 a US$ 400; e os de endereços da internet saem por US$ 2 a US$ 4 o megabit.

Sob essa abordagem “profissional”, o tipo de ataque também está mudando radicalmente. Em vez de usar um único tipo de arma, como um cavalo-de-tróia ou uma phishing, os criminosos partiram para ameaças combinadas.

Um caso examinado pela Symantec no Brasil mostra até onde vai à nova geração de hackers. Ao clicar em um spam do tipo ‘você está sendo traído’, o usuário tinha seu computador infectado por um downloader - um programa que baixa outros aplicativos da internet.

Mais tarde, o downloader baixava um cavalo-de-tróia para a máquina. “Como a transferência não era imediata, o software de antivírus entendia que o download era legítimo e não detectava o cavalo-de-tróia” depois disso, o cavalo-de-tróia ficava hibernando.

Só “acordava” quando o usuário entrava no site de um entre cinco bancos pré-determinados pelo vírus. Então, o cavalo-de-tróia abria uma página falsa, em que eram pedidos senhas, números de conta etc, a título de atualização dos dados. Posteriormente, as informações eram transferidas para computadores instalados na Rússia e China, entre outros lugares.

O golpe era tão bem planejado, que o programa só pedia os dados no primeiro acesso. “Se a solicitação se repetisse nas outras vezes, o usuário poderia perceber que algo estava errado”.

Competitividade no Sistema de Informação
O mercado como um todo hoje no século XXI exige que as negociações sejam realizadas na mesma velocidade que as transmissões dos dados, mas para que isso possa acontecer de uma maneira que satisfaça todos os interessados é necessário que a busca pela excelência na gestão seja uma atividade constante e em eterno desenvolvimento.

Muitos modelos de Excelência da Gestão existem no mercado, contudo as peculiaridades existem no mercado e dentro destas necessidades únicas se busca um modelo que contemple a sistematização das praticas de gestão e padrões de trabalho na organização visando o atendimento das necessidades das partes interessadas no negocio.

Para obter sucesso, as organizações devem estabelecer um sistema de segurança das informações que permita entender as demandas do negocio e atuar, de forma competitiva, para o alcance dos seus objetivos e metas de curto e longo prazo, trabalhando desta forma também com a liderança. Os sistemas de informação estruturados podem apresentar como a liderança é exercida na organização de modo a promover o pleno exercício de orientação e direcionamento para os negócios. Esclarece como as principais decisões são tomadas, comunicadas e conduzidas em todos os níveis da organização.

Padrões para Gerenciamento a Tecnologia da Informação
Todos nós sabemos que a informação é uma questão de sobrevivência mercadológica, gestão de ativos de TI desempenha papel central na estratégia de serviços de informação. Especialmente no que diz respeito a ativos de software, ela permite que a organização maneje de forma competente os programas que tenha adquirido ou desenvolvido. Além disso, relacionam-se com idéias importantes no contexto de negócios e de tecnologia, tais como a segurança de estrito cumprimento dos requisitos legais quanto à propriedade intelectual; a otimização do número e do tipo de licenças a serem mantidas e do respectivo custo associado; a padronização de software ao longo do universo de computadores; e a gestão de configuração do sistema computacional, entre outras.

Saber se a plataforma de TI está posicionada estrategicamente com a empresa é uma questão que deve estar na cabeça de cada gestor, mas também os custos, que são comprometidos pela área, devem ser examinados minuciosamente.

Medir esses dados é difícil, pois, de certa forma, a TI é intangível e o conhecimento da atividade, muitas vezes, é restrito. É comum ouvir falar que os investimentos feitos pela empresa X em tecnologia de ponta foram em bilhões de reais, mas é indispensável saber se o valor aplicado supriu as necessidades; se o montante sofrerá modificações posteriores pela falta de conhecimento prévio do negócio ou se apresenta soluções harmônicas com o alinhamento estratégico da empresa e com os seus planos para os próximos 10 ou 20 anos. Essas soluções extremas e rápidas para gestão da área são anunciadas todos os dias, mas buscar meios mais eficientes e de custo acessível, que demonstrem qualidade, são pontos que devem ser considerados, pois nem sempre o serviço com custo mais alto é o ideal para ser utilizado.

ISO IEC 27000 e ISO IEC 20000
Cresce no mercado a percepção de que segurança da informação é um investimento e não uma despesa. No mundo corporativo, a área financeira, onde as empresas centralizam volumes gigantescos de informações estratégicas, se tornou de fundamental importância para a proteção do negócio.

A adoção e o uso da TI trazem diversas vantagens. Uma delas é a otimização dos processos internos, o que proporciona o avanço dos negócios e aumenta a competitividade. Neste sentido, os recursos disponibilizados pela TI devem ser explorados de acordo com o planejamento estratégico e alinhados à proposta da empresa, pois, do contrário, se utilizados apenas de forma emergencial, só geram custos desnecessários.

Hoje obter a certificação ISO 27001 é o caminho para mostrar ao mercado que a sua empresa é absolutamente segura no tráfego de informações. Esse selo garante que sua empresa tem um modelo de gestão de segurança da informação dentro dos parâmetros aceitos internacionalmente para um bom ambiente de negócios. Ter o certificado ISO 27001 dá um diferencial competitivo para a comunicação e relacionamento com seus públicos, mostrando que a sua empresa garante a segurança das suas práticas internas e das informações dos seus parceiros e clientes. A evolução das normas de certificação permitiu que o modelo britânico BS 7799 fosse incorporado pela ISO. Com respaldo de uma instituição internacional que gerencia o estabelecimento de padrões mundiais de certificação em diversas áreas, a empresa que conquistar a ISO 27001 terá a validação mais importante do mundo corporativo para suas práticas de segurança da informação.

Na verdade, a norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos que as normas de sistemas de gestão já incorporaram. A revisão foi feita por um comitê técnico de âmbito internacional, formado pela ISO e pelo IEC, o ISO/IEC JTC 1, subcomitê SC 27, que através de um trabalho conjunto que ocorreu desde 2000 efetuou as alterações que são a compilação de diversas sugestões que os membros deste comitê apresentaram ao longo do trabalho, cujas reuniões de discussão e apresentação dos resultados ocorreram em diversos países até o primeiro semestre de 2005.

A ISO IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos estrutura o SGSI (sistema de gestão de segurança da informação), em que são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança e no Anexo A que passou a ter na ISO IEC 27001 11 seções, pois foi incluída a seção Gestão de Incidentes de Segurança da Informação:

5.Política de Segurança da Informação;
6. Organizando a Segurança da Informação;
7. Gestão de Ativos;
8. Segurança em Recursos Humanos;
9. Segurança Física e do Ambiente;
10. Gerenciamento das Operações e Comunicações;
11. Controle de Acessos;
12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
13. Gestão de Incidentes de Segurança da Informação;
14. Gestão da Continuidade do Negócio;
15. Conformidade.

A segurança da informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplicam-se tanto as informações corporativas quanto as pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente.

A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tem o objetivo de furtar, destruir ou modificar a informação.
A tríade CIA - Confidencialidade, Integridade e Disponibilidade - Outras propriedades estão sendo apresentadas (legitimidade e autenticidade) na medida em que o uso de transações comerciais em todo o mundo, através de redes eletrônicas (públicas ou privadas) se desenvolve. Os conceitos básicos podem ser explicados:
• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

O nível de segurança desejado, pode se consubstanciar em uma política de segurança que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido. Para a montagem desta política, tem que se ter em conta: riscos associados à falta de segurança; benefícios; e custos de implementação dos mecanismos.

ISO IEC 20000 - especificações e boas práticas para o gerenciamento de serviços de TI Baseada na antiga BS 15000, a norma apresenta um conjunto de requisitos certificáveis para a gestão de serviços de TI, e uma de suas principais características é a de estar alinhada às recomendações previstas pelo IT Infrastructure Library - ITIL (Biblioteca de Infra-estrutura de TI). A norma foi publicada em duas partes: ISO IEC 20000-1:2005 - especificações, e ISO IEC 20000-2:2005, que aborda o código de boas práticas para a gestão de serviços de TI.

Auto-avaliação para gestão de software
A ISO tem uma ferramenta de definição para 27 processos da gerência de recurso do software, foi publicado pelo ISO em maio de 2006. Com a uma idéia de facilitar a auto-avaliação em CD, para ajudar organizações a assegurar um ambiente de TI de fácil funcionamento durante a implementação da norma ISO IEC 19770-1: 2006 na gestão de softwares.

Esse sistema permitira que os prestadores de serviço melhorassem a qualidade do serviço prestado aos clientes ele contempla uma interface mais agradável, documentação para auto-avaliação de fácil manuseio, preparação mais rápida para certificação facilitando a analise de gaps e registro do progresso e o fornecimento do status da organização com relação aos requisitos da certificação.

A primeira parte do padrão, já divulgada, ataca os processos de gestão dos ativos de software, divididos em seis grandes áreas:
• Ambiente de controle: cobre os processos, procedimentos, políticas, papéis e responsabilidades, declarações de requisitos e comunicações, assim como a avaliação corrente dos processos de software asset management (SAM)
• Planejamento e implementação: mapeia as atividades previstas, os recursos necessários, as estrutura de relatórios, medidas e verificações e um processo de melhoria contínua.
• Inventário: define a seleção de escopo, a confirmação dos ativos incluídos e a monitoração auditável de sua existência, acesso, utilização e armazenamento.
• Verificação e conformidade: cobre os processos de identificação e registro de ativos de software e a validação do inventário contra as licenças existentes, além de outros processos relacionados.
• Gestão de operações: Cobre a política de segurança e evidências documentais de implementação, a gestão de relacionamento com fornecedores e os respectivos contratos, incluindo as relações com clientes e usuários e a manutenção de acordos de nível de serviço (SLAs) para a gestão e manutenção de documentos contratuais e orçamentos.
• Ciclo de vida: cobre o ciclo de vida dos ativos de software, desde a perspectiva de gerência de mudança, passando pela sua seleção, aquisição e/ou desenvolvimento, gerência de incidentes e problemas, até sua cessação de uso, transferência, destruição, etc.

A segunda parte do standard, ainda não publicada, vai definir critérios para a identificação de produtos, com o objetivo de facilitar o processo de inventário.

Conclusão
O processo de certificação ISO 20000 é semelhante ao de outras normas bastante conhecidas, como a ISO 9001:2000. Após a implementação do Sistema de Gestão (que envolve o apoio da alta administração ao longo de todo o processo, a documentação do sistema incluindo o fluxograma de processos, o treinamento dos funcionários, entre outros requisitos), a empresa realizará uma pré-auditoria seguida da auditoria de certificação. As manutenções serão feitas anualmente e após três anos será feita a auditoria de recertificação.

Com a aplicação da norma, o setor de tecnologia da informação, que está sempre em busca de inovações, melhores resultados na prestação de seus serviços e preocupado em garantir a satisfação de todos os seus clientes, passará a ter maior controle de seus processos e os tornará cada vez mais eficazes e alinhados, de acordo com os novos requisitos, garantindo assim o sucesso de suas negociações, em um mercado cada vez mais competitivo e globalizado.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Conceitos básicos de Governança de TI e a sua importancia para os negócios

DEFINIÇÃO BÁSICA
Governança, ato de governar-se, segundo os dicionários, é a palavra da moda. Governança de TI (Tecnologia da Informação) é uma derivação de Governança Corporativa, termo que tem hoje grandes aplicações no mundo dos empresarial. O conceito de governança corporativa surgiu nos Estados Unidos e na Inglaterra no final dos anos 90 e está relacionado à forma como as empresas são dirigidas e controladas. É a designação dos direitos de decisão em domínio de resoluções relevantes. Isso significa que as empresas precisam saber quem toma as decisões e quais os processos pelas quais essas decisões são tomadas. Não vale para qualquer atitude adotada numa companhia, deliberações sem grande relevância. Vale para decisões importantes, de grande valor para as organizações.

Governança de TI são estruturas de relacionamentos e processos para dirigir e controlar a organização no alcance de seus objetivos. Agregar valor a esses objetivos. Ao mesmo tempo, equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos. São estruturas e processos que buscam garantir que a Tecnologia da Informação suporte e leve os objetivos e estratégias da organização a assumirem o seu valor máximo. Permitem controlar a execução e a qualidade dos serviços. Viabilizam o acompanhamento de contratos internos e externos. Definem, enfim, as condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.

NEGÓCIOS EM TRANSFORMAÇÃO
A Governança de TI ganha força no atual cenário de competitividade do mundo dos negócios. Um mundo onde é cada vez maior a necessidade de adoção pelas áreas de TI de mecanismos que permitam estabelecer objetivos, avaliar resultados, examinar, de forma detalhada e concreta se as metas foram alcançadas. A experiência mostra que os antigos manuais de procedimentos utilizados pelas organizações já não atendem mais aos requisitos das empresas. No passado, era uma simples questão de gestão e organização. Arrumava-se a organização, indicavam-se as funções e as questões eram resolvidas por gestão.

Hoje, não é mais possível resolver as coisas dessa maneira. O turbulento ambiente empresarial, que se apóia na tecnologia, vive em constante mutação e exige formas mais ágeis e flexíveis de gerenciamento. Os negócios estão em transformação. A Tecnologia da Informação, igualmente, está em processo de mudança. Por isso, ao invés de se prescrever as decisões em manuais como se fazia no passado é necessário designar poderes de decisão da melhor maneira possível. Internamente, a governança visa designar os direitos de decisão nas questões de real valor tendo por fim atingir os objetivos de negócio.

Dentro dessa ótica, governança de TI nada mais é do que uma estrutura bem definida de relações e processos que controla e dirige uma organização no atual cenário de forças econômicas em extrema competição. O foco é permitir que as perspectivas de negócios, de infra-estrutura de pessoas e de operações sejam levadas em consideração no momento de definição do que mais interessa à empresa, alinhando a tecnologia da informação à sua estratégia.

MOTIVAÇÕES INTERNAS: MAXIMIZAÇÃO DOS INVESTIMENOS
A adoção acelerada de processos de gestão de infra-estrutura nas empresas, dentro do conceito de Governança de TI, tem como principal motivação, internamente, a cobrança crescente sobre as responsáveis pelas operações de tecnologia da informação quanto à maximização do uso dos investimentos já realizados. O apelo faz sentido. Nos últimos anos, os investimentos em TI cresceram de maneira dramática. Em 2003, os gastos mundiais com infra-estrutura de TI atingiram US$ 1 trilhão. Nos Estados Unidos e Europa, segundo o instituto de pesquisas Gartner Group, as empresas investem, em média, cerca de 4% de sua receita em TI. No Brasil, a média de investimento foi de 4,9% do faturamento líquido das empresas, contra 1,23% registrado em 1988, informa um levantamento efetuado pela Fundação Getúlio Vargas. Por trás de tamanha dedicação na aplicação dos recursos financeiros em TI está a preocupação das empresas em melhorarem seus processos operacionais, reduzirem custos, aumentarem a eficiência de seus funcionários, aperfeiçoarem a relação com fornecedores, parceiros e clientes. Em artigo publicado na Revista Technology@Intel, em abril deste ano, sob o título “Standardized IT Infrastructure for Higher Business Value”, Robert Shiveley, gerente de soluções de negócios empresariais da Solutions Market Development Group Intel Corporation, informa que avaliações publicadas recentemente nos principais jornais de gerenciamento de liderança contestam a sabedoria convencional de que investimentos na infra-estrutura de TI invariavelmente melhoram o valor dos negócios. Baseados em parte em bem documentados acréscimos nas despesas de operação na infra-estrutura de TI, alguns observadores tem sugerido até mesmo que o caminho mais seguro para muitas companhias pode ser simplesmente evitar fazer qualquer tipo de investimento em TI. Independentemente de se concordar ou não com essas conclusões, é fato que com a contínua evolução da infra-estrutura empresaria de TI, incluindo a tarefa de gerenciar soluções heterogêneas de diferentes fornecedores, organizações de TI têm hoje mais dificuldade do que nunca de manter os custos operacionais sob controle. Elevada complexidade de gerenciamento é uma das principais razões pelas quais organizações de TI têm sido forçadas a aumentar dramaticamente seus orçamentos e equipes, dedicando até entre 70% a 80% de seus recursos disponíveis para manter sistemas e aplicações existentes. Como mostra o quadro abaixo, mesmo uma redução modesta nos custos operacionais pode liberar recursos significativos para novos serviços e capacidades.

No final de contas, trata-se de ocupar mais espaço no mercado, com mais lucratividade. Mas apesar desse esforço, um fato é inegável: poucas são as empresas que conseguem saber, efetivamente, qual o retorno que esses investimentos têm trazido. A maioria das empresas está ainda carente de mecanismos que possam gerenciar e controlar a utilização de TI de maneira a criar valor e trazer retornos consistentes à organização. A estratégia de implantação dos princípios de governança de TI buscar superar essa carência e criar formas de controlar e quantificar os resultados das otimizações. Estudo realizado pelo MIT (Massachusetts Institute of Technology) com 250 empresas em 23 países revelou que as empresas com governança de TI melhor do que a média conseguem um retorno pelo menos 20% maior sobre seus bens do que as organizações com uma governança mais fraca. Ou seja, as empresas mais lucrativas são as que implementaram, de alguma forma, as modernas práticas de governança de TI.

MOTIVAÇÕES EXTERNAS: EXIGÊNCIAS LEGAIS – A LEI SARBANES-OXLEY
A Governança de TI surgiu num quadro de preocupações crescentes com a governança corporativa, decorrente de escândalos administrativos em empresas de grande expressão. Em 2 de dezembro de 2001, a gigante norte-americana do setor energético Enron, com faturamento superior a US$ 100 bilhões, entrou em falência. Deu início a uma série de escândalos corporativos (Tyco, Global Crossing, Qwest, Merck, Halliburton, Lucent, Vivendi, Xerox e Parmalat entre outras) que colocou na ordem do dia questões como ética nos negócios, transparência, governança corporativa, conflitos de interesse entre acionistas e gestores das corporações, conflitos de interesse entre acionistas minoritários e os controladores, conflitos de interesse entre as corporações e a sociedade. Por fim, colocou em xeque os sistemas de gestão até então vigentes.

A governança surgiu nesse cenário visando garantir o componente ético da organização, representado por seus diretores e outros funcionários, na criação e proteção dos benefícios para todos os acionistas. Como alcançar isso de forma clara. O mercado reagiu à onda de escândalos com várias iniciativas, próprias ou derivadas de leis que obrigam a uma maior transparência da gestão. O Acordo de Basiléia II, em 2001, voltado para aspectos financeiras e de transparência das empresas, e a Sarbanes-Oxley Act, de 2002, com leis voltadas para definição de critérios de governança, criaram regras que se espalharam pelas organizações e chegaram até as áreas de TI. Sarbanes-Oxley tem artigos diretamente voltados para a área de TI, que faz parte da governança corporativa.

Considerada por muitos como uma espécie de caixa preta, a área de TI tem suas ações pouco conhecidas dentro das organizações. Na maioria das empresas, não existe alinhamento das estratégias de TI com as estratégias de negócios. É um setor com enorme quantidade de recursos, linguagem própria, de difícil entendimento pela organização. Só um novo sistema de gestão pode trazer esse conhecimento mais amplo dos objetivos de TI. Apenas com novas práticas de governança será possível fazer a adequação de TI com a estratégia de negócios das organizações. No Brasil, esse é um movimento que começou com as filiais das empresas estrangeiras, mas tende a se ampliar para as empresas nacionais de maior porte.

Saiba mais……….

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Por: Airon Fonteles da Silva

Introdução

Gerência de redes. O termo já teve seus altos e baixos, mas se mantém vivo para os profissionais da área. É bem verdade que a maioria esmagadora das empresas utiliza uma técnica bem conhecida para fazer a gerência: a gerência da porta aberta. Basicamente esta técnica se resume ao nosso “gerente de rede” sentado em sua cadeira, com a porta de sua sala aberta, esperando alguém gritar e reclamar por um serviço que deixou de funcionar corretamente.

Mais difícil ainda é a gerência de segurança. Sim, esta é mais uma área de gerência de redes que é pouco conhecida e pouco implementada pelos profissionais da área. Mesmo supondo que a empresa em questão tenha implementado uma política de gerência de redes e existam regras de segurança, a gerência dessas regras ou políticas é feita quase que de forma empírica.

Políticas de segurança

Bem, a gerência de segurança está baseada em regras de segurança, ou seja, temos que ter, antes de tudo, uma política de segurança. Em redes de qualquer dimensão este aspecto deve estar presente desde a concepção da mesma. É um aspecto importante, pois tem impacto direto em escabilidade, desempenho entre outros.

Podemos observar claramente que uma política de segurança consiste em especificar formalmente as regras que deverão ser seguidas pelas pessoas para acessarem os recursos da empresa.

Independente da política de segurança ter sido concebida na parte de projeto da rede em questão, prática altamente recomendada, mas usualmente não seguida, temos os seguintes passos a seguir:

a) Identificar o que você está interessado em proteger;
b) De quem você está preocupado em proteger;
c) Determinar quais as principais ameaças;
d) Implementar as medidas que protegerão os recursos com uma boa relação custo-benefício;
e) Rever este processo continuamente aperfeiçoando e eliminando possíveis falhas.

Impactos econômicos

Entre as atividades necessárias para a implementação de uma política de segurança, encontramos alguns entraves que podem causar problemas relativamente sérios para uma implementação que traga os resultados desejados. Isso acontece porque a implementação de uma política como esta tem vários pontos de contrapartida. Vejamos alguns deles.

Todos os problemas que encontramos aqui podem ser sérios e comprometer a implementação de uma política de segurança. Do ponto de vista econômico, por exemplo, existe um custo para se implementar tal política. A questão que deve ser apresentada é: é economicamente viável sua implementação? Profissionais da área de TI sempre irão dizer que sim, pois segurança é essencial em qualquer empresa. Mas essa não é a maneira de pensar de quem tem o dinheiro pra investir na empresa.

Vejamos, a maneira mais fácil de convencer quem detem os recursos para investimento fazê-lo, é apresentar uma análise de retorno de investimento (Return of Investiment, ROI). A grosso modo, o que deve ser feito é uma análise de em quanto tempo o investimento feito terá o seu retorno e compará-lo com o tempo necessário para que este mesmo investimento tivesse retorno caso fosse feita uma aplicação tradicional. Isto é o que justificaria o investimento na política de segurança. É desta maneira que calculamos se ela será ou não viável. Mas temos um grave problema neste ponto. Como mensurar os ganhos, perdas e custos da política de segurança? Este é realmente um problema complexo onde atualmente temos muitas incertezas e temos que lidar com estimativas. Além disso, temos que lidar com o valor da informação, que costuma ser uma coisa intangível.

Dentro deste mesmo panorama, podemos citar como exemplo, o custo de treinamento de pessoal, o custo de se implantar um firewall ou um sistema de detecção de intrusão. Esses últimos requerem uma análise não apenas de custo de software ou hardware. Temos que analisar também os impactos na utilização dos recursos que a habilitação deste tipo de ferramenta incorre.

Impactos de desempenho

Um estudo interessante é apresentado em [Paulo03]. Nele são apresentados os impactos da utilização de mecanismos de segurança em redes 802.11. O que temos na verdade é um estudo dos impactos de desempenho, que claramente tem forte ligação com a questão econômica, que a implementação deste tipo de ferramenta acarreta. Por exemplo, a utilização de criptografia de chave pública requer um tempo de processamento adicional nos hosts envolvidos.

O sonho dos profissionais de segurança é que toda comunicação seja de feita de forma criptografada, que tenhamos firewalls e sistemas de detecção de intrusão rodando permanentemente, enfim, que sejam implementados todas as ferramentas possíveis para proteger a informação e a infra-estrutura de rede da empresa. Mas tudo isso tem um custo que não pode ser desprezado. Por isso que esta análise, mesmo que subjetiva em alguns aspectos deve ser levada em consideração na elaboração de uma política de segurança.

Nesta questão de desempenho, faltam ainda muitos estudos para que uma melhor gerência de segurança possa ser colocada em prática, mas o caminho já foi iniciado e muito em breve teremos condições de analisar melhor os impactos que cada medida tomada tem nos recursos disponíveis e termos a possibilidade de tomarmos as melhores decisões para a utilização dos mesmos.

Impactos políticos

Adicionar regras de acesso a recursos nem sempre é tarefa das mais fáceis. Este é apenas um exemplo do que podemos esperar com a implementação de uma política de segurança.

Delegar direitos, restrições, obrigações e responsabilidades são políticas fundamentais na elaboração de uma boa política, pois o principal risco de segurança está nas pessoas. Sejam elas administradores que não fizeram uma atualização necessária em um software essencial, ou mesmo um funcionários insatisfeitos que têm acesso a mais informações do que deveria.

Este é um ponto em que a gerência pode ser feita de uma maneira satisfatória pois desta vez estamos lidando com coisas que se pode verificar um pouco mais facilmente. Neste caso, é de suma importância realizar auditorias periódicas para verificar se estas políticas estão sendo de fato obedecidas.

Como gerir tudo isso?

Obviamente não há ferramenta disponível que seja capaz de lidar com tamanho nível de incerteza e abstração. Por isso que a gerência de segurança é um tema as vezes pouco abordado pelos profissionais da área. Uma possível solução para isto é a adoção de ferramentas individuais.

Pode-se, por exemplo, analisar um intervalo de confiança em que se é possível realizar determinada atividade e através de determinada ferramenta individual (um sistema de gerenciamento de chaves, por exemplo), ajustar o nível de segurança para se obter uma melhor qualidade de serviço sempre respeitando o nível mínimo de segurança exigido pela mesma.

Esta não é tarefa das mais fáceis numa rede de grandes proporções. Ainda há muita coisa a se fazer e muita coisa já está sendo feita para melhorar o patamar em que nos encontramos. Mas uma boa política de segurança aliada com a gerência da mesma continua sendo indispensável para qualquer empresa, independente de suas dimensões.

Saiba mais

Referências

[Paulo03] Paulo Ditarso M. Júnior, Bruno A. A. Nunes, Carlos A. V. Campos, Luís F. M de Moraes. Avaliando a Sobrecarga Introduzida nas Redes 802.11 pelos Mecanismos de Segurança WEP e VPN/IPSec. WSeg 2003 - XXI Simpósio Brasileiro de Redes de Computadores (SBRC2003)

[rfc2196] RFC 2196 - Site Security Handbook. The Internet Engineering Task Force, September 1997

[Orl91] Eugenio Orlandi. The cost of security. Proceedings 25th Annual 1991 IEEE International Carnahan Conference on Security Technology, 1-3 Oct. 1991 Pages: 192 - 196

[Spy00] Evdoxia Spyropoulou, Timothy E. Levin, and Cynthia E. Irvine, Calculating costs for quality of security service. Proceedings of the 16th Annual Computer Security Applications Conference, New Orleans, Louisiana, USA, December 11-15, 2000, pp. 334–343.

[Ste91] Daniel F. Sterne, On the Buzzword “Security Policy” Proceedings IEEE Computer Society Symposium on Research in Security and Privacy, 20-22 May 1991 Pages: 219 - 230

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Diagnóstico
O processo de “Diagnóstico” consiste em analisar a probabilidade de ameaças explorarem vulnerabilidades, considerando-se os mecanismos de segurança implementados.

Tem como objetivo minimizar o risco, evitar perda de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios.

Qual é a situação atual?

Atualmente as empresas têm reconhecido que a Segurança das Informações desempenha um papel importante para que objetivos sejam atendidos e novos negócios sejam viabilizados. Contudo, as complexas topologias de rede atuais, onde às conexões estão ultrapassando fronteiras, estão cada vez mais em um ambiente hostil: atacantes estão colocando a prova a segurança das informações com uma freqüência cada vez maior e exigindo uma resposta aos incidentes ou ataques de forma cada vez mais rápida. Podemos perceber que no cenário atual, as empresas não são capazes de reagir aos ataques ao seu ambiente computacional a tempo de impedir prejuízos financeiros diretos e indiretos aos negócios. Sendo assim, o maior desafio das empresas atualmente é conseguir gerenciar a Segurança das Informações no seu ambiente tão complexo.

Qual é a situação “ideal”?
As empresas devem gerenciar a Segurança das Informações desenvolvendo estratégias pró-ativas e re-ativas, analisando todos os riscos para o processo de negócio. A elaboração de um trabalho voltado para o “Diagnóstico” da segurança, permite que as empresas analisem com eficiência o estado atual do ambiente, determinando o grau de proteção dos ativos em informações contra possíveis ameaças. Sendo assim, os esforços e orçamentos serão direcionados para atividades mais prioritárias para o processo de negócios.

a) Análise de Risco
b) Análise de Vulnerabilidades
c) Análise de Segurança na Aplicação
d) Teste de Invasão

Análise de Risco
A análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto das ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida.

A identificação dos riscos e seu correto entendimento irá direcionar os investimentos de forma consciente obtendo melhores resultados.

Saiba mais…

A análise de riscos é usada para verificar possíveis ataques, ferramentas, métodos e técnicas que podem ser usados para explorar uma vulnerabilidade. A análise de riscos da informação é um método de identificação de riscos e avaliação dos possíveis danos que podem ser causados, a fim de justificar os controles de segurança.

A análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto de possíveis ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida.

Um dos desafios da área de Segurança da Informação, ou até mesmo do departamento de Tecnologia da Informação, é integrar os objetivos do programa de segurança aos objetivos e requisitos de negócios. Para que todos os requisitos de negócios sejam atendidos, a empresa deve alinhar os objetivos de segurança com os objetivos de negócios. Apenas dessa forma o programa de segurança será bem sucedido.
A análise de risco ajuda a empresa a delinear um orçamento adequado para um programa de segurança e os componentes de segurança que formam esse programa. Quando a empresa souber o valor dos ativos e entender as possíveis ameaças a que eles estão expostos, a alta direção poderá tomar decisões inteligentes sobre o quanto investir na proteção desses ativos.

A análise de risco tem como objetivos:
• Identificar ameaças em potencial à segurança de TI (Tecnologia da Informação) e sua probabilidade aproximada.
• Identificar o valor dos ativos, inclusive seu valor indireto, caso sejam danificados ou violados.
• Usar esses valores quantificados para identificar as atividades mais adequadas e econômicas para proteger o ambiente.
• Definir e gerenciar uma diretiva formal de gerenciamento de riscos de segurança.
• Integrar o gerenciamento de riscos de segurança ao ciclo de vida da infra-estrutura de TI.
• Definir processos para aprimorar a especialização em gerenciamento de riscos na empresa por meio de iterações do ciclo do gerenciamento de riscos.

Análise de Vulnerabilidades
A confiabilidade, integridade e disponibilidade da informação são fundamentais para o bom andamento dos negócios.

Realizar inspeções de segurança para analisar a chance de perda para um ativo específico, possibilita uma estatística das vulnerabilidades existentes e os impactos resultantes. É uma etapa fundamental para definição correta das medidas de proteção e das necessidades de acerto no ambiente computacional.

O resultado final é uma análise do ambiente existente, comparando a situação atual com o ambiente desejado. São fornecidas recomendações técnicas e administrativas para minimizar os ricos e proteger os negócios.

Um fato muito comum que podemos encontrar em diversas empresas, é o profissional de TI acumular diversas tarefas e quase sempre sendo pressionado a realizar suas tarefas da maneira mais rápida possível e sem causar inconveniências aos usuários. Quando um incidente de segurança acontece, muitos profissionais de TI percebem que a única coisa que têm tempo de fazer é conter a situação, descobrir as causas e reparar os sistemas afetados no menor tempo possível.

A análise de vulnerabilidades identifica a raiz do problema e quais recursos são necessários para resolver o problema e minimizar o risco. A empresa começa a desenvolver uma estratégia reativa de segurança, minimizando o risco do ambiente computacional ser explorado por um atacante ou uma ameaça qualquer, a aproveitando melhor seus recursos computacionais.

Análise de Segurança na Aplicação
As aplicações (softwares e sistemas de computador) são desenvolvidas para automatizar e viabilizar os processos e negócios da empresa. Certificar que essas aplicações operem com a segurança necessária é fundamental para a viabilidade do próprio negócio.

A análise de segurança na aplicação consiste em analisar o contexto tecnológico e não tecnológico relacionado na aplicação e identificar quais os requisitos de segurança que existem ou que deveriam existir na aplicação. Avaliar o nível de garantia de segurança desses requisitos implementados na aplicação.
Todo o processo de avaliação é realizado em conformidade com a norma ISO/IEC 15408 Common Criteria.

O resultado final é a documentação da aplicação, o relatório final da avaliação e em caso de resultado positivo é emitido um Certificado de Segurança para a aplicação.

Quando uma empresa disponibiliza uma aplicação WEB na Internet, Intranet ou Extranet, a imagem da empresa e o seu sistema estão expostos a diversas ameaças. Para minimizar perdas financeiras, a única solução é identificar as ameaças e gerenciar os riscos associados. O desenvolvimento desta atividade permite realizar uma análise e concentrar os recursos nas questões relevantes, maximizando o retorno do investimento e garantindo a continuidade dos negócios.

O desenvolvimento desta atividade, em parceria com nossos clientes, é muito mais econômica e eficiente do que a implementação casual de sistemas de segurança sem o conhecimento preciso das ameaças que cada recurso de segurança deve solucionar.

Esta fase da metodologia BSM tem como objetivo identificar e classificar ameaças existentes na aplicação dos nossos clientes, com base em um conhecimento de vulnerabilidades das aplicações. O resultado das informações obtidas nesta fase possibilita tratar as ameaças existentes com as contramedidas apropriadas definindo prioridades, ou seja, começando pelas ameaças que apresentam maior risco para a organização.

Teste de Invasão
O teste de invasão tem como objetivo analisar os ambientes e seus sistemas de segurança pela ótica do invasor, sendo considerada uma técnica essencial para o bom andamento dos negócios. O objetivo não é causar danos, mas sim testar a eficácia dos mecanismos de segurança existentes.

a) Situação atual
b) Teste de Invasão
c) Macro etapas para o Teste de Invasão
d) Programa de Teste de Invasão

Situação atual
Atualmente, as organizações estão priorizando o aumento da segurança do seu ambiente computacional. Alguns fatores que contribuem com a estruturação da área de segurança dentro das organizações são:

a) Os negócios de qualquer organização são desenvolvidos através de uma rede computadores conectados à Internet.

b) Alguns regulamentos obrigam as organizações a manter as informações seguras, tais como:
1) Sarbanes-Oxley
2) California Senate Bill 1386 (SB 1386)
3) HIPAA (Health Insurance Portability and Accountability Act)
4) Resolução 3.380 do Banco Central do Brasil

c) Aumento da proliferação vírus de computador e ataques ao ambiente computacional.

Teste de Invasão
O teste de invasão é um conjunto de técnicas e metodologias para testar a conformidade com as regulamentações (nacionais e internacionais), normas internas e diretivas de segurança da informação.

É extremamente recomendado para:
a) Detectar vulnerabilidades desconhecidas.
b) Restringir a capacidade de hackers acessarem as informações da organização.
c) Evitar multas por não estar em conformidade com regulamentos (nacionais ou internacionais).
d) Limitar os pontos de exposição das informações da organização.
e) Avaliar a eficiência das medidas de segurança implementadas.
f) Evitar roubo de propriedade intelectual.
g) Evitar indisponibilidade dos negócios da organização.

Macro etapas para o Teste de Invasão

1. Coleta de informações, para levantar todo e qualquer tipo de informação disponível sobre a organização, em especial dados sobre endereços de máquina e redes, nomes de usuários, sistemas utilizados, serviços prestados, estrutura organizacional, etc.
2. Mapeamento do ambiente, após obtidas as informações iniciais, o especialista através de técnicas mais agressivas, procura mapear ainda mais a rede da organização. Enquanto na fase de coleta há pouca atividade diretamente realizada contra a rede avaliada, nessa etapa as máquinas passam a receber tráfego especificamente voltado para o levantamento da rede, como por exemplo port scanning, tcp/ip, fingerprinting, consultas sobre versões de aplicativos, etc.
3. Mapeamento de vulnerabilidades, é uma das partes mais importantes do teste de invasão. De posse do mapeamento do ambiente, o especialista é capaz de mapear vulnerabilidades de um sistema, através de banco de vulnerabilidades ou baseado em sua experiência. Essas vulnerabilidades podem ser tanto operacionais, como usuários com senha trivial, ou vulnerabilidades de software como uma versão insegura do Sistema Operacional ou seus aplicativos.
4. Exploração/Invasão, é a etapa do teste onde o especialista faz uso de ferramentas e técnicas para explorar as falhas observadas.
O teste de invasão envolve o uso de técnicas e ferramentas semelhantes a que os hackers usam para tentar invadir os destinos de negócios confidenciais.

Programa para o Teste de Invasão
O teste de invasão deve ser um processo contínuo:
1. Novas vulnerabilidades são descobertas quase diariamente.
2. Regulamentos e normas internacionais (ISO 27001 e ISO 17799) sugerem que seja realizado o teste de invasão para verificar se os requisitos estão implementados na organização.
3. Novos softwares e sistemas são implementados nas organizações.
4. Somente um programa contínuo de teste de invasão pode detectar os riscos e identificar como reduzi-los.

O programa de teste de invasão pode ajudar sua organização a:
1. Conhecer as necessidades de segurança e implementar medidas de proteção no ambiente de rede.
2. Ter controle total do ambiente de segurança, protegendo dispositivos técnicos e informações estratégicas para os negócios.
3. Reforçar, através da excelência técnica, a área de Tecnologia da Informação como a parceira fundamental no desenvolvimento dos negócios que sustentam a missão da organização.
4. Dotar o ambiente de Tecnologia da Informação com nível de segurança que possa viabilizar novos negócios.
5. Montar uma arquitetura de segurança que especifique as necessidades de segurança do ambiente informatizado.

Diretrizes
As “Diretrizes” consistem em proteger e preservar a empresa, suas informações e seus negócios. Também objetiva a ampliação da conscientização sobre segurança da informação e privacidade.

1. Documentar a visão estratégica da segurança;
2. Buscar a conformidade com a NBR ISO / IEC 17799;
3. Estruturar security officer e áreas de apoio;
4. Assegurar o manuseio, armazenamento, transporte e descarte adequado das informações;
5. Assegurar a continuidade dos negócios;
6. Assegurar conformidade com a legislação;
7. Definir normas e procedimentos de segurança para orientar a conduta adequada na classificação, controle e proteção das informações, com o intuito de minimizar os riscos e diminuir o grau de exposição da empresa sem comprometer o bom funcionamento dos negócios;
8. Ampliar a conscientização sobre segurança e privacidade da informação;
9. Definir responsabilidades.

Determinação de Controles de Segurança

Planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.

Quando a empresa conhece as situações de risco e as vulnerabilidades existentes no seu ambiente computacional, o gestor consegue tomar decisões para a implementação de medidas de proteção. Todo o trabalho deve ser direcionado levando em conta os aspectos estratégicos, financeiros e técnicos existentes para a empresa. As informações coletadas durante as fases de análise de risco e vulnerabilidades devem permitir a criação de um quadro que facilite à justificativa de investimentos, a alocação de verbas e a priorização das metas necessárias.

Com a determinação do controle de segurança, o gestor pode elaborar o planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem, definindo quais metas devem ser trabalhadas, com que prioridade e com qual investimento.

Determinação de Controles de Segurança
Planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.

Quando a empresa conhece as situações de risco e as vulnerabilidades existentes no seu ambiente computacional, o gestor consegue tomar decisões para a implementação de medidas de proteção. Todo o trabalho deve ser direcionado levando em conta os aspectos estratégicos, financeiros e técnicos existentes para a empresa. As informações coletadas durante as fases de análise de risco e vulnerabilidades devem permitir a criação de um quadro que facilite à justificativa de investimentos, a alocação de verbas e a priorização das metas necessárias.

Com a determinação do controle de segurança, o gestor pode elaborar o planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem, definindo quais metas devem ser trabalhadas, com que prioridade e com qual investimento.

Plano de Continuidade de Negócios
A Continuidade de Negócios é um conceito de importância cada vez maior, na medida em que antigas fórmulas não garantem o que efetivamente é necessário: a segurança da continuidade diante de eventos adversos.

Não podemos mais falar de forma isolada em Redundância, Backup Site, Recuperação de Erros… Nossa realidade atual é a de Análise de Risco e Análise de Impacto. E o que pode nos dar segurança é a existência de um Plano de Recuperação de Desastres, de um Plano de Contingência Operacional e de um Plano de Continuidade de Negócios que se complementem de forma harmoniosa, eficiente e eficaz.

O PCN (Plano de Continuidade de Negócios) realístico é de vital importância para que os nossos clientes possam cumprir os compromissos assumidos junto aos seus clientes, independentemente de interrupções maiores no uso de softwares, hardware, infra-estrutura, etc.

Implementação

Definição, organização e preparação da estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação dentro da empresa.

Implementação de Controles de Segurança

Após analisar a probabilidade de ameaças explorarem vulnerabilidades e definir as normas de segurança para orientar a conduta adequada na classificação, transporte, manuseio, controle e proteção das informações, com o intuito de minimizar os riscos, o próximo passo é a implementação de um projeto de segurança e treinar toda a equipe envolvida com a segurança da informação.

Os sistemas operacionais contam com diversos recursos para aplicar medidas de proteção aos ativos da empresa em conformidade com as regras estabelecidas na política de segurança. Sendo assim, a implementação de um projeto de segurança nem sempre representa investimentos diretos em hardware e software.

A configuração dos sistemas operacionais, seguindo as regras estabelecidas na política de segurança, aumenta o nível de disponibilidade, auditoria, contingência, etc. Uma gestão eficiente de segurança da informação deve aproveitar essas características para assegurar a proteção e o bom funcionamento do ambiente computacional.

Porém, dependendo das necessidades de segurança, as configurações do sistema operacional não são suficientes para assegurar o nível de proteção exigido para os negócios. Dessa forma, será necessário complementar com mecanismos adicionais de segurança. As soluções devem ser integradas, baseadas nas necessidades dos negócios, em conformidade com a política de segurança e de acordo com as melhores opções existentes no mercado.
Campanha de Divulgação

É importante que a empresa disponha de uma política de segurança atualizada e alinhada às necessidades do negócio, porém, é fundamental que a política de segurança seja reconhecida pelos usuários como o manual de segurança da empresa.

A campanha de divulgação assegura que os usuários estejam cientes das ameaças e das preocupações de segurança da informação e estarão aptos a apoiar a política de segurança da organização durante a execução normal do seu trabalho.

E a política, como vai?
Um outro aspecto importante que deve ser levado em consideração quando da elaboração de uma Política de Segurança é a classificação das informações. É preciso que elas sejam claramente classificadas para que seja possível controlar o acesso aos dados, evitando, dessa forma, que pessoas não autorizadas tenham acesso às informações.

Para tanto, é preciso classificar todas as informações segundo grau de importância e teor crítico:
a) Informações Confidenciais: são aquelas que devem ser disseminadas somente para empregados previamente definidos;
b) Informações Corporativas: devem ser disseminadas somente dentro da empresa;
c) Informações Públicas: podem ser divulgadas dentro e fora da empresa.

É importante também que o responsável pela Política de Segurança execute ações para manter o controle de eventos logados nos sistemas corporativos. São elas:
a) Trilhas de auditoria;
b) Definição de políticas de backup, de uso de software, de acesso físico às instalações da empresa e de acesso lógico;
c) Controle anti-pirataria;
d) Definição da linha mestra do software utilizado no ambiente computacional da empresa;
e) Controle de acesso físico e lógico (dia e hora do acesso, endereço eletrônico do usuário, ações executadas, log de acessos);
f) Definição de ambientes físicos de alto grau crítico;
g) Monitoramento de ambientes;
h) Definição de perfis de acesso aos ambientes e aplicativos, definição e controle de senhas e user identification;
i) Criptografia e certificação digital;
j) Configuração de firewall

Normas de acesso externo
Outra questão relevante para a estruturação de uma Política de Segurança é a definição de normas de acessos externos à empresa. Não basta instituir uma série de regras a serem cumpridas internamente. Para garantir a segurança de uma empresa é necessário estabelecer procedimentos para o acesso de parceiros externos à corporação. Confira alguns deles:

a) Definição de convênios para acesso às bases corporativas e da política de uso da intranet e Internet;
b) Definição de modelo de identificação de pirataria; de gerenciamento de rede; de distribuição de versões de software e de padrões de home page;
c) Detecção de inatividade de modems ligados à rede;
d) Definição do padrão de atualização de anti-vírus e do acesso de empregados ao provedor corporativo;
e) Padronização da home page institucional e da home page comercial;
f) Implantação, roteamento, criptografia e certificação digital
g) Configuração de firewall

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/