Ir para o conteúdo
ou

Software livre Brasil

0 integrantes

Nenhum(a)

Ver todos(as)
Tela cheia Sugerir um artigo
 Feed RSS

Blog

7 de Dezembro de 2009, 0:00 , por Software Livre Brasil - | Ninguém está seguindo este artigo ainda.

Gestão de Riscos em Segurança da Informação

20 de Dezembro de 2011, 0:00, por Software Livre Brasil - 0sem comentários ainda

 

Olá amigos, quero compartilhar com todos minha alegria em ter defendido esse tema no meu TCC entitulado "Gestão de Riscos em Segurança da Informação".

É um tema complexo, abrangente, mas fascinante. Estava verificando nos post antigos e observei que postei algo sobre ele lá atrás, falando sobre o PGR - Plano de Gestão de Riscos -, onde nesse post informei que gostaria de falar sobre essa implementação, infelizmente não deu para fazer in loco, mas deu para definir bem o que é um plano de riscos em uma empresa.

Primeiro, segundo o IBGC - informa que risco vem do latim, risicu, que significa ousar, algo muito diferente do que imaginamos, ou até mesmo sabemos hoje, pois temos como sinônimo de risco sempre algo ruim, mas a FERMA, 2003 considera que “o risco pode ser definido como a combinação da probabilidade de um acontecimento e das suas conseqüências”.

Sabe-se que “risco de segurança da informação é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização”, segundo o Projeto de Norma MERCOSUL 28:00-ISO/IEC 27005:2008

 

Conforme a norma NBR ISO/IEC 27005:2008, Guia PMBOK 4, ITILV3, Projeto de Norma MERCOSUL e os sites especializados afirmam que a gerência de riscos é o processo de planejar, organizar, dirigir e controlar os recursos humanos e materiais de uma organização, no sentido de minimizar os efeitos dos riscos sobre essa organização ao mínimo possível.

 

Entende-se como impacto em gestão de riscos uma mudança adversa no nível obtido dos objetivos de negócios. O Projeto de Norma MERCOSUL 28:00-ISO/IEC 27005:2008 considera que deve ser feito uma adaptação da norma para a empresa, ou seu setor, considerando as seguintes sugestões:

  • Análise/avaliação;
  • Tratamento do risco;
  • Aceitação dos riscos;
  • Comunicação do risco;
  • Monitoramento e uma análise crítica de riscos.

 

“Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões, sejam documentados”, afirma o Projeto de Norma MERCOSUL, (p.9, 2009).

 

Segundo o Guia PMBOK 4 (2008, p. 226), “o gerenciamento dos riscos do projeto inclui os processos de planejamento, identificação, análise, planejamento de respostas, monitoramento e controle de riscos em um projeto”.

 

O plano de gerenciamento de riscos determina o que se fará no restante do projeto, sendo por isso muito importante tê-lo desde o início.

 

Ao se tratar de um gerenciamento de riscos contundente, precisa-se primeiramente, ser feita uma Análise de Risco que identifique todos os riscos (vulnerabilidades + ameaças) que ameacem as informações, levando em consideração as três categorias básicas – riscos administrativos, físicos e tecnológicos.

 

A partir destas informações faz-se possível à elaboração do perfil de risco, proposto por Laureano (2005): (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) = RISCO.

O gerenciamento de riscos é composto basicamente por três macro-processos: 1) a avaliação; 2) a mitigação e o monitoramento; 3) a análise e melhoria contínua.

 

A segurança da informação não pode ser garantida apenas com recursos tecnológicos, pois além das máquinas a segurança também envolve pessoas e o amplo direito de defesa perante a sociedade civil. Por este motivo os recursos humanos devem ser treinados exaustivamente com respaldo à Política da Segurança de Informação, para mitigar ao máximo a possibilidade de falha humana, seja na execução de tarefas fins, ou na divulgação de informação sigilosa.

Com o Plano de Gestão Riscos facilitará a descoberta das brechas existentes na empresa, buscando assim avaliá-las, tratá-las e por fim monitorá-las, lembrando sempre de fazer reavaliações, pois esse processo é vital para o bom funcionamento do plano, como também, da organização.

Conclui-se que o Plano de Gestão de Riscos em Segurança da Informação baseado na norma vigente NBR ISO/IEC 27005:2008, vem para melhorar a visão que os diretores, gerentes e colaboradores têm sobre o negócio, evitando desperdício tanto financeiro e material, como humano.

Obrigado por Ler esse artigo... Fiquem a vontade para complementá-lo!!!

 


Gestão de Riscos em Segurança da Informação

20 de Dezembro de 2011, 0:00, por Software Livre Brasil - 0sem comentários ainda

 

Olá amigos, quero compartilhar com todos minha alegria em ter defendido esse tema no meu TCC entitulado "Gestão de Riscos em Segurança da Informação".

É um tema complexo, abrangente, mas fascinante. Estava verificando nos post antigos e observei que postei algo sobre ele lá atrás, falando sobre o PGR - Plano de Gestão de Riscos -, onde nesse post informei que gostaria de falar sobre essa implementação, infelizmente não deu para fazer in loco, mas deu para definir bem o que é um plano de riscos em uma empresa.

Primeiro, segundo o IBGC - informa que risco vem do latim, risicu, que significa ousar, algo muito diferente do que imaginamos, ou até mesmo sabemos hoje, pois temos como sinônimo de risco sempre algo ruim, mas a FERMA, 2003 considera que “o risco pode ser definido como a combinação da probabilidade de um acontecimento e das suas conseqüências”.

Sabe-se que “risco de segurança da informação é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização”, segundo o Projeto de Norma MERCOSUL 28:00-ISO/IEC 27005:2008

 

Conforme a norma NBR ISO/IEC 27005:2008, Guia PMBOK 4, ITILV3, Projeto de Norma MERCOSUL e os sites especializados afirmam que a gerência de riscos é o processo de planejar, organizar, dirigir e controlar os recursos humanos e materiais de uma organização, no sentido de minimizar os efeitos dos riscos sobre essa organização ao mínimo possível.

 

Entende-se como impacto em gestão de riscos uma mudança adversa no nível obtido dos objetivos de negócios. O Projeto de Norma MERCOSUL 28:00-ISO/IEC 27005:2008 considera que deve ser feito uma adaptação da norma para a empresa, ou seu setor, considerando as seguintes sugestões:

  • Análise/avaliação;
  • Tratamento do risco;
  • Aceitação dos riscos;
  • Comunicação do risco;
  • Monitoramento e uma análise crítica de riscos.

 

“Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões, sejam documentados”, afirma o Projeto de Norma MERCOSUL, (p.9, 2009).

 

Segundo o Guia PMBOK 4 (2008, p. 226), “o gerenciamento dos riscos do projeto inclui os processos de planejamento, identificação, análise, planejamento de respostas, monitoramento e controle de riscos em um projeto”.

 

O plano de gerenciamento de riscos determina o que se fará no restante do projeto, sendo por isso muito importante tê-lo desde o início.

 

Ao se tratar de um gerenciamento de riscos contundente, precisa-se primeiramente, ser feita uma Análise de Risco que identifique todos os riscos (vulnerabilidades + ameaças) que ameacem as informações, levando em consideração as três categorias básicas – riscos administrativos, físicos e tecnológicos.

 

A partir destas informações faz-se possível à elaboração do perfil de risco, proposto por Laureano (2005): (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) = RISCO.

O gerenciamento de riscos é composto basicamente por três macro-processos: 1) a avaliação; 2) a mitigação e o monitoramento; 3) a análise e melhoria contínua.

 

A segurança da informação não pode ser garantida apenas com recursos tecnológicos, pois além das máquinas a segurança também envolve pessoas e o amplo direito de defesa perante a sociedade civil. Por este motivo os recursos humanos devem ser treinados exaustivamente com respaldo à Política da Segurança de Informação, para mitigar ao máximo a possibilidade de falha humana, seja na execução de tarefas fins, ou na divulgação de informação sigilosa.

Com o Plano de Gestão Riscos facilitará a descoberta das brechas existentes na empresa, buscando assim avaliá-las, tratá-las e por fim monitorá-las, lembrando sempre de fazer reavaliações, pois esse processo é vital para o bom funcionamento do plano, como também, da organização.

Conclui-se que o Plano de Gestão de Riscos em Segurança da Informação baseado na norma vigente NBR ISO/IEC 27005:2008, vem para melhorar a visão que os diretores, gerentes e colaboradores têm sobre o negócio, evitando desperdício tanto financeiro e material, como humano.

Obrigado por Ler esse artigo... Fiquem a vontade para complementá-lo!!!

 


A vida de um Administrador de Redes

18 de Julho de 2011, 0:00, por Software Livre Brasil - 0sem comentários ainda

Bom amigos, hoje decidi, depois de muito tempo, escrever sovre a Vida de um Administrador de Redes, levando em consideração as experiências que tive em algumas empresas que já pode assumir essa função.

É interessante que normalmente não somos reconhecidos como Administradores de Redes, tudo menos Administrador, ou é o "cara da informática", o "rapaz ali", o "nerd", o "seu próprio nome" - menos mau -, mas enfim, o que leva as pessoas terem esse tipo de comportamento com os responsáveis pelo sistema de informação da empresa? Será que nós mesmo não nos damos valor a nossa profissão? Ou tem algo que estar acontecendo que não sabemos?

O fato é que quando somos compromissados com a nossa função e o cargo que exercemos dentro da empresa, somos de fatos respeitados por aquilo que somos, e produzimos.

O pouco tempo que tenho dentro do órgão federal em que eu trabalho, pude ver que:

1 - Somos respeitados por aquilo que somos;

2 - Somos tachados muitas vezes de nerd;

3 - Não somos compreendidos como ser humanos;

4 - Somos confrontados com dificuldades diariamente;

5 - Precisamos entender de TUDO um POUCO, se não somos chamados de chatos, ruins;

6 - Ainda dizem que não fazemos nada, só sentados em frente ao computador.

 

É assim que você é visto, já foi visto em sua empresa???

Compartilhe conosco...


Audiência Pública sobre o AI-5 Digital será aberta à participação pela internet

12 de Julho de 2011, 0:00, por Software Livre Brasil - 0sem comentários ainda

As polêmicas que rondam o Projeto de Lei 84/99 – conhecido como AI-5 Digital, não são recentes. Em 2008, quando ainda era senador por Minas Gerais, Eduardo Azeredo foi relator e defensor do PL, que começava sua trajetória pela Câmara e Senado. Já naquela época, o texto provocou agitação e desconfiança, ao propor maior controle e punições severas – consideradas severas demais, na verdade – aos “crimes da internet”.

E as polêmicas continuam. O mesmo Azeredo, hoje cumprindo mandato como deputado, aproveitou as ações que em junho tiraram do ar algumas páginas do governo, e reapresentou o projeto à Câmara.

Não é segredo que o governo federal está empenhado em aprovar, rapidamente, uma lei que permita punir os crimes na internet, e a nova proposta de Azeredo traz algumas mudanças em relação ao texto original, mas não o suficiente para contentar os que se posicionam de forma contrária à sua aprovação.

Em entrevista concedida ao portal Rede Brasil Atual, João Carlos Caribé, reconhecido oponente da proposta, foi enfático: “O projeto não melhorou a ponto de se tornar aceitável. A essência da matéria continua a mesma e há questões problemáticas, que pouco ajudariam no combate a crimes. A questão mais polêmica é a guarda dos logs (os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão) por três anos. Isto é um absurdo, acarreta um custo significativo e serve de alerta para o criminoso se prevenir, dificultando uma eventual investigação”, explica Caribé.

Em palestra no Fórum Internacional do Software Livre (FISL12), o sociólogo Sérgio Amadeu lembrou que se a internet é uma rede de comunicação, é, também, uma rede de controle, já que para acessar uma página pela rede, a máquina de qualquer usuário precisa ser reconhecida na rede. “Entretanto, essa rede de controle foi pensada para não ser uma rede de controle político-cultural e pessoal. Por isso ela não exige que as pessoas se identifiquem. O anonimato é a garantia da liberdade, da não-vigilância, da defesa da privacidade e dos direitos fundamentais do indivíduo”, explicou. E, caso surja a pergunta: “Mas e os ilegais?”, a resposta de Amadeu está na ponta da língua: “Ora, os ilegais devem ser perseguidos com ordem judicial, inclusive. Como acontece na vida fora da internet”, acrescenta.

O FUTURO DO AI-5 DIGITAL

A votação aconteceria no dia 29 de junho (primeiro dia do FISL12), mas a Comissão de Ciência e Tecnologia propôs um adiamento até 10 de agosto, depois, portanto, do recesso parlamentar que ocorre no meio do ano. O objetivo é aprofundar o debate através de uma audiência pública, agendada para quarta-feira, dia 13 de julho, a partir das 9h30. É mais um capítulo nessa confusa história, mas desta vez o público poderá acompanhar, em tempo real, e participar da discussão por meio de chat ou Twitter, enviando sugestões, perguntas e críticas aos deputados.

Para participar, os interessados devem efetuar cadastro no site e-Democracia. As discussões prometem ser polêmicas.

O debate foi proposto pelos deputados Sandro Alex (PPS-PR), Emiliano José (PT-BA), Fernando Francischini (PSDB-PR) e Manuela d’Ávila (PCdoB-RS), e tem como convidados:

- Sérgio Amadeu da Silveira, sociólogo e professor o professor da Universidade Federal do ABC;

- Guilherme Varella, advogado do Instituto Brasileiro de Defesa do Consumidor (Idec);

- Carlos Affonso Pereira Souza, professor da Faculdade de Direito da Fundação Getúlio Vargas (FGV);

- Ronaldo Lemos, diretor do Centro de Tecnologia e Sociedade da Escola de Direito da FGV;

- Marcos Vinícius Ferreira Mazoni , presidente do Serviço Federal de Processamento de Dados (Serpro);

- Demétrius Gonzaga de Oliveira, chefe do Núcleo de Combate aos Cibercrimes;

- Vanessa Fusco Nogueira Simões, coordenadora da Promotoria de Combate aos Crimes Cibernéticos do Ministério Público de Minas Gerais,;

- Carlos Eduardo Miguel Sobral, chefe da Unidade de Repressão a Crimes Cibernéticos da Polícia Federal;

- Patrícia Peck Pinheiro , advogada;

- Marcelo Lau , diretor-executivo da Data Security;

- Fábio Furtado Ramos , diretor da Axur Information Security;

- Fernando Botelho, desembargador do Tribunal de Justiça de Minas Gerais;

- Demi Getschko, conselheiro do Comitê Gestor da Internet no Brasil;

- Raphael Mandarino Junior, chefe do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República;

-Roberto Mayer, vice-presidente de Relações Públicas da Associação das Empresas Brasileiras de Tecnologia da Informação;

- Antonio Neto, presidente do Sindicato dos Trabalhadores em Processamento de Dados e Tecnologia da Informação de São Paulo.

FONTE: Pontão Ganesha


Regional Sul do MinC busca estreitar laços entre Ministério e representações culturais

3 de Junho de 2011, 0:00, por Software Livre Brasil - 0sem comentários ainda

Em maio, a Regional Sul do Ministério da Cultura (MinC), deu continuidade à sua proposta de promover uma maior aproximação entre a direção do Ministério e as lideranças e representações culturais dos estados do Paraná, Santa Catarina e Rio Grande do Sul.

Depois de Marta Porto, que em abril esteve em Florianópolis e Porto Alegre participando do “Encontros Rumo à Cidadania Cultural”, foi a vez do Secretário Executivo do MinC, Vítor Ortiz, e do Presidente da Fundação Nacional de Artes (Funarte), Antônio Grassi, participarem de uma produtiva – e de certa forma, esclarecedora – conversa com a comunidade cultural de Porto Alegre.

Mais de 200 pessoas lotaram o auditório da Casa Mário Quintana na tarde de 23 de maio, uma segunda-feira, e ficaram durante mais de três horas ouvindo os convidados apresentarem suas metas de trabalho, e discutindo as propostas das políticas públicas federais de fomento às artes. A presença maciça do público comprovou que a iniciativa da Regional Sul veio ao encontro das ansiedades e necessidades de artistas, produtores e gestores culturais, que têm sua atuação diretamente influenciada pelas ações do MinC.

“Sabemos o quanto são importantes esses encontros, e como as pessoas sentem a necessidade de ouvir determinadas declarações diretamente dos representantes do Ministério”, explicou Margarete Moraes, coordenadora da Representação Regional do MinC, que organizou e conduziu o evento.

Grassi e Ortiz se revezaram em falas que em alguns momentos conquistavam apoio e em outros, provocavam críticas. Assuntos relacionados ao Sistema Nacional de Cultura, reforma da Lei de Direitos Autorias e o orçamento da pasta para 2011 foram alguns dos tópicos tratados, funcionando como uma espécie de resposta às críticas que a atual administração do MinC tem recebido desde a posse, em janeiro.

Independente do tom, o discurso serviu para que tanto Grassi quanto Ortiz ponderassem sobre desafios e metas para qualificar e avançar nas ações e políticas culturais do MinC.

Entusiasmada com o resultado alcançado pelos encontros até agora realizados, Margarete Moraes adianta que a agenda de eventos vai se estender até que os estados do sul sejam visitados pelos presidentes e dirigentes de todas as setoriais do Ministério da Cultura, se possível ainda em 2011. “Observamos que existem demandas às quais tentaremos atender o mais breve possível. Os próximos encontros ainda não estão definidos, pois dependemos das agendas dos convidados, mas nossa meta é colocar a região Sul no roteiro de todos eles”, explicou. O importante, segundo afirma, é não deixar que o estreitamento dessa relação retroceda depois do que considera uma conquista inédita.

De acordo com Margarete Moraes, a diretora da Secretaria de Economia Criativa do Ministério, Cláudia Leitão, e Henilton Parente de Menezes, da Secretaria de Fomento e Incentivo à Cultura (SEFIC), devem ser os próximos convidados da Regional para o "Encontros com o Ministério da Cultura", ambos com datas e locais ainda não confirmados.

FONTE: Pontão Ganesha / Fotos: Thiago Skárnio