Práticas de segurança da informação: um estudo de caso num centro hospitalar

Dissertação de Mestrado apresentada ao Instituto de Contabilidade e Administração do Porto para a obtenção de grau de Mestre em Auditoria, sob a orientação de Luís Silva Rodrigues

Práticas de segurança da informação num Centro Hospitalar

As Tecnologias e Sistemas de Informação (TSI) estão presentes em vários domínios da rede organizacional do mundo inteiro, sendo o desenvolvimento de um bom sistema de gestão da informação crucial para o funcionamento de qualquer organização. É, portanto, necessário garantir que a informação está protegida e que o sistema de informação está em conformidade com o conjunto de normas da área de segurança da informação seguido pela organização. Este artigo pretende elaborar uma avaliação do sistema de gestão em termos de segurança da informação de um centro hospitalar, seguindo os requisitos e recomendações de um framework utilizado a nível mundial na área de auditoria de sistemas de informação.

Os referenciais de segurança da informação e a melhoria contínua: um caso exploratório

Mestrado em Engenharia Informática - Área de Especialização em Arquitecturas, Sistemas e Redes

Segurança da Informação na Escola Pública

A função da escola é promover a aprendizagem nos jovens e estimular o acesso ao conhecimento. A utilização das TI proporciona um acesso mais rápido ao conhecimento mas, sem os mecanismos necessários, pode originar perdas e comprometer a segurança da informação. A ausência de legislação e de regulamentação que ajude na manutenção da rede informática da escola, coloca-as numa posição muito vulnerável, obrigando-as a agir individualmente de modo a suprimir esta carência. A solução passa não só pela consciencialização dos utilizadores para a necessidade de segurança, mas também pela criação de mecanismos que permitam acrescentar segurança à rede e à própria informação. Os projetos desenvolvidos pelo programa Safer Internet e pela ISECOM atuam junto da comunidade escolar, sensibilizando os utilizadores para a necessidade de segurança na Internet e nas comunicações. Por sua vez, a adoção de práticas seguras é um processo mais demorado mas exequível através da implementação de uma política de segurança da informação adaptada à realidade da escola, de acordo com a norma ISO 27001. Da recolha de opinião aos intervenientes do sistema resultaram dois documentos com a política de segurança da informação, um direcionado às escolas e outro aos utilizadores. Crê-se que a adoção destas recomendações pelas escolas pode trazer benefícios ao nível da segurança da informação.

Gestão de praias da Costa de Caparica. A capacidade de carga, o valor da onda, a segurança e informação

Dissertação para obtenção do Grau de Mestre Engenharia do Ambiente, perfil do Ordenamento do Território e Impactes Ambientais

Avaliação de Riscos para a Segurança da Informação no ISEP Aplicação ao Processo de Notas

Desde que existe informação, há necessidade de criar um sistema que permita gerir e garantir que a informação está segura e que cumpre os requisitos básicos de segurança. Como tal, é necessário desenvolver técnicas e mecanismos para que os requisitos sejam testados e melhorados continuamente. Com esta necessidade em vista, apareceram padrões que dão resposta a um conjunto vasto de problemas, em diferentes sistemas e aplicações diversas. Estes tornaram-se guias de reflexão para quem os analisava, de arquitetura para quem os implementava e modelos para quem os geria. O padrão ISO 27001 dá resposta aos cuidados a ter para se conseguir um sistema de gestão da segurança da informação eficaz e eficiente. Esta norma preocupa-se com os detalhes de aplicação até à forma como é implementado e arquitetado o sistema. Os processos, atividades, fluxos de trabalho são essenciais para que esta norma seja cumprida. É necessário um bom escrutínio dos processos e suas atividades, assim como um fluxo de trabalho bem definido com papéis e responsabilidades de cada ator. É necessário também assegurar a forma como é gerido, a sua verificação e melhoria contínua. Foi aplicado no ISEP um exercício com o qual se pretendeu verificar se os processos e outros aspetos seguiam estes cuidados e se estavam de acordo com a norma. Durante o exercício foram verificados processos dentro de um certo âmbito, todas as suas atividades, papéis e responsabilidades, verificação de recursos, aplicação de controlos e aplicação de uma análise de risco. Esta análise tem como objetivo verificar o nível de segurança dos recursos, algo que a norma ISO 27001 propõe mas não especifica em que moldes. No final deste exercício pretendeu-se melhorar o sistema de gestão de informação do ISEP em vertentes tais como a documentação, a qual especifica quais os passos realizados no decorrer do mesmo.

Contramedidas em segurança da informação e vulnerabilidade cibernética: evidência empírica de empresas brasileiras

Recentemente, uma série de ataques cibernéticos a empresas e governos no Brasil e no exterior tornou público o potencial impacto econômico desse tipo de atividade, do ponto de vista tanto privado quanto público. Existe extensa literatura econômica - teórica e empírica - que avalia os incentivos para que as empresas adotem ou não medidas de segurança da informação. No presente estudo foi desenvolvida uma avaliação empírica desse fenômeno no Brasil. Modelos logit e probit ordenado foram desenvolvidos como forma de avaliar os efeitos sobre a probabilidade de ocorrência de problemas de segurança da informação, levando-se em conta as características das firmas, inclusive as medidas de segurança de informação. Os resultados apontam para uma relação positiva entre as medidas de segurança da informação e a probabilidade de identificar a ocorrência de problemas cibernéticos, sugerindo que a sofisticação dessas medidas de proteção aumenta a probabilidade de identificação dos problemas.

Política de Segurança da Informação Estudo de Caso: Assembleia Nacional

O trabalho de memória que ora se apresenta incide sobre a temática da Política de Segurança da Informação. O objectivo é Analisar as Políticas de Segurança da Informação da Assembleia Nacional de cabo Verde e a partir de então elaborar um estudo do caso sobre politica de segurança da informação da Assembleia Nacional de Cabo Verde. A política de segurança da informação é tem muita Importância no mundo de hoje, porque mesmos que as empresas ainda não possuem uma política de segurança, em determinado momento reconhecem a necessidade de elaboração e implementação de uma política formal, é sugere-se que a política de segurança da informação é uma ferramenta essencial na segurança de uma organização. A escolha do tema surgiu da necessidade de investigar e conhecer as políticas de segurança, da Assembleia Nacional de Cabo Verde de forma a garantir melhor desempenho e gestão dos recursos disponibilizados, e garantir melhor a segurança da instituição. O presente trabalho aborda um estudo sobre política de segurança da informação que é um dos métodos adoptados pelas organizações com o objectivo de garantir a segurança da informação. Actualmente existem algumas metodologias e melhores práticas em segurança da informação, dentre elas está a NBR ISSO/IEC 17799, que é a tradução da BS7799, esta norma foi usada durante este estudo e, por meio dela, será possível verificar o que deve-se seguir para a elaboração de uma política de segurança da informação. O objectivo deste trabalho é apresentar algumas directrizes básicas de uma Política de Segurança para uma empresa, utilizando como base os conceitos adquiridos pelo estudo na revisão bibliográfica.

Desenvolvimento de um modelo de Política de Segurança da Informação em conformidade com a Gestão de Riscos: Estudo do caso Uni Piaget CV

Este trabalho foi realizado no âmbito do regulamento dos Cursos de Graduação da Universidade Jean Piaget de Cabo Verde, apresenta a concepção de um Modelo de Política de Segurança da Informação em conformidade com a Gestão de Riscos, evidenciado a importância que a mesma possui, como mecanismo de protecção da informação. Apresenta assim um modelo desenvolvido na Universidade Jean Piaget de Cabo Verde a fim de preservar os recursos pertinentes da organização ao que se refere a segurança da informação, onde a partir de uma Avaliação/Análise de Risco efectuado previamente, desenvolveu-se um modelo de PSI que assegure a conformidade com a Gestão de Risco, sendo este (PSI) o ponto de partida no processo de implementação da segurança da informação. Os objectivos traçados foram atingidos com sucesso sem grandes sobressaltos.

O enfoque social da segurança da informação

O uso cada vez mais disseminado de sistemas informatizados integrados por meio de redes é um fato determinante da sociedade da informação. Este universo de conteúdos e continentes digitais está sujeito a várias ameaças que comprometem seriamente a segurança do complexo usuário-sistema-informação. A tecnologia da informação é capaz de apresentar parte da solução a este problema, mas não é capaz de resolvê-lo integralmente. As políticas de segurança da informação devem contemplar o adequado equilíbrio dos aspectos humanos e técnicos da segurança da informação, em contraposição aos modelos de políticas atuais, extremamente voltados às questões tecnológicas.

Gestão da segurança da informação: certificação digital

More over, the information has become the main asset of the institutions. Being thus, the Information Security (IS) is getting attention as one of the activities of extreme importance in the corporations. Guarantee the confidentiality, integrity, availability, no deny and legality becomes something very important for the day-by-day of the businesses. An analysis of the risk, passing through the assessment of the threats and vulnerabilities, is mandatory to let grow the activities of the institutions. Digital Certification came into IS to guarantee the Not Deny (ND) because it makes the unquestioned identification of the person that makes the action. Therefore, Information Security can be defined as a knowledge field focused in the protection of the information assets against: unauthorized access, improper modifications, not availability, deny of authorship and illegality.

Cultura de segurança da informação: um processo de mudança organizacional na Petrobrás.

O estudo objetivou verificar até que ponto foi atendido o critério proposto por Kotter para a implantação de uma cultura de segurança da informação na Petrobras. A Petrobras, durante muitos anos, foi uma empresa estatal de petróleo com atuação nacional. Assim como diversas outras empresas, com o advento do processo de internacionalização, mais atores com interesses por informações valiosas começaram a interagir com a empresa. Verificava-se a necessidade de conduzir um processo de gestão da mudança para implantar uma cultura de segurança da informação. O modelo definido por Kotter possui oito etapas que, se seguidas, podem garantir uma mudança bem-sucedida. Para atingir o objetivo do estudo, utilizou-se pesquisa bibliográfica, pesquisa documental em arquivos e documentos da Petrobras e pesquisa de campo. O período analisado foi de 2002 a 2009. A avaliação do processo indicou que algumas falhas foram encontradas nas etapas definidas por Kotter. Pode-se citar: complacência alta; senso de urgência atribuído somente no primeiro momento; visão de longo prazo não foi amplamente declarada; o porquê da mudança, ao longo do tempo, não ficou explícito; estrutura organizacional de segurança da informação nas áreas ainda é deficiente; não houve total alinhamento dos sistemas de gestão da empresa; existência de estruturas e sistemas que dificultam a avaliação das ações e reconhecimento dos envolvidos no processo de mudança cultural e pouca preocupação em comemorar as conquistas de curto prazo.

Modelo de gestão de risco em segurança da informação: um estudo de caso no mercado brasileiro de cartões de crédito

As questões ligadas a gestão de riscos associados a segurança da informação já é uma realidade no cenário empresarial brasileiro. O crescimento das operações de negócios em direção aos sistemas de informação baseados em tecnologia fez com que os números de ameaças e de vulnerabilidades sobre as redes de computadores e comunicações aumentassem. Vários são os desafios de estruturação e implementação de uma área de segurança da informação dentro das empresas. Este trabalho analisa as diversas formas de construção de uma infra-estrutura de gestão de risco em segurança de informação, não só no âmbito tecnológico, mas também, no operacional e no mercadológico, de forma a estabelecer uma relação transparente às demais áreas internas da organização, aos clientes e a todo o mercado. A segurança da informação, vista freqüentemente como um assunto ligado a tecnologia, passa a ser entendida cada vez mais como um processo de negócio, e conseqüentemente, uma grande vantagem competitiva para o mundo empresarial.

Riscos, crises e confiança : uma análise do gerenciamento de riscos sobre segurança da informação em uma empresa brasileira de grande porte

Por muito tempo, os programas de qualidade e gestão vêm dominando o cenário de soluções para a melhoria das organizações. Nesse contexto, têm sido constantes os modismos e, ao mesmo tempo, o consumo de muitas soluções. E o mercado parece se nutrir desses pacotes. De pacote em pacote, a gestão nas companhias vem se desenvolvendo e se especializando e, junto como isso, os métodos e técnicas da boa gestão. A gestão de riscos, especificamente, vem nesse contexto. Apresenta-se como uma solução em gestão, mas parece se estabelecer como ponto de convergência e de influência na otimização e garantia de processos produtivos, de gestão e de suporte, abrangendo uma gama de possibilidades em diversas disciplinas do mundo empresarial, desde finanças até os aspectos de fraudes e distúrbios cotidianos. Na sequência da gestão de riscos, vem a gestão de crises. Esta, o hemisfério dos riscos transformados em impactos verdadeiros e com danos visíveis para a organização. A gestão de crises pressupõe a gestão dos riscos consumados e que, claramente, afetam a organização e seu contexto, tanto interno quanto externo. No ponto final dessa lógica, aparece a confiança como aquilo que sela o pacto da organização e seus stakeholders, como resultado da boa ou má gestão de riscos e crises. Este estudo é, então, sobre riscos, crises e confiança e sobre o entendimento de como a gestão sobrepõe esses elementos e como isso se aplica às organizações, especificamente a uma grande organização do mercado brasileiro. Após revisão bibliográfica, é feita uma pesquisa para se analisar como está sendo a aplicação dos conceitos e práticas de riscos e crises em uma grande empresa, entrevistando-se o principal executivo da companhia responsável pela gestão de riscos na área de segurança da informação e outro responsável pela gestão de crises. É feita uma pesquisa para se entender a percepção de empregados e gerentes da companhia estudada sobre os conceitos e práticas de gestão de riscos e crises e suas aplicações na companhia. Também é feita uma abordagem sobre confiança, extrapolando-se esse conceito para uma idéia de confiabilidade dessas práticas e propondo uma forma de medir essa confiabilidade, identificada como uma lacuna na gestão de crises. Ao final, é feita uma análise sobre o quanto a aplicação desses conceitos e práticas são sistemáticos ou não, de acordo com as hipóteses e suposições definidas, constatando-se o 9 caráter operacional e a aplicação recente das práticas, um tanto deslocada do modelo de referência proposto para o estudo e com pouca visibilidade por parte dos empregados, principalmente no que tange a percepção de efetividade das práticas adotadas.