AGHATHA VIRTUAL OFFICE ASSISTANT SERVICES© – Servicos Assistente Virtual e Suporte tecnico compliance Norma ISO-IEC-27002:2013 – Seguranca Informacao

AGHATHA VIRTUAL OFFICE ASSISTANT SERVICES© – Servicos Assistente Virtual e Suporte tecnico compliance Norma ISO-IEC-27002:2013 – Seguranca Informacao

aghatha_maxi_top_300_300

Está disponível para Licenciamento (www.aghatha.com.br) o  AGHATHA Framework destina-se ao  compliance das recomendações e práticas estabelecidas pela Norma ISO-27002:2005 – Gestão da Segurança da Informação. http://aghatha.wordpress.com/2012/12/04/aghatha-framework-licenca-uso-perpetua-modelos-aplicacao-norma-iso-iec-270022005-seguranca-informacao-r02-01a/

Norma ISO-27002:2013 – Gestão da Segurança da Informação

O Aghatha Framework é Um Suite Completo de processos normativos, sendo  composto por  175 modelos de documentos pré-formatados no padrão recomendado pela ABNT para uso em documentos da qualidade. documento_padrao_aghatha_framework Templates são integrados entre si  e disponibilizados sob a forma de Politicas (Diretrizes para a Aplicação dos Padrões) , Normas (Regras técnicas para aplicação dos Padrões) e Procedimentos (Passo-a-Passo indicando como realizar os controles operacionais) e seus respectivos controles e registros preparados para utilização. PIRAMEDE Com este Framework é possível estruturar a Gestão Documentos Técnicos de Compliance a Norma ISO-27002:2013, Gestão de Riscos em TI, Organização Segurança Informação, Politica Segurança, Gestão de Acessos físicos e lógicos, Gestão de Operações e Comunicações, Inventário de Ativos, Gestão da Segurança de Recursos Humanos (Colaboradores e Terceiros, e todos os demais tópicos e recomendações estabelecidos pelas Normas ISO-27001:2013 e ISO-27002:2013, ISO-27005, ISO-27003. Convidamos a visitar a pagina de acesso as informações e conteúdos deste Framework, disponível em: http://aghatha.com/index.php/framework/framework-de-processos-e-controles-para-o-compliance-de-ti-norma-iso-27001-iso-27002-seguranca-da-informacao-release-02-01-a.html É possível ainda, a contratação de serviços de suporte técnico on-line, com execução não presencial através de salas virtuais seguras sob demanda.

AGHATHA VIRTUAL OFFICE ASSISTANT SERVICES©

Virtual office assistant services sob demanda, contratação on-line em nosso site AGHATHA.COM.BR

Serviços de Consultoria virtual sob demanda (On-Demand Services) = Economize custos com deslocamentos, estadias e alimentação em projetos de Compliance em TI.

Nossos Consultores estão a sua disposição sob demanda, eventos pontuais com hora marcada para a apoia-lo na solução de suas necessidades (Solução de Gap´s, explanações de formas alternativas de atendimento de requisitos de compliance nos diversos padrões e normas, satisfação de dúvidas e esclarecimentos técnicos, suporte no planejamento e execução de auditorias de auto-avaliação (self-assessment) e/ou em Auditorias Externas. Veja mais detalhes em nossas paginas  em: Suporte Técnico:

  • Serviço executado sob demanda com preço acessível
  • Curto espaço de Tempo entre o acionamento do serviço e a disponibilização do profissional para o atendimento da necessidade pontual / emergencial.
  • Acesso a especialistas em Processos, Controles e Compliance de TI para solução emergencial de problemas.
  • Recomendações baseadas em cases e experiencias práticas obtidas em diversos projetos de compliance.
  • Dispensa a necessidade de custos adicionais com despesas de Deslocamento, Estadia e Alimentação.

http://aghatha.com/index.php/services/technical-support/servico-consultoria-suporte-tecnico-compliance-ti-nao-presencial.html Consultoria Técnica Compliance Processos e Controles TI:

  • Serviço executado sob demanda com preço acessível.
  • Curto espaço de Tempo entre o acionamento do serviço e a disponibilização do profissional para o atendimento da demanda.
  • Acesso a especialistas em Processos, Controles e Compliance de TI para solução emergencial de problemas.
  • Recomendações baseadas em cases e experiencias práticas obtidas em diversos projetos de compliance.
  • Possibilidade de integração dos demais serviços oferecidos nesta Webstore na composição da solução a ser entregue / atendimento da demanda (Nestes casos, os Preços praticados nos serviços seguirão os mesmos valores publicados neste website).
  • Dispensa a necessidade de custos e despesas adicionais com Deslocamento, Estadia e Alimentação.

http://aghatha.com/index.php/services/it-compliance-consulting/servico-consultoria-tecnica-especializada-estruturacao-de-processos-e-controles-compliance-ti-nao-presencial.html Fabrica de Processos e Controles para Compliance de TI:

  • Meio de acesso a equipe de consultores especialistas em Compliance e equipe de documentação e formalização de Processos e Controles do AGHATHA Framework.
  • Consultor e documentador disponíveis sob demanda e atuação definida através orçamento prévio com preço fechado.
  • Acesso aos componentes biblioteca de modelos integrados de processos e controles AGHATHA Framework.
  • Redução de redundância de processos e controles (Visão Cross entre os diversos padrões e melhores práticas aplicáveis em TI).
  • Redução tempo e esforço definição de entregáveis, distribuição e integração das atividades e responsabilidades.
  • Possibilidade de documentação de processos e controles no padrão interno vigente no amboente do cliente.
  • Dispensa a necessidade de custos e despesas adicionais com Deslocamento, Estadia e Alimentação.

http://aghatha.com/index.php/services/customize/fabrica-de-processos-bpm-construcao-e-customizacao-sob-medida-de-documentos-processos-e-controles-para-compliance-ti-outsourcing.html

AGHATHA.COM.BR  – Próximos Lançamentos (Frameworks para o Compliance em TI)

Em breve estaremos lançando outros Frameworks relacionados a compliance em Tecnologia da Informação nos padrões ITIL, PMO / PMI, OPM3 / PMI, Governança Corporativa,  Governança de TI, Sarbanes-Oxley, ISO-20.000:1/2, Prince 2, e frameworks especiais relacionados a padrões requeridos a Provedores Serviços Gerenciados (fabrica de software, fábrica de testes, fabrica de projetos, SOC/NOC, Help-Desk / Service Desk).

AGHATHA.COM.BR – Veja como é Simples e Rápido obter acesso aos nossos Frameworks para o Compliance em TI.

Visite também nosso website e saiba mais informações sobre nossos produtos e serviços para o Compliance de TI:http://www.aghatha.com.br/processos.htm Abraço a todos. Eurico Haan de Oliveira http://www.aghatha.com

Apresentação:  AGHATHA Framework – Norma ISO-27001:2/2013.

[youtube http://www.youtube.com/watch?v=T_gsHigMFvU]

Relação de Componentes: AGHATHA Framework – Norma ISO-27001:2/2013.

Documentos são confeccionados no formato e estruturas indicados para documentos da qualidade em processos, contém Objetivo, campo de aplicação, documentos relacionados, corpo do conteúdo, validade, anexos,controle dos registros , responsáveis.

Tipo Documento Componentes AGHATHA Framework – Norma ISO-27002:2013
Registro AG00-FR-0008-Formulario-padrao-controles
Registro AG00-FR-0009-Formulario-padrao-procedimentos
Registro AG00-FR-0010-Formulario-padrao-normas
Registro AG00-FR-0011-Formulario-padrao-politicas
Registro AG00-WI-0000-Formulario-padrao-instrucoes-de-trabalho
Registro AG20-FR-0002-Controle-de-documento-controlado-copias-impressas
Registro AG20-FR-0003-Relacao-de-documentos-controlados
Registro AG20-FR-0005-Controle-mudancas-documentos-framework
Registro AG20-FR-0012-Lista-componentes-aghatha-framework-iso-27002
Norma AG20-NO-0001-Padrao-nomenclatura-documentacao-framework-de-processos-e-controles
Norma AG20-NO-0002-Norma-controle-qualidade-framework-processos-controles
Norma AG20-NO-0003-Norma-padrao_notacao-bpmn-adotada-aghatha-Framework-Processos-Controles
Politica AG20-PO-0001-Politica-padronizacao-documentos-Framework-Processos-Controles
Procedimento AG20-PR-0001-Procedimento-edicao-revisao-e-revogacao-vigencia-documentos
Registro IT01-FR-0110-Lista-presencas-treinamentos-usuarios
Registro IT01-FR-0130A-Termo-de-confidencialidade-e-sigilo-colaboradores
Registro IT01-FR-0130B-Termo-de-confidencialidade-e-sigilo-prestador-de-servicos-pj
Registro IT01-FR-0130C-Termo-de-adesao-a-politica-de-acesso-a-rede-colaboradores
Registro IT01-FR-0130D-Aviso-previo-sem-justa-causa-ao-colaborador
Registro IT01-FR-0130E-Aviso-previo-com-justa-causa-ao-colaborador
Registro IT01-FR-0640A-Termo-acordo-intercambio-de-informacoes-eletronicas-e-nao-eletronicas-entre-empresas
Norma IT01-NO-0010-Norma-de-revisao-da-politica-de-seguranca-da-informacao
Norma IT01-NO-0020-Norma-de-avaliacao-e-qualificacao-dos-riscos-de-ti
Norma IT01-NO-0030-Norma-de-organizacao-do-gerenciamento-de-riscos-de-ti
Norma IT01-NO-0060-Norma-de-organizacao-da-seguranca-da-informacao
Norma IT01-NO-0070-Manual-de-organizacao-de-conceitos
Norma IT01-NO-0080-Norma-de-gestao-de-riscos-com-partes-externas
Norma IT01-NO-0100-Norma-de-inventario-de-ativos-de-TI
Norma IT01-NO-0110-Norma-de-classificacao-e-responsabilidades-sobre-ativos
Norma IT01-NO-0120-Norma-de-classificacao-da-informacao
Norma IT01-NO-0130-Norma-de-seguranca-de-recursos-humanos
Norma IT01-NO-0140-Norma-de-gestao-dos-recursos-humanos-terceirizados
Registro IT01-NO-0150A-Anexo 1-Termo-de-ciencia-e-declaracao-acerca-da-existencia-ou-nao-de-conflito-de-Interesses
Registro IT01-NO-0150B-Anexo 2-Declaracao-acerca-da-existencia-ou-nao-de-conflito-de-Interesses
Norma IT01-NO-0150-Codigo-de-etica
Norma IT01-NO-0160-A
Norma IT01-NO-0160-Norma-estrutura-organizacional-de-cargos-e-funcoes-de-TI
Norma IT01-NO-0170-Norma-de-acesso-a-areas-seguras
Norma IT01-NO-0180-Norma-de-seguranca-de-equipamentos
Norma IT01-NO-0200-Norma-de-protecao-contra-codigos-maliciosos-e-moveis
Norma IT01-NO-0210-Norma-de-copias-de-seguranca-backup-e-restore-de-informacoes
Norma IT01-NO-0220-Norma-de-manuseio-de-midias
Norma IT01-NO-0230-Norma-de-gerenciamento-de-seguranca-e-acesso-a-rede-de-dados
Norma IT01-NO-0231-Norma-de-controle-computacao-movel-e-acesso-remoto
Norma IT01-NO-0250-Norma-de-seguranca-no-acesso-a-internet-e-correio-eletronico
Norma IT01-NO-0260-Norma-geral-de-procedimentos-e-responsabilidades-operacionais
Norma IT01-NO-0265-Norma-de-avaliacao-de-fornecedores-de-ti
Norma IT01-NO-0270-Norma-de-requisitos-do-negocio-para-controle-de-acesso-logico
Norma IT01-NO-0280-Norma-de-controle-de-acesso-logico-aos-usuarios
Norma IT01-NO-0290-Norma-nomenclatura-de-usuarios
Norma IT01-NO-0300-Norma-de-controle-de-acesso-a-aplicacoes-e-informacoes
Norma IT01-NO-0310-Norma-de-controle-de-concessao-de-uso-de-computacao-movel
Norma IT01-NO-0320-Norma-de-responsabilidades-dos-usuarios-colaboradores-e-terceiros
Norma IT01-NO-0330-Norma-de-requisitos-de-seguranca-para-sistemas-e-aplicacoes
Norma IT01-NO-0340-Norma-de-gestao-das-vulnerabilidades-tecnicas-de-sistemas
Norma IT01-NO-0350-Norma-de-aplicacao-e-controle-chaves-criptograficas-de-dados
Norma IT01-NO-0355-Norma-de-alteracao-em-sistemas-e-aplicacoes
Norma IT01-NO-0360-Norma-de-notificacao-de-eventos-e-fragilidades-de-seguranca
Norma IT01-NO-0370-Norma-de-planejamento-de-contingencias-de-TI
Norma IT01-NO-0380-Norma-de-garantia-da-qualidade-em-processos-e-controles-de-ti
Politica IT01-PO-0000-Politica-de-seguranca-da-informacao
Procedimento IT01-PR-0001-Procedimento-organizacao-e-revisao-da-politica-de-seguranca-da-informacao
Registro IT01-PR-0030A-Plano-de-acao-tratamento-riscos-de-ti
Registro IT01-PR-0030B-FMEA-Mapa-de-riscos-de-TI
Procedimento IT01-PR-0030-Procedimento-de-controle-de-ameacas-e-vulnerabilidades-de-ti
Registro IT01-PR-0110A-Lista-mestre-dos-registros-e-controles-de-ti
Procedimento IT01-PR-0110-Procedimento-de-revisao-da-seguranca-da-informacao
Procedimento IT01-PR-0120-Programa-de-treinamentos-e-sensibilizacao-seguranca-informacao
Procedimento IT01-PR-0190-Procedimento-de-Identificacao-e-tratamento-riscos-partes-externas
Registro IT01-PR-0200A-Controle-de-inventario-equipamentos-e-rede
Registro IT01-PR–0200B–Controle-de-inventario-sistemas-criticos
Registro IT01-PR-0200C-Termo-de-destruicao-descarte-seguro-de-ativos
Registro IT01-PR-0200D-Termo-de-responsabilidade-sobre-sistemas-e-aplicacoes
Registro IT01-PR-0200E-Termo-de-responsabilidade-sobre-equipamentos-e-perifericos
Procedimento IT01-PR-0200-Procedimento-de-controle-inventario-ativos-de-ti
Registro IT01-PR–0230A–Controle-de-fornecedores-criticos.xls
Procedimento IT01-PR-0230-Controle-de-fornecedores-criticos
Registro IT01-PR-0240A-Inventario-de-Informações-criticas
Registro IT01-PR-0240B-Termo-de-destruicao-e-descarte-seguro-informacoes-classificadas
Registro IT01-PR-0240C-Termo-de-responsabilidade-sobre-informacao-classificada
Procedimento IT01-PR-0240-Identificacao-e-classificacao-informacao
Registro IT01-PR-0250A–Solicitacao-de-criacao-e-delecao-de-repositorio-na-rede
Registro IT01-PR-0250B–Mapa-de-controle-de-repositorios-de-informacoes-na-rede
Registro IT01-PR-0250C-Termo-de-responsabilidade-sobre-diretorio-informacoes-na-rede-dados
Procedimento IT01-PR-0250-Manipulacao-conteudos-pastas-eletronicas-e-repositorios-na-rede
Procedimento IT01-PR-0270-Seguranca-recursos-humanos-colaboradores
Procedimento IT01-PR-0280-Seguranca-recursos-humanos-terceiros
Procedimento IT01-PR-0281-Rescisao-contrato-trabalho-terceiros
Registro IT01-PR-0282A-Avaliacao-de-desempenho-recursos-humanos-colaboradores-e-terceiros
Procedimento IT01-PR-0282-Processo-de-avaliacao-desempenho-recursos-humanos-terceirizados
Procedimento IT01-PR-0283-Processo-de-avaliacao-desempenho-recursos-humanos-colaboradores
Registro IT01-PR-0330A-Descricao-de-cargos-e-funcoes-de-ti
Registro IT01-PR-0330B-Descricao-atribuicoes-de-comites-e-grupos-tematicos-de-ti
Procedimento IT01-PR-0330-Processo-documentacao-da-descricao-de-cargos-e-funcoes-de-colaboradores-e-terceiros
Registro IT01-PR-0340A-Mapa-de-composicao-do-headcount-de-ti
Procedimento IT01-PR-0340-Composicao-e-revisao-do-mapa-lotacao-de-ti
Registro IT01-PR-0380A-Checklist-de-avaliacao-de-locais-do-perimetro-de-seguranca
Registro IT01-PR-0380C-Mapa-de-controle-locais-do-perimetro-de-seguranca-de-ti
Registro IT01-PR-0380D-Plano-de-acao-corretiva-areas-do-perimetro-seguranca-de-ti
Procedimento IT01-PR-0380-Procedimento-controle-do-perimetros-de-seguranca-fisica
Procedimento IT01-PR-0400-Controle-acesso-fisico-dependencias-de-ti
Registro IT01-PR-0410A-Registro-de-visitas-ao-datacenter
Procedimento IT01-PR-0410-Procedimento-controle-de-visitas-ao-datacenter
Registro IT01-PR-0420A-Mapa-de-controle-de-equipamentos-e-Rede
Registro IT01-PR-0420B-Checklist-para-instalacao-de-equipamentos
Registro IT01-PR-0420C-Relacao-de-software-padrao
Procedimento IT01-PR-0420-Procedimento-de-instalacao-manutencao-e-protecao-dos-equipamentos-de-TI
Registro IT01-PR-0450A-Termo-custodia-equipamento-propriedade-empresa
Registro IT01-PR-0450B-Termo-devolucao-equipamento-custodiado
Procedimento IT01-PR-0450-Procedimento-de-seguranca-de-equipamentos-instalados-fora-dependencias-da-organizacao
Registro IT01-PR-0455A –Solicitacao-de-acesso-temporario-para-visitantes
Procedimento IT01-PR-0455-Controle-de-acesso-fisico-a-portaria-de-pedestres-e-veiculos
Procedimento IT01-PR-0490-Procedimento-de-controle-de-antivirus-codigos-maliciosos-e-moveis
Registro IT01-PR-0500A-Etiqueta-padrao-identificacao-midias-magneticas
Registro IT01-PR-0500B-Inventario-de-fitas-magneticas
Registro IT01-PR-0500C-Registro-de-envio-e-recebimento-de-fitas-de-backup
Registro IT01-PR-0500D–Termo-de-sanitizacao-ou-destruicao-de-midias
Procedimento IT01-PR-0500-Procedimento-de-gerenciamento-de-midias-removiveis
Registro IT01-PR-0510A-Mapa-de-controle-da-rotina-de-operacao-backup-e-restore
Procedimento IT01-PR-0510-Procedimento-de-copias-de-seguranca-das-informacoes-Backup-e-Restore
Registro IT01-PR-0540A-Plano-de-mudancas-infraestrutura
Procedimento IT01-PR-0540-Gerenciamento-de-seguranca-dos-servicos-de-redes
Registro IT01-PR-0580A-Checklist-validacao-requisitos-seguranca-servico-de-rede
Procedimento IT01-PR-0580-Procedimento-de-controle-de-instalacao-e-configuracao-de-rede
Registro IT01-PR-0600A-Controle-de-acesso-remoto-a-rede-de-dados
Procedimento IT01-PR-0600-Procedimento-controle-de-acesso-remoto-a-rede-de-dados-VPN
Registro IT01-PR-0610A-Solicitacao-de-fornecimento-de-produtos-e-servicos-para-ti
Registro IT01-PR-0610B-Selecao-de-fornecedores-de-produtos-e-servicos-para-TI
Procedimento IT01-PR-0610-Procedimento-adicional-para-selecao-e-cadastro-fornecedores-de-ti
Registro IT01-PR-0615A-Plano-de-acoes-corretivas-fornecedores-de-ti
Procedimento IT01-PR-0615-Procedimento-avaliacao-servicos-prestados-por-fornecedores-de-ti
Procedimento IT01-PR-0616-Procedimento-e-controles-adicionais-na-contratacao-fornecedores-de-ti
Procedimento IT01-PR-0620-Procedimento-de-uso-aceitavel-recursos-de-email-e-internet
Registro IT01-PR-0640B-Controle-de-intercambio-de-informacoes-partes-externas
Procedimento IT01-PR-0640-Procedimento-de-controle-troca-informacoes-com-partes-externas
Registro IT01-PR-0660A-Solicitacao-de-criacao-manutencao-Perfis-de-acesso-aos-sistemas-e-aplicacoes
Registro IT01-PR-0660B-Termo-de-excecao-controle-compensatorio-acessos-temporario-aos-sistemas-e-aplicacoes
Registro IT01-PR-0660C-Composicao-de-acessos-concedidos-atraves-de-perfis-aos-sistemas-e-aplicacoes
Procedimento IT01-PR-0660-Procedimento-gerenciamento-de-perfil-de-acesso-logico-a-rede-e-aplicativos
Registro IT01-PR-0670A-Solicitacao-de-acesso-logico-aos-sistemas-e-aplicacoes
Registro IT01-PR-0670B-Relacao-de-pessoal-pre-autorizado-a-solicitar-acesso-logico-emergencial
Registro IT01-PR-0670C-Etiqueta-envelope-contendo-senha-de-acesso-emergencial
Procedimento IT01-PR-0670-Concessao-revisao-e-revogacao-de-acessos-logicos-aos-usuarios
Registro IT01-PR-0690A–Solicitacao-criacao-e-manutencao-de-repositorio-informacoes-na-rede
Registro IT01-PR-0690B–Mapa-de-controle-de-repositorios-de-informacoes-na-rede
Procedimento IT01-PR-0690-Procedimento-de-gerenciamento-de-acesso-as-informacoes-e-repositorios-dados
Registro IT01-PR-0700A –Solicitacao-de-acesso-remoto-a-sistemas-e-aplicacoes
Registro IT01-PR-0700B –Controle-de-acessos-remotos-a-a-sistemas-e-aplicacoes
Procedimento IT01-PR-0700-Procedimento-controle-de-acesso-remoto-a-sistemas-e-aplicacoes
Procedimento IT01-PR-0710-Cessao-de-uso-de-equipamentos-computacionais-portateis-de-propriedade-da-empresa
Registro IT01-PR-0720A –Solicitacao-de-acesso-temporario-a-rede-de-visitantes
Procedimento IT01-PR-0720-Procedimento-de-controle-de-acesso-a-internet-rede-de-visitantes
Registro IT01-PR-0800A-Solicitacao-de-compra-de-sistemas-e-aplicacoes-pontuais-em-ti
Procedimento IT01-PR-0800-Procedimento-de-aquisicao-de-sistemas-e-aplicativos-de-ti
Procedimento IT01-PR-0820-Controle-e-revisao-das-vulnerabilidades-tecnicas-existentes-em-sistemas-e-aplicacoes
Procedimento IT01-PR-0835-Controle-alteracao-em-sistemas-e-aplicacoes
Registro IT01-PR-0837A-Mapa-de-atualizacoes-aplicadas-em-sistemas-e-aplicacoes-recebidas-de-fornecedores
Registro IT01-PR-0837B-000000-Request-Atualizacao-sistemas-e-aplicacoes-recebidas-de-fornecedores
Procedimento IT01-PR-0837-Controle-atualizacoes-em-sistemas-e-aplicacoes-recebidas-de-fornecedores
Registro IT01-PR-0840A-Mapa-de-controle-chaves-criptografica-de-dados-e-certificados-digitais
Registro IT01-PR-0840B-Etiqueta-envelope-contendo-senha-de-chaves-criptograficas-de-dados
Procedimento IT01-PR-0840-Controle-utilizacao-chaves-criptograficas-e-certificados-digitais
Registro IT01-PR-0850A-Requisitos-de-seguranca-na-aquisicao-e-implantacao-de-sistemas-e-aplicacoes
Registro IT01-PR-0855A-Solicitacao-de-mudancas-change-request-CR
Registro IT01-PR-0855B-DUM-documento-unico-de-manutencao-sistemas-e-aplicacoes
Registro IT01-PR-0860A-Plano-de-mudancas
Registro IT01-PR-0860B–RCA-analise-de-causa-raiz
Procedimento IT01-PR-0860-Identificacao-e-tratamento-de-incidentes-de-seguranca-informacao
Procedimento IT01-PR-0880-Procedimento-de-apuracao-de-responsabilidades-em-incidentes-de-seguranca-da-informacao
Registro IT01-PR-0920A-Controle-dos-requisitos-legais-aplicaveis-ao-ambiente-de-ti
Registro IT01-PR-0920B-Controle-dos-requisitos-tecnicos-e-normativos-aplicaveis-ao-ambiente-de-ti
Procedimento IT01-PR-0920-Procedimento-de-controle-de-requisitos-legais-e-tecnicos-em-ti
Registro IT01-PR-0930B-Relatorio-de-auditoria-e-revisao-da-qualidade-em-processos-de-ti
Registro IT01-PR-0930D-Plano-de-acao-tratamento-nao-conformidades-em-processos-e-controles-de-ti
Procedimento IT01-PR-0930-Procedimento-de-garantia-da-qualidade-em-processos-e-controles-de-ti

AGHATHA FRAMEWORK© – Licenca Uso Perpetua – Modelos Aplicacao Norma ISO-IEC-27002:2013- Seguranca Informacao – R02-01A.

AGHATHA FRAMEWORK© – Licenca Uso Perpetua – Modelos Aplicacao Norma ISOIEC-27002:2013 – Seguranca Informacao – R02-01A.

Está disponível para Licenciamento em nossa home page (Http://www.aghatha.com.br) o  AGHATHA Framework destina-se ao  compliance das recomendações e práticas estabelecidas pela Norma ISO-27002:2005 – Gestão da Segurança da Informação.

http://aghatha.wordpress.com/2012/12/04/aghatha-framework-licenca-uso-perpetua-modelos-aplicacao-norma-iso-iec-270022005-seguranca-informacao-r02-01a/

Norma ISO-27002:2013 – Gestão da Segurança da Informação

IMPORTANTE:

O Aghatha Framework não é apenas uma biblioteca contendo  “modelos ou exemplos”  de estruturas de documentos e processos. O AGHATHA Framework é um Suite normativo e procedimental completo e funcional composto de Politicas, Normas e Procedimentos Operacionais que possibilitam efetivamente a adoção e implementação dos padrões e melhores práticas – (READY TO USE / PRONTOS PARA USAR)

Aghatha Framework destinado compliance das recomendações e práticas estabelecidas pela Norma ISO-27002:2013 – Gestão da Segurança da Informação é composto por  175 modelos de documentos e controles já formatados no padrão recomendado pela ABNT para uso em documentos da processos da qualidade.

Este Framework é composto por 175 modelos distribuídos entre Politicas, Normas, Procedimentos e Controles,  pré-formatados, estruturados e aptos para serem utilizados ou servirem de referencial técnico em projetos de implementação das recomendações contidas na Norma ISO-IEC-27.001:2013 e ISO-IEC-27.002:2013 – Gerenciamento de Segurança da Informação.
Os Procedimentos são estruturados em atividades passo-a-passo e em conformidade com as diretrizes estabelecidas na Norma ISO-IEC-27.001:2013 e ISO-IEC-27.002:2013. Os procedimentos são acompanhados por controles e registros de execução das atividades requeridas pelo compliance.

Escopo Framework:  Norma ISO-27.002:2013

1.1 – Composição deste Framework:

2 (Duas) Politicas – Quais Diretrizes ?

40 (Quarenta)  Normas  – Quais Regras ?

49 (Quarenta e Nove)  Procedimentos Passo-a-Passo – Como Fazer ?

84 (Oitenta e quatro)  Registros e Controles –  Como Controlar ?

01 (Um) – Arquivo BPM BIZAGI PROCESS MODELER – Modelo de Integração e Hierárquico dos documentos e controles.

01 (Um) – Arquivo Objeto Bizagi padrão (HTML) – Visão NAVEGÁVEL com acesso direto aos modelos contidos no Aghatha Framework.

01 (Um) Índice Geral de Documentos – Lista de Documentos que Compõem este framework através do Registro AG20-FR-0012 – Uma versão no formato PDF deste documento está disponível para download gratuitamente na seção (Free WhitePapers) de nossa webstore. O Documento completo deste registro está incluso entre os componentes do Framework.

você pode solicitá-lo nesta pagina:  (clique aqui).

Restrições deste Framework:

* NÃO ESTÃO INCLUSOS NESTE FRAMEWORK  (**)

a – Os Processos e Controles relacionados aos seguintes capítulos contidos na norma ISO-IEC-27002:2013.

  • – Seção 12 – Metodologia / Roadmap para o GERENCIAMENTO DE PROJETOS DE MUDANÇAS EM APLICAÇÕES E SISTEMAS – SDLC
  • – Seção 14 – Corpo do Documento PCN – PLANO CONTINUIDADE NEGÓCIO

(**) –  Estas seções são abordadas neste Framework, somente até os níveis de POLITICA e NORMAS, e seus respectivos PROCEDIMENTOS e CONTROLES fazem parte de outros Frameworks específicos, E, SE NECESSÁRIOS, deverão ser licenciados em Separado.

b – O Corpo ou Originais Eletrônicos de Normas Técnicas ISO. 

  • – Os documentos originais das normas (ISO-IEC-27001:2013), (ISO-IEC-27002:2013), ISO-IEC-27003:2011, ISO-IEC-27005:2008 “NÃO ESTÃO INCLUÍDOS” no rol de documentos enviados juntamente com este FRAMEWORK – (***).

(***) –  Estas normas deverão ser adquiridas junto aos seus Publicadores, caso o usuário assim o desejar. Neste caso, recomendamos efetuar a Aquisição da(s) Norma(s) publicada(s) pela ABNT – Associação Brasileira de Normas Técnicas, cujo conteúdo é disponibilizado no Idioma “Português”, e também poderá ser adquirida eletronicamente na WEBSTORE da ABNT.

documento_padrao_aghatha_framework

Templates são integrados entre si  e estruturados  em Politicas (Diretrizes para a Aplicação dos Padrões) , Normas (Regras técnicas para aplicação dos Padrões) e Procedimentos (Passo-a-Passo indicando como realizar os controles operacionais) e seus respectivos  controles e registros prontos para utilização.

PIRAMEDE

APLICAÇÃO:

Com este Framework é possível estruturar os controles internos para o Compliance as Normas:

ISO-27002:2013, ISO-27001 e ISO-27002:2013, ISO-27005, ISO-27003.

Amplitude deste Framework:  

  • Gestão Documentos Técnicos de Compliance da Norma ISO-27002:2013,
  • Gestão de Riscos em TI,
  • Gestão da Organização Segurança Informação,
  • Gestão da Politica Segurança,
  • Gestão de Acessos físicos e lógicos,
  • Gestão de Operações e Comunicações,
  • Gestão do Inventário de Ativos,
  • Gestão da Segurança de Recursos Humanos (Colaboradores e Terceiros,

Convidamos a visitar a pagina de acesso as informações e conteúdos deste Framework, disponível em nossa webstore:

http://aghatha.com/index.php/framework/framework-de-processos-e-controles-para-o-compliance-de-ti-norma-iso-27001-iso-27002-seguranca-da-informacao-release-02-01-a.html

É possível ainda, a contratação de serviços de suporte técnico on-line, com execução não presencial através de salas virtuais seguras sob demanda.

AGHATHA VIRTUAL OFFICE ASSISTANT SERVICES©

A AGHATHA oferece  pacotes adicionais de serviços técnicos  destinados a promover a sensibilização e preparação formal dos membros das equipes de TI envolvidas na implementação deste padrão de Compliance.

Os Serviços de Virtual office assistant podem ser contratados também de forma on-line em nossa Webstore AGHATHA.COM.BR = Economize custos com deslocamentos, estadias e alimentação em projetos de Compliance em TI.

Nossos Consultores estão a sua disposição sob demanda, eventos pontuais com hora marcada para a apoia-lo na solução de suas necessidades (Solução de Gap´s, explanações de formas alternativas de atendimento de requisitos de compliance nos diversos padrões e normas, satisfação de dúvidas e esclarecimentos técnicos, suporte no planejamento e execução de auditorias de auto-avaliação (self-assessment) e/ou em Auditorias Externas.

Veja mais detalhes em nossas paginas  em:

http://aghatha.wordpress.com/2012/12/21/aghatha-virtual-office-assistant-services-servicos-assistente-virtual-e-suporte-tecnico-compliance-norma-iso-iec-270022005-seguranca-informacao/

AGHATHA.COM.BR  – Próximos Lançamentos (Frameworks para o Compliance em TI)

Em breve estaremos lançando outros Frameworks relacionados a compliance em Tecnologia da Informação nos padrões ITIL, PMO / PMI, OPM3 / PMI, Governança Corporativa,  Governança de TI, Sarbanes-Oxley, ISO-20.000:1/2, Prince 2, e frameworks especiais relacionados a padrões requeridos a Provedores Serviços Gerenciados (fabrica de software, fábrica de testes, fabrica de projetos, SOC/NOC, Help-Desk / Service Desk).

te e saiba mais informações sobre nossos produtos e serviços para o Compliance de TI:

http://www.aghatha.com.br/processos.htm

Abraço a todos.

Eurico Haan de Oliveira
http://www.aghatha.com.br

Apresentação:  AGHATHA Framework – Norma ISO-27001:2/2013.

[youtube http://www.youtube.com/watch?v=T_gsHigMFvU]

Relação de Componentes: AGHATHA Framework – Norma ISO-27001:2/2013.

Documentos são confeccionados no formato e estruturas indicados para documentos da qualidade em processos, contém Objetivo, campo de aplicação, documentos relacionados, corpo do conteúdo, validade, anexos,controle dos registros , responsáveis.

Tipo Documento Componente AGHATHA Framework – Norma ISO-27002:2013
Registro
AG00-FR-0008-Formulario-padrao-controles
Registro
AG00-FR-0009-Formulario-padrao-procedimentos
Registro
AG00-FR-0010-Formulario-padrao-normas
Registro
AG00-FR-0011-Formulario-padrao-politicas
Registro
AG00-WI-0000-Formulario-padrao-instrucoes-de-trabalho
Registro
AG20-FR-0002-Controle-de-documento-controlado-copias-impressas
Registro
AG20-FR-0003-Relacao-de-documentos-controlados
Registro
AG20-FR-0005-Controle-mudancas-documentos-framework
Registro
AG20-FR-0012-Lista-componentes-aghatha-framework-iso-27002
Norma
AG20-NO-0001-Padrao-nomenclatura-documentacao-framework-de-processos-e-controles
Norma
AG20-NO-0002-Norma-controle-qualidade-framework-processos-controles
Norma
AG20-NO-0003-Norma-padrao_notacao-bpmn-adotada-aghatha-Framework-Processos-Controles
Politica
AG20-PO-0001-Politica-padronizacao-documentos-Framework-Processos-Controles
Procedimento
AG20-PR-0001-Procedimento-edicao-revisao-e-revogacao-vigencia-documentos
Registro
IT01-FR-0110-Lista-presencas-treinamentos-usuarios
Registro
IT01-FR-0130A-Termo-de-confidencialidade-e-sigilo-colaboradores
Registro
IT01-FR-0130B-Termo-de-confidencialidade-e-sigilo-prestador-de-servicos-pj
Registro
IT01-FR-0130C-Termo-de-adesao-a-politica-de-acesso-a-rede-colaboradores
Registro
IT01-FR-0130D-Aviso-previo-sem-justa-causa-ao-colaborador
Registro
IT01-FR-0130E-Aviso-previo-com-justa-causa-ao-colaborador
Registro
IT01-FR-0640A-Termo-acordo-intercambio-de-informacoes-eletronicas-e-nao-eletronicas-entre-empresas
Norma
IT01-NO-0010-Norma-de-revisao-da-politica-de-seguranca-da-informacao
Norma
IT01-NO-0020-Norma-de-avaliacao-e-qualificacao-dos-riscos-de-ti
Norma
IT01-NO-0030-Norma-de-organizacao-do-gerenciamento-de-riscos-de-ti
Norma
IT01-NO-0060-Norma-de-organizacao-da-seguranca-da-informacao
Norma
IT01-NO-0070-Manual-de-organizacao-de-conceitos
Norma
IT01-NO-0080-Norma-de-gestao-de-riscos-com-partes-externas
Norma
IT01-NO-0100-Norma-de-inventario-de-ativos-de-TI
Norma
IT01-NO-0110-Norma-de-classificacao-e-responsabilidades-sobre-ativos
Norma
IT01-NO-0120-Norma-de-classificacao-da-informacao
Norma
IT01-NO-0130-Norma-de-seguranca-de-recursos-humanos
Norma
IT01-NO-0140-Norma-de-gestao-dos-recursos-humanos-terceirizados
Registro
IT01-NO-0150A-Anexo 1-Termo-de-ciencia-e-declaracao-acerca-da-existencia-ou-nao-de-conflito-de-Interesses
Registro
IT01-NO-0150B-Anexo 2-Declaracao-acerca-da-existencia-ou-nao-de-conflito-de-Interesses
Norma
IT01-NO-0150-Codigo-de-etica
Norma
IT01-NO-0160-A
Norma
IT01-NO-0160-Norma-estrutura-organizacional-de-cargos-e-funcoes-de-TI
Norma
IT01-NO-0170-Norma-de-acesso-a-areas-seguras
Norma
IT01-NO-0180-Norma-de-seguranca-de-equipamentos
Norma
IT01-NO-0200-Norma-de-protecao-contra-codigos-maliciosos-e-moveis
Norma
IT01-NO-0210-Norma-de-copias-de-seguranca-backup-e-restore-de-informacoes
Norma
IT01-NO-0220-Norma-de-manuseio-de-midias
Norma
IT01-NO-0230-Norma-de-gerenciamento-de-seguranca-e-acesso-a-rede-de-dados
Norma
IT01-NO-0231-Norma-de-controle-computacao-movel-e-acesso-remoto
Norma
IT01-NO-0250-Norma-de-seguranca-no-acesso-a-internet-e-correio-eletronico
Norma
IT01-NO-0260-Norma-geral-de-procedimentos-e-responsabilidades-operacionais
Norma
IT01-NO-0265-Norma-de-avaliacao-de-fornecedores-de-ti
Norma
IT01-NO-0270-Norma-de-requisitos-do-negocio-para-controle-de-acesso-logico
Norma
IT01-NO-0280-Norma-de-controle-de-acesso-logico-aos-usuarios
Norma
IT01-NO-0290-Norma-nomenclatura-de-usuarios
Norma
IT01-NO-0300-Norma-de-controle-de-acesso-a-aplicacoes-e-informacoes
Norma
IT01-NO-0310-Norma-de-controle-de-concessao-de-uso-de-computacao-movel
Norma
IT01-NO-0320-Norma-de-responsabilidades-dos-usuarios-colaboradores-e-terceiros
Norma
IT01-NO-0330-Norma-de-requisitos-de-seguranca-para-sistemas-e-aplicacoes
Norma
IT01-NO-0340-Norma-de-gestao-das-vulnerabilidades-tecnicas-de-sistemas
Norma
IT01-NO-0350-Norma-de-aplicacao-e-controle-chaves-criptograficas-de-dados
Norma
IT01-NO-0355-Norma-de-alteracao-em-sistemas-e-aplicacoes
Norma
IT01-NO-0360-Norma-de-notificacao-de-eventos-e-fragilidades-de-seguranca
Norma
IT01-NO-0370-Norma-de-planejamento-de-contingencias-de-TI
Norma
IT01-NO-0380-Norma-de-garantia-da-qualidade-em-processos-e-controles-de-ti
Politica
IT01-PO-0000-Politica-de-seguranca-da-informacao
Procedimento
IT01-PR-0001-Procedimento-organizacao-e-revisao-da-politica-de-seguranca-da-informacao
Registro
IT01-PR-0030A-Plano-de-acao-tratamento-riscos-de-ti
Registro
IT01-PR-0030B-FMEA-Mapa-de-riscos-de-TI
Procedimento
IT01-PR-0030-Procedimento-de-controle-de-ameacas-e-vulnerabilidades-de-ti
Registro
IT01-PR-0110A-Lista-mestre-dos-registros-e-controles-de-ti
Procedimento
IT01-PR-0110-Procedimento-de-revisao-da-seguranca-da-informacao
Procedimento
IT01-PR-0120-Programa-de-treinamentos-e-sensibilizacao-seguranca-informacao
Procedimento
IT01-PR-0190-Procedimento-de-Identificacao-e-tratamento-riscos-partes-externas
Registro
IT01-PR-0200A-Controle-de-inventario-equipamentos-e-rede
Registro
IT01-PR–0200B–Controle-de-inventario-sistemas-criticos
Registro
IT01-PR-0200C-Termo-de-destruicao-descarte-seguro-de-ativos
Registro
IT01-PR-0200D-Termo-de-responsabilidade-sobre-sistemas-e-aplicacoes
Registro
IT01-PR-0200E-Termo-de-responsabilidade-sobre-equipamentos-e-perifericos
Procedimento
IT01-PR-0200-Procedimento-de-controle-inventario-ativos-de-ti
Registro
IT01-PR–0230A–Controle-de-fornecedores-criticos.xls
Procedimento
IT01-PR-0230-Controle-de-fornecedores-criticos
Registro
IT01-PR-0240A-Inventario-de-Informações-criticas
Registro
IT01-PR-0240B-Termo-de-destruicao-e-descarte-seguro-informacoes-classificadas
Registro
IT01-PR-0240C-Termo-de-responsabilidade-sobre-informacao-classificada
Procedimento
IT01-PR-0240-Identificacao-e-classificacao-informacao
Registro
IT01-PR-0250A–Solicitacao-de-criacao-e-delecao-de-repositorio-na-rede
Registro
IT01-PR-0250B–Mapa-de-controle-de-repositorios-de-informacoes-na-rede
Registro
IT01-PR-0250C-Termo-de-responsabilidade-sobre-diretorio-informacoes-na-rede-dados
Procedimento
IT01-PR-0250-Manipulacao-conteudos-pastas-eletronicas-e-repositorios-na-rede
Procedimento
IT01-PR-0270-Seguranca-recursos-humanos-colaboradores
Procedimento
IT01-PR-0280-Seguranca-recursos-humanos-terceiros
Procedimento
IT01-PR-0281-Rescisao-contrato-trabalho-terceiros
Registro
IT01-PR-0282A-Avaliacao-de-desempenho-recursos-humanos-colaboradores-e-terceiros
Procedimento
IT01-PR-0282-Processo-de-avaliacao-desempenho-recursos-humanos-terceirizados
Procedimento
IT01-PR-0283-Processo-de-avaliacao-desempenho-recursos-humanos-colaboradores
Registro
IT01-PR-0330A-Descricao-de-cargos-e-funcoes-de-ti
Registro
IT01-PR-0330B-Descricao-atribuicoes-de-comites-e-grupos-tematicos-de-ti
Procedimento
IT01-PR-0330-Processo-documentacao-da-descricao-de-cargos-e-funcoes-de-colaboradores-e-terceiros
Registro
IT01-PR-0340A-Mapa-de-composicao-do-headcount-de-ti
Procedimento
IT01-PR-0340-Composicao-e-revisao-do-mapa-lotacao-de-ti
Registro
IT01-PR-0380A-Checklist-de-avaliacao-de-locais-do-perimetro-de-seguranca
Registro
IT01-PR-0380C-Mapa-de-controle-locais-do-perimetro-de-seguranca-de-ti
Registro
IT01-PR-0380D-Plano-de-acao-corretiva-areas-do-perimetro-seguranca-de-ti
Procedimento
IT01-PR-0380-Procedimento-controle-do-perimetros-de-seguranca-fisica
Procedimento
IT01-PR-0400-Controle-acesso-fisico-dependencias-de-ti
Registro
IT01-PR-0410A-Registro-de-visitas-ao-datacenter
Procedimento
IT01-PR-0410-Procedimento-controle-de-visitas-ao-datacenter
Registro
IT01-PR-0420A-Mapa-de-controle-de-equipamentos-e-Rede
Registro
IT01-PR-0420B-Checklist-para-instalacao-de-equipamentos
Registro
IT01-PR-0420C-Relacao-de-software-padrao
Procedimento
IT01-PR-0420-Procedimento-de-instalacao-manutencao-e-protecao-dos-equipamentos-de-TI
Registro
IT01-PR-0450A-Termo-custodia-equipamento-propriedade-empresa
Registro
IT01-PR-0450B-Termo-devolucao-equipamento-custodiado
Procedimento
IT01-PR-0450-Procedimento-de-seguranca-de-equipamentos-instalados-fora-dependencias-da-organizacao
Registro
IT01-PR-0455A –Solicitacao-de-acesso-temporario-para-visitantes
Procedimento
IT01-PR-0455-Controle-de-acesso-fisico-a-portaria-de-pedestres-e-veiculos
Procedimento
IT01-PR-0490-Procedimento-de-controle-de-antivirus-codigos-maliciosos-e-moveis
Registro
IT01-PR-0500A-Etiqueta-padrao-identificacao-midias-magneticas
Registro
IT01-PR-0500B-Inventario-de-fitas-magneticas
Registro
IT01-PR-0500C-Registro-de-envio-e-recebimento-de-fitas-de-backup
Registro
IT01-PR-0500D–Termo-de-sanitizacao-ou-destruicao-de-midias
Procedimento
IT01-PR-0500-Procedimento-de-gerenciamento-de-midias-removiveis
Registro
IT01-PR-0510A-Mapa-de-controle-da-rotina-de-operacao-backup-e-restore
Procedimento
IT01-PR-0510-Procedimento-de-copias-de-seguranca-das-informacoes-Backup-e-Restore
Registro
IT01-PR-0540A-Plano-de-mudancas-infraestrutura
Procedimento
IT01-PR-0540-Gerenciamento-de-seguranca-dos-servicos-de-redes
Registro
IT01-PR-0580A-Checklist-validacao-requisitos-seguranca-servico-de-rede
Procedimento
IT01-PR-0580-Procedimento-de-controle-de-instalacao-e-configuracao-de-rede
Registro
IT01-PR-0600A-Controle-de-acesso-remoto-a-rede-de-dados
Procedimento
IT01-PR-0600-Procedimento-controle-de-acesso-remoto-a-rede-de-dados-VPN
Registro
IT01-PR-0610A-Solicitacao-de-fornecimento-de-produtos-e-servicos-para-ti
Registro
IT01-PR-0610B-Selecao-de-fornecedores-de-produtos-e-servicos-para-TI
Procedimento
IT01-PR-0610-Procedimento-adicional-para-selecao-e-cadastro-fornecedores-de-ti
Registro
IT01-PR-0615A-Plano-de-acoes-corretivas-fornecedores-de-ti
Procedimento
IT01-PR-0615-Procedimento-avaliacao-servicos-prestados-por-fornecedores-de-ti
Procedimento
IT01-PR-0616-Procedimento-e-controles-adicionais-na-contratacao-fornecedores-de-ti
Procedimento
IT01-PR-0620-Procedimento-de-uso-aceitavel-recursos-de-email-e-internet
Registro
IT01-PR-0640B-Controle-de-intercambio-de-informacoes-partes-externas
Procedimento
IT01-PR-0640-Procedimento-de-controle-troca-informacoes-com-partes-externas
Registro
IT01-PR-0660A-Solicitacao-de-criacao-manutencao-Perfis-de-acesso-aos-sistemas-e-aplicacoes
Registro
IT01-PR-0660B-Termo-de-excecao-controle-compensatorio-acessos-temporario-aos-sistemas-e-aplicacoes
Registro
IT01-PR-0660C-Composicao-de-acessos-concedidos-atraves-de-perfis-aos-sistemas-e-aplicacoes
Procedimento
IT01-PR-0660-Procedimento-gerenciamento-de-perfil-de-acesso-logico-a-rede-e-aplicativos
Registro
IT01-PR-0670A-Solicitacao-de-acesso-logico-aos-sistemas-e-aplicacoes
Registro
IT01-PR-0670B-Relacao-de-pessoal-pre-autorizado-a-solicitar-acesso-logico-emergencial
Registro
IT01-PR-0670C-Etiqueta-envelope-contendo-senha-de-acesso-emergencial
Procedimento
IT01-PR-0670-Concessao-revisao-e-revogacao-de-acessos-logicos-aos-usuarios
Registro
IT01-PR-0690A–Solicitacao-criacao-e-manutencao-de-repositorio-informacoes-na-rede
Registro
IT01-PR-0690B–Mapa-de-controle-de-repositorios-de-informacoes-na-rede
Procedimento
IT01-PR-0690-Procedimento-de-gerenciamento-de-acesso-as-informacoes-e-repositorios-dados
Registro
IT01-PR-0700A –Solicitacao-de-acesso-remoto-a-sistemas-e-aplicacoes
Registro
IT01-PR-0700B –Controle-de-acessos-remotos-a-a-sistemas-e-aplicacoes
Procedimento
IT01-PR-0700-Procedimento-controle-de-acesso-remoto-a-sistemas-e-aplicacoes
Procedimento
IT01-PR-0710-Cessao-de-uso-de-equipamentos-computacionais-portateis-de-propriedade-da-empresa
Registro
IT01-PR-0720A –Solicitacao-de-acesso-temporario-a-rede-de-visitantes
Procedimento
IT01-PR-0720-Procedimento-de-controle-de-acesso-a-internet-rede-de-visitantes
Registro
IT01-PR-0800A-Solicitacao-de-compra-de-sistemas-e-aplicacoes-pontuais-em-ti
Procedimento
IT01-PR-0800-Procedimento-de-aquisicao-de-sistemas-e-aplicativos-de-ti
Procedimento
IT01-PR-0820-Controle-e-revisao-das-vulnerabilidades-tecnicas-existentes-em-sistemas-e-aplicacoes
Procedimento
IT01-PR-0835-Controle-alteracao-em-sistemas-e-aplicacoes
Registro
IT01-PR-0837A-Mapa-de-atualizacoes-aplicadas-em-sistemas-e-aplicacoes-recebidas-de-fornecedores
Registro
IT01-PR-0837B-000000-Request-Atualizacao-sistemas-e-aplicacoes-recebidas-de-fornecedores
Procedimento
IT01-PR-0837-Controle-atualizacoes-em-sistemas-e-aplicacoes-recebidas-de-fornecedores
Registro
IT01-PR-0840A-Mapa-de-controle-chaves-criptografica-de-dados-e-certificados-digitais
Registro
IT01-PR-0840B-Etiqueta-envelope-contendo-senha-de-chaves-criptograficas-de-dados
Procedimento
IT01-PR-0840-Controle-utilizacao-chaves-criptograficas-e-certificados-digitais
Registro
IT01-PR-0850A-Requisitos-de-seguranca-na-aquisicao-e-implantacao-de-sistemas-e-aplicacoes
Registro
IT01-PR-0855A-Solicitacao-de-mudancas-change-request-CR
Registro
IT01-PR-0855B-DUM-documento-unico-de-manutencao-sistemas-e-aplicacoes
Registro
IT01-PR-0860A-Plano-de-mudancas
Registro
IT01-PR-0860B–RCA-analise-de-causa-raiz
Procedimento
IT01-PR-0860-Identificacao-e-tratamento-de-incidentes-de-seguranca-informacao
Procedimento
IT01-PR-0880-Procedimento-de-apuracao-de-responsabilidades-em-incidentes-de-seguranca-da-informacao
Registro
IT01-PR-0920A-Controle-dos-requisitos-legais-aplicaveis-ao-ambiente-de-ti
Registro
IT01-PR-0920B-Controle-dos-requisitos-tecnicos-e-normativos-aplicaveis-ao-ambiente-de-ti
Procedimento
IT01-PR-0920-Procedimento-de-controle-de-requisitos-legais-e-tecnicos-em-ti
Registro
IT01-PR-0930B-Relatorio-de-auditoria-e-revisao-da-qualidade-em-processos-de-ti
Registro
IT01-PR-0930D-Plano-de-acao-tratamento-nao-conformidades-em-processos-e-controles-de-ti
Procedimento
IT01-PR-0930-Procedimento-de-garantia-da-qualidade-em-processos-e-controles-de-ti

Gestão de Riscos de TI – NBR 27005 – Por Edson Kowask – Escola Superior de Redes – RNP

Gestão de Riscos de TI – NBR 27005

Material didático do curso de Gestão de Riscos de TI – NBR 27005. O aluno desenvolve a capacidade de propor controles de segurança da informação para tratar e mitigar os riscos nas organizações. Aprende a identificar ameaças, vulnerabilidades e riscos associados à segurança da informação e a aplicar em sua organização a metodologia de gestão e análise de riscos da norma NBR 27005.

Autor: Edson Kowask

Copyright: Escola Superior de Redes – RNP

Fonte Original: http://pt.scribd.com/doc/55387254/Gestao-de-Riscos-de-TI-NBR-27005

Divulgação de Outras Publicações da Escola Superior de Redes – RNP / ESRhttp://esr.rnp.br/

  • Gestão de Riscos de TI – NBR 27005 – Por Edson Kowask – Escola Superior de Redes – RNP

http://aghatha.wordpress.com/2012/11/03/gerenciamento-de-projetos-de-ti-por-rodrigo-costa-escola-superior-de-redes-rnp/

  • Gestão de Riscos de TI – NBR 27005 – Por Edson Kowask – Escola Superior de Redes – RNP

http://aghatha.wordpress.com/2012/11/03/gestao-de-riscos-de-ti-nbr-27005-por-edson-kowask-escola-superior-de-redes-rnp/

  • Governança de TI – Por Edson Roberto Gaseta – Escola Superior de Redes – RNP

http://aghatha.wordpress.com/2012/11/03/governanca-de-ti-por-edson-roberto-gaseta-escola-superior-de-redes-rnp/

http://aghatha.wordpress.com/2012/11/03/itil-information-technology-infrastructure-library-por-felicio-cestari-filho-escola-superior-de-redes-rnp/

  • Gestão da Segurança da Informação – NBR 27001 e NBR 27002 – Por Flávia Estélia Silva Coelho – Escola Superior de Redes

http://aghatha.wordpress.com/2012/11/03/gestao-da-seguranca-da-informacao-nbr-27001-e-nbr-27002-por-flavia-estelia-silva-coelho-escola-superior-de-redes/

Encontre uma das Unidades da Escola Superior de Redes – RNP / ESR perto de você ?

Unidade Brasília (DF) http://esr.rnp.br/local/df-bsb

Instituto Brasileiro de Informação em Ciência e Tecnologia (Ibict)
(61) 3243-4340
(61) 3243-4341 fax

Unidade Cuiabá (MT) http://esr.rnp.br/local/mt-cub

Universidade Federal do Mato Grosso (UFMT)
(65) 3615-8993

Unidade João Pessoa (PB) http://esr.rnp.br/local/pb-jpa

Universidade Federal da Paraíba (UFPB)
(83) 3216-7932/ 7931

Unidade Porto Alegre (RS) http://esr.rnp.br/local/rs-poa

Universidade Federal do Rio Grande do Sul (UFRGS)
(51) 3308-5900

Unidade Rio de Janeiro (RJ) http://esr.rnp.br/local/rj-rio

Centro Brasileiro de Pesquisas Físicas (CBPF)
(21) 2275-5578

Unidade Salvador (BA) http://esr.rnp.br/local/ba-sal

Universidade Federal da Bahia (UFBA)
(71) 3283-6140

Gestão da Segurança da Informação – NBR 27001 e NBR 27002 – Por Flávia Estélia Silva Coelho – Escola Superior de Redes

Gestão da Segurança da Informação – NBR 27001 e NBR 27002

Material didático de apoio ao curso Gestão da Segurança da Informação da Escola Superior de Redes. O curso é focado na elaboração de um plano diretor para gestão da segurança da informação com base nas normas técnicas NBR 27001 e NBR 27002. O aluno aprende a identificar vulnerabilidades e riscos associados à segurança da informação; a aplicar as proposições fundamentais de uma política de segurança em uma organização; a propor planos de continuidade de negócios para organizações, considerando aspectos vigentes de legislação e direito digital.

Autora:  Flávia Estélia Silva Coelho

Copyright:  Escola Superior de Redes – RNP

Fonte Original: http://pt.scribd.com/doc/58008255/Gestao-da-Seguranca-da-Informacao-NBR-27001-e-NBR-27002 

[scribd id=58008255 key=key-73n7e8qd0goxpubekuj mode=scroll]

Divulgação de Outras Publicações da Escola Superior de Redes – RNP / ESRhttp://esr.rnp.br/

  • Gestão de Riscos de TI – NBR 27005 – Por Edson Kowask – Escola Superior de Redes – RNP

http://aghatha.wordpress.com/2012/11/03/gerenciamento-de-projetos-de-ti-por-rodrigo-costa-escola-superior-de-redes-rnp/

  • Gestão de Riscos de TI – NBR 27005 – Por Edson Kowask – Escola Superior de Redes – RNP

http://aghatha.wordpress.com/2012/11/03/gestao-de-riscos-de-ti-nbr-27005-por-edson-kowask-escola-superior-de-redes-rnp/

  • Governança de TI – Por Edson Roberto Gaseta – Escola Superior de Redes – RNP

http://aghatha.wordpress.com/2012/11/03/governanca-de-ti-por-edson-roberto-gaseta-escola-superior-de-redes-rnp/

http://aghatha.wordpress.com/2012/11/03/itil-information-technology-infrastructure-library-por-felicio-cestari-filho-escola-superior-de-redes-rnp/

  • Gestão da Segurança da Informação – NBR 27001 e NBR 27002 – Por Flávia Estélia Silva Coelho – Escola Superior de Redes

http://aghatha.wordpress.com/2012/11/03/gestao-da-seguranca-da-informacao-nbr-27001-e-nbr-27002-por-flavia-estelia-silva-coelho-escola-superior-de-redes/

Encontre uma das Unidades da Escola Superior de Redes – RNP / ESR perto de você ?

Unidade Brasília (DF) http://esr.rnp.br/local/df-bsb

Instituto Brasileiro de Informação em Ciência e Tecnologia (Ibict)
(61) 3243-4340
(61) 3243-4341 fax

Unidade Cuiabá (MT) http://esr.rnp.br/local/mt-cub

Universidade Federal do Mato Grosso (UFMT)
(65) 3615-8993

Unidade João Pessoa (PB) http://esr.rnp.br/local/pb-jpa

Universidade Federal da Paraíba (UFPB)
(83) 3216-7932/ 7931

Unidade Porto Alegre (RS) http://esr.rnp.br/local/rs-poa

Universidade Federal do Rio Grande do Sul (UFRGS)
(51) 3308-5900

Unidade Rio de Janeiro (RJ) http://esr.rnp.br/local/rj-rio

Centro Brasileiro de Pesquisas Físicas (CBPF)
(21) 2275-5578

Unidade Salvador (BA) http://esr.rnp.br/local/ba-sal

Universidade Federal da Bahia (UFBA)
(71) 3283-6140

O Que e BSM – Business Service Management

BSM – é um modelo de gestão dos serviços prestados pelo TI e  que integra ações de  monitoramento,  identificação de incidentes e eventos que impactam na continuidade dos serviços de TI, priorização das ações de resposta, e medição de níveis de serviços  de TI a partir de uma perspectiva do ambiente computacional em relação à estrutura do negócio, ou seja,

    • “BSM é um conjunto de funcionalidades destinadas ao gerenciamento eficiente de processos e métodos relacionados ao ambiente de TI através de uma abordagem centrada no atendimento das necessidades e prioridades do negócio / Cliente / Inquilino”.
    • “BSM reúne em uma só ferramenta uma grande quantidade de processos distintos, informações do ambiente e dados de outras ferramentas, possibilitando com isto um conjunto de melhorias quantificáveis em termos de disponibilidade, Performance, capacidade e segurança através da visão da tecnologia em relação ao processo de negócio / cliente / inquilino  que se deseja priorizar as ações de suporte”.
    • BSM permite a Área de TI / Provedor Serviços direcionar e gerenciar seu ambiente (Hardware, Software, Serviços e Processos) ao invés de atuar através do modelo tradicional em grupos individuais ou torres por tecnologia (Ex: Operações, Redes, Segurança, Suporte, Atendimento a Incidentes) atuar através de um grupo único, coeso e integrado através de funcionalidades oferecidas pela ferramenta de BSM, permitindo a priorização dos esforços e oferecendo um melhor nível de serviço entregue para o negócio / cliente / inquilino ou para a própria organização como um todo”.

AGHATHA distribui as  Soluções integradas e convergentes da empresa Norte Americana ACCELOPS, (ACCELOPS PAM e ACCELOPS SIEM)  destinadas ao monitoramento integrado e em tempo real de Disponibilidade, Performance,  Segurança e Governança dos Ativos e Serviços no DATA CENTER, SOC  e NOC – (All-in-One Solution), atendendo aos requisitos estabelecidos pelo conceito do BSM – Business Service Monitoring,

  • Assista Video de Overwiew das Inovações das Soluções Accelops.

Disponibilidade, Performance  e Segurança para  Data Center e SOC /NOC – (All-In-One Solution) / BSM Business Service Management & Monitoring.

[youtube=http://www.youtube.com/watch?v=ffnKNrVD6pM]

  • Assista Video Aplicando os Conceitos de BSM através do Accelops.

Veja como é possivel aplicar os conceitos de BSM – Business Service Management com o Apoio do AccelOps All-In-One Monitoring Solution – Data Center + SOC + NOC e as principais Inovações e o que esta solução pode oferecer ao seu Negócio:

[youtube=http://www.youtube.com/watch?v=RKLs313bED4&]

  • Artigo contendo informações Técnicas Solução Accelops.

http://aghatha.wordpress.com/2011/08/11/solucao-inovadora-bsm-business-system-management-monitoring-all-in-one-solution/

Ficou interessado em conhecer melhor a Solução Accelops?

    • Solicite uma Demonstração da Solução Accelops:

Realizamos Demonstrações detalhadas da solução AccelOps através de apresentação em Salas Virtuais,  entre em contato conosco e agende a sua demonstração. email: consulting@aghatha.com .

 

    • Solicite uma Cópia Para Testes do Accelops no seu Ambiente:

Disponibilizamos cópia de demonstração para realização de um “test-drive” gratuito da solução AccelOps, veja você mesmo como esta aplicação efetivamente eleva os níveis de serviços prestados pela TI aos seruviços prestados pela TI ao seu negócio. email:  consulting@aghatha.com .

    • Solicite uma Cotação de Preços do Accelops:

Nossa solução oferece excelentes taxas de retorno em relação Custo x Benefício e ainda possui maior escalabilidade e baixo custo de propriedade – TCO. email:  consulting@aghatha.com .

(ACCELOPS = Baixo Custo Licenciamento e TCO, Mais Escalavel, Mais Completa e Mais Moderna e Promove monitroramento Pro-ativo da Disponibilidade, Multitenancy, Performance, Segurança e Compliance do seu ambiente em Tempo Real):

Aproveite condições Especiais de lançamento no Mercado Brasileiro.

Reduza seus custos operacionais e ainda melhore sensivelmente os Níveis de Serviço praticados para o Negócio, Saiba mais informações clicando no Botão Verde !! (E veja mais informações sobre as soluções em nosso Site), ou ainda:

  • Confira Mais informações sobre a solução em:

*  Divulgue este Post:

Licença Creative Commons
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.

Como Definir uma Politica de Seguranca Informacao – introducao conceitos estruturas e sugestoes

COMO DEFINIR UMA POLITICA DE SEGURANÇA DA INFORMAÇÃO

Introdução, Conceitos, Estruturas e Sugestões Práticas à Seguir.

 

COMO DEFINIR UMA POLITICA DE SEGURANÇA DA INFORMAÇÃO- Introdução, Conceitos, Estrutura e Sugestões a Seguir.

1 – Abertura e Objetivos

Neste artigo vamos tratar de um assunto muito discutido e denominado Politica de Segurança da Informação, abordando algumas dúvidas comuns e sugerindo algumas ações que possam ser adotadas para construir e implementar uma Politica de Segurança da Informação, citando alguns exemplos e práticas que possam ser aplicadas no dia a dia das empresas e com isto promover melhorias na Segurança da Informação.

Nosso objetivo é tratar o assunto de forma geral e não definitiva este assunto que é complexo e logicamente não poderemos trata-lo por completo nestas poucas páginas de texto,  fizemos nosso texto orientado aos colegas que não possuem domínio total do assunto mas que por algum motivo preocupam com o assunto e tem dificuldades em encontrar material de apoio relacionado a este assunto, principalmente em português, e ainda pensamos que também poderá proporcionar material de apoio aos colegas mais experientes, ou para aqueles que tratam da segurança da informação orientado ao Compliance a algum padrão ou legislação em particular.

2 – Introdução e Conceitos Básicos a Segurança Informação

Primeiramente precisaremos abordar alguns conceitos e ideias relacionadas ao assunto, elementos, características e atributos relacionados a uma Política de Segurança da Informação, são eles:

2.1 – Informação tem Valor e Precisa ser protegida.

Informação são todos os dados, fórmulas, contratos, documentos privados, o resultado econômico obtido, saldos bancários, projetos e fotos de produtos em desenvolvimento, propostas comerciais enviadas, propostas de fornecimentos recebidas, planos estratégicos, planos de marketing, a relação de clientes e fornecedores, os dados pessoais dos colaboradores, enfim todo o tipo de “informação” que “represente ou possua um determinado valor” ou ainda,  que possa vir a causar “prejuízo ou impacto negativo” caso venha a ser comunicado a elementos estranhos à organização.

Por mais elementar que possa parecer, é difícil fazer as pessoas entenderem o fato de que a informação “possui um valor” e em função disto deve ser “protegida por todos”, ou ainda, os motivos pelos quais  o “vazamento” de uma informação pode vir a trazer prejuízos para a empresa onde se atua,  ou mais ainda que a informação seja parte do “patrimônio de uma  empresa”, embora isto sejam conceitos, para alguns ainda são “paradigmas” a serem quebrados.

Vamos ilustrar duas situações hipotéticas como exemplos para que possamos transmitir e reforçar os conceitos de que a informação “possui mesmo um valor” e devido a este fato, “necessita ser mesmo protegida”.

  • A informação possui Valor:

Vamos imaginar, durante um minuto, que você leitor é um colaborador, dentre vinte outros colegas de trabalho, e a sua função e dos seus demais é realizar a faxina das salas no final do expediente em uma Grande Empresa, (Destas, que ocupam diversos andares em um mesmo prédio).

Um dia ao passar por uma das mesas, percebe que há um papel caído no chão, você simplesmente o pega e em seguida o coloca no cesto de lixo, continuando a sua atividade normalmente junto com seus colegas de trabalho.

No dia seguinte, a secretária do Gestor Financeiro percebe que o papel onde havia imprimido o Balanço contendo os resultados do ano anterior (Aquele Balanço que ainda não havia sido divulgado externamente), o qual ela havia imprimido a fim de ganhar tempo na organização da reunião matinal do dia seguinte, percebe que o papel impresso sumiu da sua mesa. Rapidamente ela imprime uma nova cópia do documento, e a reunião ocorre na hora marcada e nada de mais acontece.

Passados alguns dias, e uma semana antes da data do balanço ser divulgado pela empresa,  o gestor financeiro da empresa recebe os cumprimentos pelo excelente resultado obtido pela sua empresa ano anterior, recebido casualmente durante um jantar num restaurante, e, ainda o “cumprimento” foi proferido por uma pessoa estranha à empresa. Mesmo sem entender o que está acontecendo, recebe o cumprimento com um sorriso amarelo no rosto e sem seguida continua o jantar meio sem jeito, pensando em um milhão de possíveis hipóteses na tentativa de “explicar” o evento ocorrido.

ONDE esta o valor da informação?

  • Para você ou algum de seus colegas, foi mais um “lixo” colocado no “lixo”, e ainda, pode ter proferido algum “impropério” em homenagem ao desleixado que deixou “aquilo” caído no chão.
  • Para a secretária, pode representar o consumo de uma folha adicional de papel mais a atividade de reimprimir o documento, além do “stress” de ter que imprimi-la novamente às pressas no dia seguinte, para não atrasar a reunião.
  • Para o Gestor Financeiro, resta torcer para que o cumprimento recebido tenha sido uma “Obra do acaso, afinal de contas como o “fulano” poderia saber, e ainda mais uma semana antes da divulgação do Balanço…”.
  • No entanto, esta informação para um investidor do mercado de ações pode representar a diferença entre “ganhar um pouco” ou “ganhar um pouco mais”, pois indica que a compra antecipada de um lote maior de ações desta empresa poderá render um pouco mais, ainda mais depois de ter a certeza que o resultado “antes presumido” foi “de fato muito bom”. A isto se denomina “informação privilegiada”;

Este exemplo é bem interessante, pois pode ser aplicável a muitos outros tipos de informações “perdidas ou extraviadas”. Imagine um pouco mais adiante, substituindo o “Balanço”, por outras informações, tais como: O “plano estratégico”, “projetos ou plantas de produtos”, “Plano Marketing”, o cadastro de clientes, e assim por diante.

Quando a possibilidade de alguém encontrar um papel importante no lixo, tenha a seguinte certeza em mente: “havendo uma grande quantia envolvida, haverá sempre alguém interessado em “dar uma olhadinha” na sua lixeira”, estão lembrados de que alguns anos atrás, alguém perdeu um bilhete premiado, e depois de dizer que havia colocado no lixo, houve uma horda de pessoas em direção ao lixão da cidade, a fim de encontrar o “tal bilhete”.

  • A Informação precisa ser protegida.

Vamos investir mais um minuto imaginando outra situação: Onde você é o único responsável por salvaguardar uma fórmula de uma bebida ou refrigerante famoso, e que a empresa onde você trabalha, é o que é, devido à existência deste produto, o qual é fabricado através do uso desta formula.

É sensato concluir que empresa proprietária da formula, construiu esta “combinação de porções e ingredientes” depois de muitos anos de pesquisa, milhares de testes e uma soma incalculável de investimentos e recursos até que em algum dia conseguiu obter a “combinação ideal”.

É inegável, que a informação sob sua responsabilidade é algo que  representa e possui um “grande valor” e ainda, e que é “prioritário” que ela deve ser  protegida através da melhor forma possível.

Após entendermos as razões de valor de uma informação e entender que há motivos plausíveis para que ela seja protegida, surge à necessidade de aplicar ações neste sentido. Estas ações,  vistas de um nível mais alto em uma organização é o que se denominava há cem anos como “Instruções Técnicas de Segurança” e nos dias atuais de “Politica de Segurança da Informação”.

2.2 – Os atributos da Segurança Informação

Abaixo citaremos as principais características da segurança da informação, com base nestes atributos todo o resto é planejado e executado:

  • Confidencialidade:

A Confidencialidade nos impulsiona primeiramente identificar e classificar o nível de sigilo das informações para depois tomar medidas protetivas para que não seja comunicada ou acessada por todos aqueles que não a necessitam para o restrito exercício de suas funções e estão devidamente autorizados para isto.

  • Integridade:

As informações devem ser mantidas intactas e protegidas para que não se percam ou se deteriorem e precisa ser protegida contra agentes que possam destruí-la ou torná-la indisponível no momento em que se fizer necessária. A informação deve ter a sua integridade assegurada.

  • Confiabilidade:

As informações somente poderão ser alteradas ou modificadas por pessoa treinada ou capacitada para tal, evitando que uma informação seja invalidada por alguma atividade não regular ou realizada sem o devido controle. A informação deve ser confiável.

  • Disponibilidade:

De nada adiante atender os itens anteriores se a informação não estiver disponível para ser utilizada, no momento em que for necessária para alguma ação ou atividade. A informação deve estar disponível no momento certo.

2.3 – A Informática e a Segurança da Informação.

No inicio do século passado, seria necessário adquirir um “cofre com proteção contra incêndio” e organizar uma “Sala de Arquivo bem trancada” podíamos resolver uma boa “parcela” do problema.

Adicionando a isto, uma instrução identificando quais informações deveriam ser depositadas no “cofre” e quais deveriam ser depositadas no “arquivo”, o assunto estaria “sob controle”.

Atualmente, com uso cada vez maior e mais amplo da Informática, e agravado ainda pelo advento da expansão de uso da internet dos últimos 10 anos, o “problema” que já era complexo, se tornou em “algo” que pode envolver uma dezena de profissionais para ser tratado e executado para se conseguir um “nível aceitável de controle”.

E, devido à estra complexidade e a dimensão que as informações tomaram nas organizações surge à necessidade de uma Politica de Segurança da Informação nos termos requeridos dos dias atuais, não que isto não existisse no passado, mas certamente não era um assunto “tão complexo” como pode vir a ser nos dias atuais.

2.4 – Analise de Risco e as Ações de Segurança da Informação.

Há alguns motivos importantes, para identificar os riscos antes iniciar atividades destinadas melhorar os níveis de segurança da informação, embora já tenhamos observado empresas partirem diretamente para as ações de segurança da informação sem que tenham efetuado uma avaliação preliminar de riscos existentes ou ainda,  sequer possuem um processo formal  orientado ao  gerenciamento de riscos. No entanto a recomendação é primeiramente sejam identificados os riscos de TI e na sequencia, sejam  iniciadas as atividades de Gerenciamento da Segurança da Informação.

Vejamos algumas vantagens de avaliar os riscos anteriormente:

1-      Há modelos de referencia que nos indicam os riscos relacionados à segurança a informação, elaborados com base no impacto econômico que uma situação de risco  pode acarretar ao negócio. Estas referencias foram criadas a partir de lições apreendidas baseadas em fatos reais ou, ainda,  baseadas na probabilidade de que algumas situações possam vir a ocorrer e causar impacto ao negócio. O Importante é reforçar que o uso destas recomendações pode auxiliar na identificação da maioria das situações de risco relacionadas à segurança da Informação e podem ainda indicar as eventuais medidas de mitigação a serem tomadas.

Estas informações podem ser obtidas em organizações como ISACA, PCAOB, COSO e resumidamente em algumas normas ISO-IEC da série 27000.

2-      Os modelos de referencia nos apresentam uma visão completa da Segurança da Informação,  lembrando que uma equipe de TI composta por 20 Pessoas possui os mesmos problemas a resolver do que uma equipe de TI composta por 300 ou mais Pessoas, o ambiente pode até ser menos complexo, mas os riscos e as questões relacionadas à segurança da informação e as responsabilidades assumidas pelo TI, não são exatamente as mesmas, apenas  por “detalhes”.

Outra razão importante, é que nem sempre possuímos o orçamento necessário para mitigar “todos os riscos”, e podemos fazer uso da tabela se risco e as suas  classificações para focar na mitigação nos riscos mais críticos, deixando os de menor criticidade (Aqueles que representam menor gravidade/impacto para o negócio),  para serem tratados em um segundo momento ou simplesmente aceita-los.

De outro lado, quando partimos diretamente para o Gerenciamento da Segurança da Informação, sem a investigação prévia dos Riscos de TI, poderemos verificar algumas situações quepoderiam ser evitadas, tais como:

1- Podemos atuar em uma situação que envolva segurança da informação, onde o impacto ao negócio pode ser baixo, e eventualmente deixar de atuar em uma situação onde o impacto seja alto;

2-      Podemos ser levados a gastar mais do que o prejuízo causado pela ocorrência do fato em si.

3-      Podemos avaliar mal a amplitude de um evento de segurança,  deixando de fora ou sem tratamento elementos importantes da sua composição.

4-      Podemos atuar nas consequências e não nas causas dos problemas.

3 – Referencias técnicas para elaboração de Politica de Segurança Informação

Se você não possui uma Politica de Segurança da Informação, ou já possui uma e pretende verificar se ela está de acordo com as recomendações do mercado, sugerimos utilizar as normas ISO-IEC-27001 e ISO-IEC 27.002 como ponto de partida para a sua análise, pois ambas proporcionam a descrição das recomendações dos requisitos e das práticas que precisaremos adotar para primeiramente elaborar e depois cumprir o que foi definido na Politica de Segurança da Informação.

Há ainda, assuntos técnicos ou relacionados à infraestrutura e serviços técnicos de TI, que precisam ser adotados e estão disponíveis nos modelos do ITIL, PMO, e das  recomendações contidas nas Normas ISO-IEC-20.000:1 e 2, pois estes processos que são mais bem tratados através destas fontes complementares / normas.

3.1 – Composição Básica Sugerida para a Politica de Segurança da Informação.

Em tese, a Politica deve conter as diretrizes a serem cumpridas por todos na organização, se entendermos que devemos ter pelo menos uma diretriz para cada um dos grupos de assuntos (Capítulos) previstos pela norma ISO-27.002, nossa Politica de Segurança da Informação não deverá possuir mais de 2 ou 3 páginas.

É importante alertar que dependendo do segmento de mercado ao qual a empresa atua,  ela poderá ser “obrigada” a cumprir além dos requisitos contidos na norma, alguns outros elementos adicionais de segurança, muito mais em razão das diferenças contidas em sua “Matriz de Riscos” do que pela adoção ou não de uma determinada especificação contida na norma.

Ao final de algum tempo, você deverá atingir além da Politica, alguns grupos de Normas e Procedimentos, que possibilitem a cobertura de todas ou quase todas as recomendações contidas na referidas normas.

Modelo acima representa o Mapa Geral contendo a Politica, Normas e todos os Procedimentos necessários para a implementação de um Sistema de Gerenciamento de Segurança da Informação, do qual a Politica de Segurança da Informação é o elemento central e responsável por estabelecer todos os demais níveis de controle e das devidas evidencias destinadas a sua comprovação.

4 – Fatores Críticos de Sucesso

Há alguns fatores críticos para o Sucesso durante a implementação de um Sistema de Gerenciamento da Segurança da Informação, vamos citar aqui os principais:

4.1 – Resistencia Natural das Pessoas Envolvidas no Processo.

Como é de se esperar em todo o processo que envolve mudanças há resistência natural das pessoas, e no caso da segurança da informação especificamente há um detalhe a “desinformação sobre o tema”. As pessoas não “entendem facilmente”, pelo menos no início, o real motivo e a necessidade de tantos controles, processos e evidencias, e não é raro, observarmos algumas reações, dentre as mais diversas possíveis, no momento de colocar em pratica alguma ação orientada a promover a segurança.

E para ilustrarmos isto, vejamos alguns exemplos:

  • “A empresa resolveu burocratizar as coisas”,
  • “A empresa perdeu a confiança e por isto retirou os meus privilégios de acesso”,
  • “Eu sempre fiz assim e sempre deu certo, porque mudar agora”,
  • “Eu acho que a empresa vai me demitir”,
  • “Eu sei como fazer, mas não consigo colocar o que eu faço num papel”,
  • “Não consigo trabalhar direito sem usar o meu chat”.
  • “Não consigo mais acessar o meu e-mail pessoal aqui na empresa”.
  • “Se o diretor pode, eu também quero”.
  • Entre outras.

A boa notícia é que estas reações deixam de existir com o passar do tempo, quando as mesmas pessoas são treinadas e recicladas e as reações mudam bastante na medida em que vão entendendo o que de fato é “Segurança da Informação” e como este assunto é importante não só para a empresa, mas para si próprias.

4.2 – Apoio da Alta Direção / Gestores.

O Apoio dos gestores é fundamental para que a Politica de Segurança da Informação sejam efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo no mínimo “temerário”.

Exemplo de ações onde o apoio da Alta direção será  necessário:

  • Há pontos que para serem tratados adequadamente, é necessário incluir clausulas adicionais em contratos de trabalho, termos de confidencialidades, Adesão a Regras de Navegação e Uso de Internet, Código de Ética e Conduta, e tantos outros itens com amplitude geral na empresa;
  • Segurança da informação abrange todos os funcionários da empresa, sem distinção de cargo ou função. Segurança é responsabilidade de todos, conseguir materializar isto sem o apoio da Alta Direção é uma missão quase impossível.

 4.3 – Treinamentos e Reciclagens constantes

Prover treinamentos regulares em Segurança da Informação aos colaboradores além de fundamental é o que de fato garantirá o sucesso da aplicação das diretrizes contidas na Politica de Segurança da Informação.

4.4 – Auditorias e Verificações Regulares

Recomenda-se a realização de auditorias ou verificações de Compliance nos processos estabelecidos, a própria norma estabelece em um de seus capítulos este controle de forma regular e constante.

Se os processos não forem periodicamente revisados, corre-se o risco de cair em desuso ou perder a oportunidade de simplifica-lo ou melhora-lo com o passar do tempo.

Mesmo que você não tenha o objetivo de certificar os processos de segurança, aos mesmos moldes dos processos de qualidade, é importante que um grupo de avaliadores, mesmo que internos verifiquem periodicamente a regularidade dos processos e controles.

5 – Por Onde Começar e o que fazer?

Sugerimos inicialmente a realização de um estudo considerando o volume de  custo e esforço necessário para a realização do projeto de compliance, sendo também muito importante obter o apoio da organizaçao e principalmente dos gestores nesta fase inicial do projeto. A Norna ISO-27003:2010 possui um roadmap sugerido para a implementação do sistema da segurança e pode ser de grande auxílio na organização e execução as ações necessárias.

É importante ter em mente que obtendo o “Compliance em Segurança da Informação” você estará construindo as bases para o compliance em diversas outras categorias de compliances existentes, tais como Governança TI e Corporativa, PCI, ANTT – Agencia Nacional Transportes Terrestres, Acreditação Segurança ao Fornecimento Serviços, Sarbanes-Oxley, Basel entre outros.

Caso tenha dúvidas em relação ao estudo dos custos, montamos a algum tempo um template destinado a comparar o volume de custos e esforço construindo todos os processos a partir do zero e com o apoio de um consultor especialista e uma outra hipótese considerando a utilização de modelos pré-definidos. Este template está disponível para download sem nenhum custo em nossa webstore na seção Brochures, no endereço http://www.aghatha.com

5.1 –  Adotar modelos pré-definidos para a organização de Processos e Controles Segurança da Informação – ISO-27002:

Conheça nosso AGHATHA Framework para o Compliance da Norma ISO-27002:2005,  mais detalhes sobre este produto podem ser conhecidas no post abaixo:

http://aghatha.wordpress.com/2012/12/04/aghatha-framework-licenca-uso-perpetua-modelos-aplicacao-norma-iso-iec-270022005-seguranca-informacao-r02-01a/

Você pode licenciar o uso deste framework em nossa webstore, veja no endereço abaixo o link de acesso as informações sobre o AGHATHA Framework – Compliance Norma ISO-27002 – Segurança da Informação.

http://aghatha.com/index.php/framework/framework-de-processos-e-controles-para-o-compliance-de-ti-norma-iso-27001-iso-27002-seguranca-da-informacao-release-02-01-a.html

 

5.2 – Contruir você mesmo com o apoio de sua equipe os Processos e Controles Segurança Informação – ISO-27002:

Em artigo anterior a este tratamos algumas sugestões de como adotar as melhores práticas contidas na Norma ISO_IEC-27.001 e 27.002, o artigo aborda o que fazer, e ainda sugere em linhas gerais como adotar as recomendações previstas por estas normas.

Este artigo pode ser visualizado em:

http://aghatha.wordpress.com/2011/05/22/compliance-de-processos-norma-isoiec-27-002-gerenciamento-de-seguranca-informacao/

Há ainda outros artigos relacionados especificamente em como Organizar a documentação de processos e boas práticas em TI, incluindo o template sugerido por nos para ser utilizado na descrição dos processos.

Este artigo pode ser visualizado em:

http://aghatha.wordpress.com/2011/06/18/como_formatar_e_organizar_a_documentacao_de_processos_ti/

Caso o leitor se habilite a levantar e desenhar os processos e controles escrevemos três artigos que tratam deste assunto, considerando o que deve ser feito a partir dos  conceitos, métodos, símbolos, e exemplos de como descrever os processos e como desenhar os respectivos fluxogramas.

Estes artigos estão disponíveis em:

1 Parte: Introdução, Conceitos e Modelos

http://aghatha.wordpress.com/2011/07/03/como-desenhar-fluxogramas-de-processos-de-negocio-1-parte-introducao-conceitos-e-modelos/

2 Parte – Levantamento, Analise e Desenho do Fluxograma

http://aghatha.wordpress.com/2011/07/10/como-desenhar-fluxogramas-de-processos-de-negocio-2-parte-levantamento-analise-e-desenho-do-fluxograma/

3 Parte – Analise de Capacidade e Carga dos Processos

http://aghatha.wordpress.com/2011/07/16/como-desenhar-fluxogramas-de-processos-de-negocio-3-parte-analise-capacidade-carga-processos/

  • Este artigo está disponível para download no formato de Documento (PDF) na pagina destinada a Noticias e Download   no site da AGHATHA, no seguinte endereço:  Http://www.aghatha.com/index.htm

Você pode ainda, Adotar Bibliotecas Contendo Modelos, Processos e Controles Prontos e Preparados para serem utilizados rapidamente.

Conheça nossa Biblioteca de Modelos – Licenciamos o Uso de Frameworks contendo todos as Politicas, Normas, Procedimentos e Controles para o Compliance de TI, isto é uma forma rápida, econômica e eficiente de implementar estes padrões, sem ter de desenha-los a partir do Zero, ou ainda, utiliza-los na complementação / revisão dos processos já existentes.

Caso tenha interesse em conhecer esta solução, veja mais detalhes abaixo:

  • FRAMEWORK DE PROCESSOS E CONTROLES PARA O COMPLIANCE DE TI

Convidamos a Navegar pelo em Nosso Framework de Processos e Controles para o Compliance de TI aos Padrões e Recomendações para o compliance SOX, ISO-27.001/2, ISO-20.000:1/2, COBIT, ITIL V3, PMI. você poderá ver alguns exemplos de como é possível descrever processos complexos com a adoção de 4 camadas sucessivas de detalhamento, sendo o nível # 1 a visão mais alta e o nível # 4 o nível mais detalhado do processo (Drill-Down de detalhamento de processos em camadas).

Em nossa webstore, onde os 175 modelos (Politicas, Normas, Procedimentos e Controles podem ser licenciados on-line) em : http://aghatha.com/index.php/framework/framework-de-processos-e-controles-para-o-compliance-de-ti-norma-iso-27001-iso-27002-seguranca-da-informacao-release-02-01-a.html

Ou ainda, Leia mais sobre este mesmo assunto,  em nosso POST.

http://aghatha.wordpress.com/2012/05/24/como-implementar-processos-e-controles-para-o-compliance-de-ti-atraves-do-licenciamento-de-uso-de-um-framework-modularizado-e-contendo-documentos-processos-controles-e-workflow-para-cada-um-dos-padroe/

—–

· Download do conteúdo deste Artigo :

O Conteúdo deste artigo está disponível para download no formato Arquivo (PDF) na pagina Free Whitepaper publicada em nosso site

www.AGHATHA.com , acessando a pagina : http://aghatha.com/index.php/whitepapers.html , você poderá realizar o download do mesmo gratuitamente.

Faça-nos uma visita, caso opte por assinar a Nossa Newsletter, você passará a receber avisos de atualizações e ampliações do conteúdo deste artigo e/ou comunicados sobre a publicação de outros artigos relacionados com este mesmo assunto.
———-

Compartilhe este post:

———

Declaração e Preservação de Direitos Autorais e de Propriedade:

Todas as marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.

O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.

Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.

Licença Creative Commons This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.

Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:

  • COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
  • Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com/index.htm  / Http://www.aghatha.com ), sendo todos os direitos  autorais preservados, incluindo a sua utilização e exploração comercial.
  • COSO®, que é de propriedade exclusiva Committee of Sponsoring Organizations of the Treadway Commission (COSO)™ (www.coso.org/), sendo Todos os direitos autorais reservados.
  • ISO-IEC® Standard – São de propriedade exclusiva do  International Organization for Standardization (ISO®)   e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
  • ITIL V-3 ® – IT Infrastructure Library®  (www.itil-officialsite.com) que é de propriedade e proteção exclusiva da Coroa Britanica (www.ogc.gov.uk) – Office of Government Commerce (OGC) – UK, sendo Todos os direitos autorais reservados.
  • PCAOB ® é  propriedade exclusiva do  Public Company Accounting Oversight Board  – (http://pcaobus.org/), sendo Todos os direitos autorais reservados.
  • PMI ®  / PMBOK ®   propriedade exclusiva do Project Management Institute ( www.pmi.org/),  sendo Todos os direitos autorais reservados

– Fim Declarações de Direitos de Copyright —

– Fim Artigo

—- Fim Conteúdo Artigo —-

 

ENTENDENDO COMO FUNCIONAM OS ATAQUES CIBERNETICOS EM MASSA TIPO DDOS E DRDOS

ENTENDENDO COMO FUNCIONAM OS ATAQUES CIBERNÉTICOS EM MASSA – Parte 1 – SEGURANÇA DIGITAL ATAQUES (DDOS E DRDOS)

Entendendo como funcionam os ataques cibernéticos em massa – Parte 1 – Segurança Digital contra Ataques (DDOS E DRDOS).

O objetivo deste artigo é proporcionar informações básicas e esclarecer este assunto ao maior número de pessoas possível,  mesmo explanando o assunto na forma mais simples e objetiva possível, para o público leitor. Como este assunto poderá ser complexo e exaustivo, confiamos ao leitor que procura por literaturas técnicas avançadas, a liberdade de aprofundar o conhecimento através de outras fontes com o nível técnicos desejados disponíveis na Internet.

1.    Quebrando alguns Paradigmas em Segurança Digital

Primeiramente vamos quebrar alguns paradigmas e alinhar alguns conceitos:

  • Não existe sistema 100% seguro à Até mesmo a NASA, governos dos EUA, Brasil e demais países já sofreram ataques e sempre estarão vulneráveis de uma forma ou outra, uma vez que os atacantes a estes sites estão sempre em busca de oportunidades e falhas visando novos ataques, para aqueles que atuam com ações na bolsa de valores é o mesmo que a briga entre o “urso” e o “touro” em algumas vezes vence o “touro” e em outras o ”urso”.

O que pode ser feito é “subir cada vez mais o muro de proteção”, ou seja, dificultar ao máximo através de sistemas detectivos, preventivos, testes de eficácia da segurança e melhoria contínua do nível de segurança. A tendência de sermos atacados depende do nível de exposição e vulnerabilidades ou ameaças no ambiente disponíveis aos atacantes.

Para que você tenha a compreensão das vulnerabilidades e ameaças mais comuns vamos citar alguns exemplos comuns do dia a dia.

Ex:

Os atacantes são oportunistas e atacam sites que estejam vulneráveis:

(Caso 1: Se um “sujeito” ao passar pela rua onde você mora, percebe que a porta da sua casa está aberta. Possivelmente ele vai entrar, e quando você menos esperar haverá alguém sentado no sofá da sua sala”.

Os atacantes possuem objetivos e criam novas ameaças:

(Caso 2: Se um “Sujeito” passar pela rua onde você mora, olha a sua casa e percebe que nela há objetos que possam interessar e toma a decisão de invadir a sua casa, mesmo que a porta da frente esteja trancada, possivelmente ele forçará a entrada através de alguma outra abertura. e depois de algumas tentativas ele vai conseguir entrar, e quando você menos esperar haverá alguém sentado no sofá da sua sala, mesmo que a porta estivesse bem trancada”.

Os atacantes também criam oportunidades através de Engenharia social:

(Caso 3: Se um “sujeito” ao passar pela rua onde você mora, percebe que há nela objetos que possam interessar, e ainda percebe que há alguém dentro da casa, ele pode tentar chamar a atenção desta pessoa e com alguma “desculpa” ele pode conduzir a mesma a abrir a tranca interna da porta).

  • Segurança nos Perímetros de Rede : A Segurança deve ser reforçada não apenas nos perímetros de rede, mas em todo lugar onde a informação estiver. Este é um dos requisitos de negócio e de segurança da informação se não for observado criteriosamente haverá falhas.

O Perímetro de rede é geralmente a primeira camada de proteção, e pode ser comparada a “Muros e Cercas” presentes em nossas casas, um perímetro de rede aberto é o mesmo que uma casa sem proteção alguma.

  • Segurança em Camadas : Se você reforçar a Segurança apenas numa determinada camada, Ex: Camada de aplicação, os Hackers poderão explorar as vulnerabilidades presentes no seu link de comunicação, fazendo com que a suas aplicações externas fiquem indisponíveis para os usuários.

Proteção em camadas seria o mesmo que você possuir um “cofre trancado”, dentro de um cômodo da sua casa, com a porta trancada, todas as aberturas da casa “fechadas” e o dispositivo que aciona a “cerca elétrica” do muro ativada. Para alguém conseguir chegar até o “cofre”, o “sujeito” deve quebrar todas estas “camadas de proteção”  até que consiga atingir o seu objetivo.

  • Segurança Digital da Informação : Este é um assunto complexo e só é efetiva se todos os usuários e não apenas da área de Segurança ou TI agirem de forma conjunta e coordenada. É importante que a organização possua uma “Política de Segurança” robusta, procedimentos técnicos identificados e endereçados aos seus respectivos responsáveis, equipamentos de apoio bem instalados, configurados e integrados entre si, tais como Firewall, IPS, Antispam, Antivírus, ferramentas de navegação segura cada qual protegendo a sua camadas e todos agindo de forma integrada e convergente em prol da segurança do ambiente, e mesmo assim,  tudo isto só irá funcionar se houver colaboração “ativa e efetiva” de todos os envolvidos, sem exceção.

Mesmo depois de tudo isto, você deverá realizar inspeções contínuas e diligentemente visando verificar a efetividade da “sua segurança” ou poderá simplesmente acreditar que já está “seguro” e entender que “não há mais nada para ser feito”.

Devemos lembrar que em termos de “Segurança Digital” temos de fato apenas aquilo que inspecionamos, medimos e gerenciamos, senão você corre o risco de “acreditar que está seguro” e na realidade “pode não estar” e a noticia ruim que temos a dar é que na maioria das vezes  “Se pensa estar protegido”, e isto em organizações de grande porte, com pessoal técnico especializado presente, treinado e muitas vezes até certificados. Segurança Digital eficiente é um conjunto combinado de pessoas, equipamentos configurados de forma integrada e principalmente de processos e métodos de controle.

Não é uma atitude recomendada, aguardar a ocorrência de um evento para então agir, esta atitude poderá ser tardia demais e corre-se o risco de não haver mais nada para ser inspecionado…quando menos se espera “Lá se foi o boi com a corda…” como se diz.

Não queremos criar “pânico” aos nossos leitores, mas os incidentes de segurança existem, são reais mesmo, não é coisa para os outros se preocuparem, e ainda,  este tipo de “atividade” é  realizada por “profissionais”  e a idéia de que  “hackers” é um só  “bando de jovens” em busca de aventura não é mais verdade a muito tempo, não sendo incomum identificarmos na outra ponta de uma “ameaça digital”  a existência de  técnicos formados, certificados, pós-graduados e até doutores cometendo este tipo de “ameaça”.

Se você leitor é responsável pela segurança digital em sua empresa, fique certo que não existe “Robin-Hood Cibernético”, pense comigo, se alguém se dispõe a ligar um computador, busca aleatoriamente um site, identifica o seu site em particular e passa a executar diversas tentativas apenas para “fazer uma visita dentro no seu site”, ficando possivelmente horas e dias apenas para conseguir quebrar senhas e abrir os seus arquivos de dados, inspecionar seus contratos, fórmulas, desenhos, clientes, fornecedores, valores que você paga a empresa “a” ou empresa “b”, quanto você faturou e para quem faturou, não o faz isto por “esporte” ou pela “adrenalina ou emoção” o produto desta atividade é um “artigo valioso” no mercado, e infelizmente há gente sem escrúpulos disposta a “pagar” muito dinheiro por isto e este é o peso de nossa responsabilidade, proteger a segurança da informação de propriedade dos outros.

Vejam estes dois exemplos:

Há cerca de 10 anos, quando iniciamos nossa carreira em Segurança Digital, após realizamos uma auditoria de “Logs de acessos” a servidores expostos a na WEB em uma empresa aqui no Sul do Brasil, identificamos diversos acessos vindo de um país do outro lado do mundo, sempre destinados a um diretório específico de um servidor de arquivos onde havia informações dos produtos que estavam em desenvolvimento. E os acessos sempre eram efetuados justamente nas pastas onde havia as “fotos” dos protótipos dos produtos que seriam lançados no ano seguinte. Se isto ocorria a mais de 10 anos atrás, onde poucas empresas possuíam acesso a WEB, imaginem nos dias de hoje onde “tudo” ou “quase tudo” está vinculado ou relacionado à internet.

Há alguns meses atrás, em um destes grupos de discussão que participamos, surgiu uma discussão promovida por um representante de empresa de software, onde um de seus colaboradores ao ser demitido, levou consigo  “todos os fontes” do sistema desenvolvido pela empresa durante vários anos, e acabou vendendo ou prestando serviços aos clientes desta mesma empresa oferecendo ainda os serviços com preço menores do que o praticado pela empresa onde atuava. Conversando com o responsável, o mesmo me informou que todos na empresa possuiam acesso ao “diretório de fontes” e só depois do fato ter sido identificado isto teria sido corrigido. Dai me pergunto: Quantas empresas possuem este tipo de “falha de segurança”, simplesmente no fato de “confiarem” em sua equipe. Pois acreditem, esta foi a justificativa alegada pelo responsável desta empresa, até que o referido “evento” aconteceu.

Isto posto,  agora vamos abordar os tópicos de Ameaças previstas para este artigo… e nos perdoem se o textoque vamos utilizar seja técnico demais, infelizmente há ainda muitos termos que não possuem tradução ou ainda não foram descobertos termos em português que lhe deem o mesmo significado (Na medida do possível vamos “traduzi-los”), então fizemos algumas figuras adicionais na tentativa de lhes passar a visão de como estes tipos de ataques ocorrem e como podem ser perigosos.

2.    O que é DoS, DDoS, DRDoS ?

  •  Denial-of-Service (DoS) àÉ uma tentativa maliciosa quando um host atacante poderá causar à vítima, site ou nó, negação de serviços aos usuários/clientes, resultando na inutilização destes serviços pelos usuários legítimos.
  • Distributed Denial-of-Service (DDoS) à É uma tentativa maliciosa quando múltiplos hosts atacam simultaneamente podendo causar à vítima, site ou nó, negação de serviços  aos usuários/clientes, resultando na inutilização destes serviços pelos usuários legítimos.
  • Distributed Reflected Denial-of-Service (DRDoS) àSemelhante ao DDoS, mas onde o atacante pode enviar pacotes forjados para outra rede e permitir que esta rede realize o ataque.

2.1.        Principais Estratégias de Ataques DDoS

  •  Consumo excessivo de recursos (Banda, CPU e Memória).
  • Exploração de vulnerabilidades em Sistema Operacional e Serviços. 

2.2.        A Rede Atacante

A rede atacante é formada através das principais etapas:

  • Descoberta de sites ou hosts vulneráveis
  • Exploração para ganhar acesso a estes hosts
  • Instalação de programas (conhecido como ferramentas de ataque) nos hosts comprometidos
  • Hosts que executam estas ferramentas de ataque são conhecidas como máquinas “Zumbis”
  • O conjunto de vários “Zumbis” formam um Exército, também chamado de Botnet.

*Trataremos em outro artigo específico os Botnets.

 2.3.        Como Funciona um Típico Ataque DDoS

O exército do atacante consiste de máquinas “Zumbis”  Mestre (Master) e Escravo (Slave). Estas máquinas comprometidas estão infectadas por código malicioso (Possivelmente recebido por email ou baixado ao navegarmos inocentemente pela web). O atacante envia ou programa um comando de ataque para os Zumbis Mestres e ativa o processo de ataque nestas máquinas que estavam em hibernação, esperando por comandos para “acordar” e iniciar o ataque. Os Zumbis Mestres enviam comandos de ataque para os Zumbis Escravos, ordenando que eles montem um ataque DDoS contra a vítima através do envio de grande volume de pacotes para a vítima, inundando (flooding) o sistema desta com carga e exaustão de recursos.

Na figura abaixo, temos um resumo desta representação:

Nestes casos, os endereços IP de origem são falsificados nos pacotes do tráfego atacante, escondendo ou dificultando a identidade dos Zumbis para que a vítima não consiga rastrear e filtrar a origem deste tráfego malicioso.

2.4.        Como Funciona um Típico Ataque DRDoS

Semelhante ao ataque DDoS, com as seguintes características:

  • “Zumbis escravos” enviam um fluxo de pacotes com o endereço IP da vítima (como endereço IP de origem), para outras máquinas não infectadas (conhecidas como refletores).
  • Os refletores conectam com a vítima e enviam um grande volume de tráfego,  porque eles acreditam que o host da vítima foi quem solicitou por isso.
  • O ataque é montado pelas máquinas não comprometidas sem estarem cientes da ação.

Neste caso, o atacante tem mais máquinas para compartilhar o ataque, por isso ele é mais distribuído e cria um volume maior de tráfego devido a sua natureza distribuída.

3.  Principais Vetores de Ataques DDoS

1)Baseados em Inundação (Flooding) de pacotes (UDP, ICMP): Pela primeira vez, em 2010, os ataques em massa quebraram a barreira de 100Gbps. Estes patamares, excedem a banda de diversos provedores no Brasil. Em comparação, em 2002 a barreira era de 400Mbps. Geralmente os alvos são interfaces de roteadores / link principal, endereços de BGP, Firewall, IPS, balanceadores de carga, servidores web, demais elementos de rede.

2)Baseados em Aplicação ou Serviço (URL, GET, DNS, SQL): Os principais alvos são HTTP, DNS e SMTP. Não consomem quantidades gigantes de banda e geralmente os alvos são serviços de rede, Servidores (Web, DNS, SMTP), elementos de rede e banco-de-dados.

3)Baseados em Protocolos (RST, SYN, Frag): Geralmente os alvos são sistemas Web e elementos de rede.

4.  Exemplos de Ataque DDoS

5.  Ferramentas Utilizadas neste Tipo de Ataque

Atualmente existem centenas de ferramentas na Internet que enviam quantidades gigantescas de requisições web, flooding ICMP, UDP porta 80, randomizações de URLs e controle remoto pelos BOTNETs IRC, RSS, Twitter e Facebook para atacarem os servidores das vítimas.

Outras ainda mais sofisticadas para inundação de tráfego HTTP com multi-tarefas, atacando simultaneamente centenas de websites.

Com estas ferramentas é possível através de uma única estação indisponibilizar serviços web em menos de 5 minutos!

Existem diversos convites pela Internet com planejamento de ataques distribuídos (atualmente com menos de 100 máquinas Zumbis bem conectadas são capazes de indisponibilizar serviços de grandes empresas).

  • Por motivos óbvios, não citaremos nomes de ferramentas, embora estejam publicadas livremente na internet. Publicaremos artigo específico focando nas melhores práticas para detecção, prevenção e testes de eficácia da segurança.

6.    Tendências de Ataques

Atualmente, a maioria dos ataques DDoS são baseados em inundação para atingirem a capacidade de links ou sobrecarga dos equipamentos alvo.

Os ataques baseados em aplicação serão mais sofisticados e difíceis de serem diferenciados do tráfego legítimo (exemplo: Protocolo HTTP porta 80, explorados atualmente, pois é muito comum estar liberado nos Firewalls para que os clientes possam acessar as aplicações web pela internet).

Veremos com mais frequência ataques com motivações políticas ou protestos, similares as retaliações demonstradas nos casos do Wikileaks, e possivelmente presentes nestes “movimentos” estejam incluidos alguns “profissionais” que já citamos neste artigo, apenas monitorando as eventuais “portas abertas” ou “falhas” para fazer uso posteriormente.

A velocidade de mobilização através das redes sociais e a popularização de ferramentas cada vez mais sofisticadas representa um perigo real para a rede e a nossa dependência cada vez maior na Internet.

  • No próximo artigo, publicaremos as melhores práticas para detecção e prevenção de ataques DDoS.
  • Este artigo está disponível para download no formato de Documento (PDF) na pagina de Download  do Site da AGHATHA  na seção Free Whitrepaper em nossa webstore :  http://www.aghatha.com

—- Fim Conteúdo Artigo —-

Agradecimentos e Convites:

As informações e comentários existentes neste artigo são o fruto de observações e experiências adquiridas pelo autor durante a  execução de projetos ao longo de 15 anos de atuação no mercado. Utilizamos este espaço para a divulgação e intercâmbio destes conhecimentos junto aos nossos leitores, clientes e amigos.

Caso você tenha alguma dúvida ou necessidade de informações adicionais para o seu entendimento ou aplicação, entre em contato conosco através do e-mail abaixo.

Abraço e Felicidades a Todos,

Gledson Maurício Ferrazzo

(CTO- Aghatha Maxi Consulting)

www.aghatha.com.br

Consulting@aghatha.com

———

Declaração e Preservação de Direitos:

 Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.

O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.

Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.

Licença Creative Commons
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.

Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:

  • Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com/index.htm  / Http://www.aghatha.com ), sendo todos os direitos  autorais preservados, incluindo a sua utilização e exploração comercial.
  • COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
  • ISO-IEC® Standard – São de propriedade exclusiva do  International Organization for Standardization (ISO®)   e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
  • Accelops, com sede no Vale do Silício, Califórnia, EUA. Fundada pela equipe que criou o MARS (adquirido pela CISCO em 2005).
  • Arbor Networks, com sede em Chelmsford, MA, EUA.
  • Cisco, com sede no Vale do Silício, Califórnia, EUA.

– Fim Declarações de Direitos de Copyright —

– Fim Artigo

COMO DESENHAR FLUXOGRAMAS DE PROCESSOS DE NEGÓCIO – 1 Parte – Introducao Conceitos e Modelos

COMO DESENHAR FLUXOGRAMAS DE PROCESSOS DE NEGÓCIO

Parte 1 – Introdução, Conceitos e Modelos.

Como desenhar fluxograma de processos de negócio – parte 1 – Introdução, Conceitos e Modelos.

Muitas vezes nos deparamos com a dificuldade que os responsáveis pelos processos nas organizações têm ao demonstra-los graficamente.

Com o objetivo de auxiliar os colegas nesta atividade  vamos descrever neste artigo um método simples, mas que ao mesmo tempo é bastante útil e prático.

Vamos utilizar na confecção deste artigo, fluxos e gráficos desenhados com o uso do VISIO da Microsoft,  no entanto o leitor poderá fazer uso de qualquer outra ferramenta disponível no mercado, inclusive ferramentas livres.

O nosso objetivo aqui não é avaliar esta ou aquela ferramenta, ou determinar se uma ferramenta é melhor que a outra, ou ainda a possibilidade de utilização de outros modelos e formatos para a documentação de processos.

O nosso objetivo é descrever um método que o leitor possa aprender facilmente e aplicar na documentação de seus processos.

1 – Introdução ao estudo de processos

Antes de abordar a técnica a ser utilizada no desenho propriamente dito dos  processos é necessário que o nosso leitor tenha o entendimento dos princípios básicos dos processos, para isto vamos abordar os tópicos principais e neste sentido nivelar os conhecimentos.

1.1    – Componentes Básicos dos Processos

Por definição, um “Processo” deve possuir um conjunto de componentes básicos para ser considerado um processo, são eles:  Componente  de “entrada”, com base neste componente é realizado as atividades de  “processamento”, e como resultado  deverá produzir uma  “saída” qualquer.

1.2   – Controle de qualidade entre os Componentes do Processo

Como qualquer atividade destinada a produzir algo, o processo requer a realização de atividades de controle para assegurar a sua qualidade e que deverá ser aplicada em cada um dos seus componentes (Entrada-Processamento-Saída). Agindo desta forma estaremos evitando comunicação de eventuais erros ou falhas entre os elementos que compõem o processo, dentro do universo compreendido pelo próprio processo.

Traduzindo isto de uma forma mais clara:

 

 1.3   – Controle de qualidade entre Processos

No entanto, um processo não é um elemento absoluto e restrito a si próprio,  possivelmente em algum momento dependerá de outros processos para ser “alimentado” e possivelmente, após a execução de seu próprio processamento, passará a “alimentar” outro processo através do seu “produto” e assim sucessivamente.

Diante disto, é uma boa prática considerar ações de controle de qualidade também entre processos, e com isto garantir a qualidade e a integração entre os mesmos, ou seja, é importante assegurar que o “produto” gerado por um “processo fornecedor” seja validado por ele mesmo antes de ser comunicado ao seu “Processo Cliente”.

Traduzindo isto de uma forma mais clara:

 

Em tese, quando agimos desta forma, o “Processo Executor” não teria necessidade de validar os seus “insumos” no momento de proceder o recebimento de sua “entrada”, uma vez que isto deveria ter ocorrido previamente no “Processo fornecedor”, pouco antes do mesmo proceder a liberação de “saída”.

No entanto,

Se verificarmos a qualidade apenas uma única vez, estamos sujeitos à possiilidade de ocorrência de alguma falha na saída do “Processo fornecedor” e nem sempre a “Qualidade declarada” na saída de um processo, atenderá plenamente os requisitos de qualidade necessários para atender a  “entrada” no processo seguinte.

Exemplo Prático: Experimente executar o ciclo de vida de um projeto de desenvolvimento de sistemas, onde cada etapa do ciclo pode ser comparada a um processo. Quando não realizamos estas verificações de entrada e saída em cada uma das etapas do processo de produção do sistema, o grau de variação do produto resultante será um fatorial das taxas de erro ocorridas em cada etapa, (O Resultado será medido pela multiplicação das taxas de erro existentes em cada etapa,  pelas taxas de erro das etapas seguintes, e assim sucessivamente), esta é a explicação matemática de possíveis distanciamentos  entre o “requisito original do negócio” e o  “resultado do produto do projeto”, note que antes de mais nada uma Metodologia é um Processo e pode-se utilizar este conceito na formulação do controle de qualidade na formatação de etapas ou fases de uma MDS.

Traduzindo isto de uma forma mais clara:

 Uma vez entendido estes componentes e os critérios básicos de revisão de qualidade e  integração entre os componentes de um processo e entre processos fornecedores e processos clientes, retornaremos ao nosso objetivo inicial, que é demonstrar graficamente os processos de negócio através de fluxogramas.

2        Padrão de Simbologia

Existem diversos padrões de símbolos possíveis para desenhar fluxogramas de processos, e inclusive padrões destinados a especificações e desenho técnico de software, modelos de dados e tantos outros. Vamos adotar aqui um modelo bastante simples e composto por um número reduzido de símbolos, mas que são suficientes para demonstrar um processo de negócio através de um fluxograma.

São eles:

 

 

3        – O  Modelo de Estrutura do Fluxograma do Processo.

Existem diversos formas possíveis de estruturar um fluxograma de processo, a mais indicada para mapear processo é a denominada (CROSS-FUNCTIONAL), o que poderia ser traduzido mais ou menos como “fluxograma cruzado entre funções”.

Neste formato, o fluxograma possibilita a inclusão de informações adicionais, além da sequência de atividades proporcionada pelo encadeamento dos símbolos, e é possível segmentar o desenho do processo em “setores/celulas” como se fossem uma matriz, sendo inseridos nas linhas os Atores ou funções responsáveis pela execução das Atividades e nas Colunas as etapas existentes em um determinado processo.

Veja como ficaria o desenho de um processo seguindo a estrutura Cross-Functional na visão Horizontal:

 

 O mesmo Processo, seguindo a visão Cross-Functional na visão Vertical:

 

E ainda, o mesmo processo utilizando-se a forma Livre normalmente utilizada. Note que as informações adicionais presentes nas duas opções anteriores fazem de fato a diferença no entendimento do processo.

——-

See the article content in English here:

http://aghatha.wordpress.com/2011/07/29/how-to-draw-business-process-flowchart-part-1-of-3-%e2%80%93-introduction-concepts/

———-

·  Download do conteúdo deste Artigo :

O Conteúdo deste artigo está disponível para download no formato Arquivo  (PDF) na pagina Free Whitepaper publicada em nosso site

www.AGHATHA.com , acessando a pagina :  http://aghatha.com/index.php/whitepapers.html , você poderá realizar o download do mesmo gratuitamente.

Faça-nos uma visita, caso opte por assinar a Nossa Newsletter, você passará a receber avisos de atualizações e ampliações do conteúdo deste artigo e/ou comunicados sobre a publicação de outros artigos relacionados com este mesmo assunto.
———-

  • Visite nossa Webstore :

Economize centenas de horas com a realização de levantamentos, definição, documentação e organização de processos e controles em Tecnologia da Informação.

Agora é possivel obter suites contendo modelos pré-definidos, integrados e  prontos para utilização / implementação e contruídos em conformidade com as regras e requisitos estabelecidos nos diversos padrões de compliance em TI.

  • AGHATHA Framework – Compliance Norma ISO-27002

http://aghatha.com/index.php/framework-de-processos-e-controles-para-o-compliance-de-ti-norma-iso-27001-iso-27002-seguranca-da-informacao-release-02-01-a.html

  • AGHATHA Services – Serviços Suporte Técnico e Consultoria Técnica Sob Demanda.

http://aghatha.com/index.php/servico-consultoria-suporte-tecnico-compliance-ti-nao-presencial.html

———-

  • Framework de processos e controles para o Compliance de TI.

Convidamos a conhecer  nosso Framework de Processos e Controles para o Compliance de TI aos Padrões e Recomendações para o Compliance SOX, ISO-27.001/2, ISO-20.000:1/2, COBIT, ITIL V3, PMI.

Nele, você poderá ver alguns exemplos de como é possível descrever processos complexos com a adoção de 4 camadas sucessivas de detalhamento, sendo o nível # 1 a visão mais alta e o nível # 4 o nível mais detalhado do processo (Drill-Down de detalhamento de processos em camadas).

Ou ainda, Leia mais sobre este mesmo assunto, em nossos POSTs.

Framework Compliance Norma ISO-27002

———-

·       Mais Artigos desta Série:

1 Parte – Introdução, Conceitos e Modelos

COMO DESENHAR FLUXOGRAMAS DE PROCESSOS DE NEGÓCIO – Parte 1 – Introdução, Conceitos e Modelos.

  • Veja Conteúdo em :

2 Parte  – Instruções Passo-a-Passo para Desenhar um Fluxo.

No próximo Artigo (Parte 2), trataremos as técnicas a serem utilizadas durante as Entrevistas para levantamento de informações dos processos a serem desenhados e alguns exemplos de como devemos organizar e preparar o conteúdo das informações obtidas no levantado para facilitar a confecção do respectivo fluxograma. Próximo Artigo : COMO DESENHAR FLUXOGRAMAS DE PROCESSOS DE NEGÓCIO – Parte 2 – Levantamento, Analise e Desenho do Processo de Negócio.

  • Veja Conteúdo em :

3 Parte  – Levantamento, Analise de Capacidade e Carga de Processos (Saiba como Calcular Esforço, Tempo e Custos)

  • Veja Conteúdo em:

———–

·       Outros Artigos Relacionados com este Assunto:

  • Como Formatar, Organizar, Estruturar documentação de Processos (Politicas, Normas e Procedimentos).

Em artigo anterior, descrevemos como formatar, organizar e estruturar a documentação de processos, contendo ainda o modelo de template destinado a descrição passo-a-passo dos processos disponível para download, vamos utilizar este modelo no próximo artigo para descrever um processo e em seguida utilizar o mesmo para desenhar o respectivo fluxograma:

http://aghatha.wordpress.com/2011/06/18/como_formatar_e_organizar_a_documentacao_de_processos_ti/

———

Apresentação AGHATHA Framework – Norma ISO-27001:2/2005.

[youtube http://www.youtube.com/watch?v=T_gsHigMFvU]
———

·       Declarações de Direitos de Copyright

·        Declaração e Preservação de Direitos Autorais e de Propriedade:

 Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.

O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.

Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.

Licença Creative Commons
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.

Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:

  •  COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
  • Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (Website: http://www.aghatha.com/index.htm  /  WebStore: Http://www.aghatha.com ), sendo todos os direitos  autorais preservados, incluindo a sua utilização e exploração comercial.
  • COSO®, que é de propriedade exclusiva Committee of Sponsoring Organizations of the Treadway Commission (COSO)™ (www.coso.org/), sendo Todos os direitos autorais reservados.
  • ISO-IEC® Standard – São de propriedade exclusiva do  International Organization for Standardization (ISO®)   e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
  • ITIL V-3 ® – IT Infrastructure Library®  (www.itil-officialsite.com) que é de propriedade e proteção exclusiva da Coroa Britanica (www.ogc.gov.uk) – Office of Government Commerce (OGC) – UK, sendo Todos os direitos autorais reservados.
  • PCAOB ® é  propriedade exclusiva do  Public Company Accounting Oversight Board  – (http://pcaobus.org/), sendo Todos os direitos autorais reservados.
  • PMI ®  / PMBOK ®   propriedade exclusiva do Project Management Institute ( www.pmi.org/),  sendo Todos os direitos autorais reservados

– Fim Declarações de Direitos de Copyright —

— Fim Artigo

· Compartilhe este Artigo:

COMO FORMATAR E ORGANIZAR A DOCUMENTAÇÃO DE PROCESSOS DE BOAS PRÁTICAS– ISO-27.002 / ISO-20.000 / COBIT / ITIL-V3

COMO FORMATAR E ORGANIZAR A DOCUMENTAÇÃO DE PROCESSOS  DE BOAS PRÁTICAS– ISO-27.002 / ISO-20.000 / COBIT / ITIL-V3.

Após a decisão em adotar algum padrão ou recomendações tais como (ISO/IEC-27.002, ISO/IEC-20.000, ITIL, COBIT, COSO e tantos outros existentes, surge a pergunta: COMO COLOCAR EM PRÁTICA AS AÇÕES NECESSÁRIAS?,

Depois de alguns anos chegamos a um modelo que é bastante efetivo em termos de conteúdo e praticidade para formalização de processos e controles.

Embora existam normas especificas de qualidade que contemplam recomendações e práticas neste sentido, há necessidade de fazermos algumas adaptações para implantar boas práticas relacionadas à Tecnologia da Informação, as quais passaremos a abordar. O nosso leitor poderá adotar ou não estas sugestões, mas vamos procurar explanar o que elas representam e porque são recomendadas.

1 – A Estrutura Hierárquica da Documentação.

Primeiramente é necessário definir a estrutura a ser seguida na organização dos documentos, lembrando que é necessário contemplar nesta estrutura todos os escalões hierárquicos existentes na organização e lhes referenciando a cada um os tipos de documentos sob sua responsabilidade organizacional ou institucional. Vejamos um exemplo na figura abaixo:

Politicas:  Estabelecer o nível estratégico a ser cumprido na adoção das melhores práticas. É atribuída pelo nível diretivo das organizações e estabelece as diretrizes gerais a serem observadas por todos.

Normas: Estabelecer o nível tático e estabelece as regras a que as áreas operacionais deverão observar para o cumprimento das diretrizes ditadas pelas políticas. É atribuída aos gerentes e gestores das áreas envolvidas em cada prática ou modelo que será adotado.

Procedimentos: Estabelecer o nível operacional e estabelece o “como será feito!”, descrevendo passo a passo as atividades, responsáveis, evidências a serem produzidas, e ainda em um segundo momento, poderão ser adotadas métricas que possibilitem a medida de eficiência e de nível de serviço obtido pelo processo.

Controles e Métricas: Estabelece o “Entregável ou Evidencia física da execução do Processo”, ou seja, o processo de fato foi executado, quando ao final de seu ciclo, o usuário tenha produzido o controle ou a evidencia nele instituído.

Pode-se ainda vincular métricas ou indicadores de controle para medir a efetividade do procedimento, e dependendo do resultado ser favorável ou não, identificar a necessidade de melhorias ou ajustes no processo até que o índice desejado seja atingido.(Assim se estabelece o ciclo de melhoria contínua dos processos).

2 – A Estrutura Física dos Documentos

Uma vez estabelecido à estrutura hierárquica da documentação, e o seu endereçamento nas escalas de comando da companhia, passamos a estabelecer o conteúdo físico de cada tipo de documento, cada um estabelecendo o conteúdo a ele determinado na estrutura hierárquica da documentação (Item 1).

Na figura abaixo, exemplificamos um modelo de documento muito fácil de ser entendido e ao mesmo tempo bastante completo em termos de conteúdo e formato de apresentação.

documento_padrao_aghatha_framework

2.1 – Composições de Estrutura Comum (Politicas, Normas e Procedimentos).

Tipo de Documento:  é recomendado que o documento possua uma indicação claramente visível que identifique ao leitor o tipo de documento (ex. Politica, Norma, Procedimento, Controle, Instrução Técnica, entre outros).

Cabeçalho / Identificação: Deve haver um quadro incluindo as informações relacionadas a identificação do documento, tais como Título/Descrição do Documento, Identificação, Versão, Data emissão, data de Inicio Vigência, Data de fim da vigência, e data prevista para a sua próxima revisão, responsáveis, classificação de sigilo, áreas responsáveis.

Objetivo do Documento: Descrever de forma clara o objetivo do documento, ou o proposito desejado do documento.

Abrangência/Aplicação: Descrever ao leitor qual é a abrangência de uso do documento, se é um documento de uso corporativo, aplicável a apenas uma Unidade, departamento ou a um grupo de pessoas. A informação deve ser clara ao leitor quando ele puder ser identificado no grupo de pessoas que deve ou não cumprir o que está estabelecido no documento.

Terminologia: Identificar os termos técnicos não usuais e o seu significado através de uma descrição clara e preferencialmente não técnica, e que possa ser entendido por pessoas leigas em relação ao termo técnico, siglas ou palavras em outros idiomas.

 2.1.1 – Composições Especificas  (Descrição de Politicas).

Descrição das Diretrizes: Identificar o conteúdo detalhado das Diretrizes forma mais detalhada e clara possível.

Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informações requeridas em cada Diretriz, sendo no mínimo: Numero sequencial, descrição ou enunciado das Diretrizes a serem seguidas e um campo para Observações e informações complementares. Ex:

Descrição das Diretrizes de Uma Politica:

Seq Diretrizes Observações
1 As entradas e Saídas de Colaboradores nas dependências da organização deverão ser controladas através de identificação funcional padrão. São considerados colaboradores, todos os níveis hierárquicos da Organização, incluindo Diretores, Gerentes, Supervisores, colaboradores e estagiários.

 2.1.2 – Composições Especificas  (Descrição de Normas).

Descrição das Normas: Identificar o conteúdo detalhado das normas a serem seguidas para a aplicação das Diretrizes, estabelecendo regras na forma mais detalhada e clara possível..

Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informações requeridas em cada Regra, sendo no mínimo: Numero sequencial, descrição ou enunciado das Regras a serem seguidas e Observações. Ex:

Descrição das Regras de uma Norma:

Seq Regras Observações
1 Todos os colaboradores da organização serão identificados através de identidades funcionais, seguindo o modelo padrão da companhia. São considerados colaboradores, todos os níveis hierárquicos da Organização, incluindo Diretores, Gerentes, Supervisores, colaboradores e estagiários.
2 As identidades funcionais devem ser providenciadas pela Área de RH e entregues no primeiro dia de trabalho. Os colaboradores que ainda não possuem a identidade funcional deverão receber a sua identificação até 30 dias da data de inicio de vigência desta norma.
3 Os colaboradores deverão apresentar as suas identidades funcionais na portaria nas ocasiões de movimentação de entrada e saídas das dependências da organização. O procedimento de entrada e saída identificadas entrará em vigora 30 dias após a data de inicio de vigência desta norma
4 Nos casos de perdas e extravio o colaborador deve reportar formalmente o fato a Área de RH, para que seja providenciada a emissão de nova identidade funcional.

 2.1.3 – Composições Especificas  (Descrição de Procedimentos).

Descrição do Processo:  Identificar o conteúdo detalhado do Procedimento na forma mais detalhada e clara possível..

Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informações requeridas em cada atividade, sendo no mínimo: Numero sequencial, descrição da Atividade e Observações, podendo-se ainda incluir campos adicionais e facultativos, tais como, a Identificação do Responsável (Quem?) as situação ou condição de execução da atividade (Quando?). Quanto mais informações, mais completo será o conteúdo do processo e mais demorado e complexo será a sua confecção, isto posto, sugerimos iniciar com modelos mais simplificados e complementando campos adicionais na medida em que se fizerem necessários. Ex:

Descrição das Atividades de um Procedimento (Procedimento de Entrada e Saída na Portaria de Pedestres):

Seq Descrição Atividade Observações Quem? Quando?
1 Verificar a identificação do colaborador na ocasião de entrada do colaborador. Modelo Identificação MOD-001 – Identidade Funcional Vigilante No momento de entrada e saída dos colaboradores na empresa
2 A identidade funcional do colaborador é valida? N.A. Vigilante N.A.
3 Caso Positivo:Liberar o acesso ao colaborador N.A. Vigilante N.A.
4 Caso Negativo:Encaminhar o colaborador ao RH, para que seja providenciada emissão de nova identidade funcional / Identidade provisória. N.A. Vigilante N.A.

 2.1.3 – Composições Comuns  (Campos de Controle dos Documentos).

No Item 2.1 e seus subitens tratamos as partes específicas de cada documento, informando as variações de conteúdo dependendo de cada tipo de documento (Politica, Norma ou Procedimento). Após esta parte, o documento pode ser padronizado nas questões de controle e referencias.

Sugerimos incluir após a parte especifica os seguintes campos de controle.

Documentos Referenciados /Anexos: Identificar ao leitor a relação de documentos relacionados, por Exemplo, identificar em uma política quais normas está a ela subordinada, identificar em uma norma quais procedimentos a ela estão subordinados, e etc..

Este tipo de informação dá ao leitor informações de referencia entre os documentos, uma vez que a Politica gerou uma determinada norma, e esta gera uma determinada relação de procedimentos, desdobrando uma Diretriz em Regras e esta em um ou mais procedimentos.

Pode-se ainda desenhar graficamente os processos através de fluxos das atividades demonstrando as atividades passo-a-passo e facilitando em muito o entendimento do processo. (Politicas e Normas não possuem Fluxogramas), mas podem conter desenhos esquemáticos que facilitem o entendimento dos objetivos das mesmas.

Classificação da Informação: Nos casos onde as organizações possuem politicas de segurança da informação é importante identificar nos documentos a sua classificação de segurança (Documento de Uso Interno, Documento Confidencial, Documento Restrito a um determinado Grupo de Pessoas).

Controle de Aprovação / Revisão: Tabela contendo a identificação dos responsáveis pela aprovação e revisão do documento, local para assinatura e data dos responsáveis, e identificação de contato.

Anexos: Convém incluir toda e qualquer informação adicional, modelos e templates necessários para a execução ou entendimento como anexo ao final do documento. Recomendamos enumerar os anexos e referencia-los no corpo do documento para facilitar a navegação e leitura.

3 – Controles da Documentação.

3.1 – Lista de Documentos e Controle de Revisão.

Na medida em que os documentos sejam confeccionados é recomendado que sejam apontados em um controle destinado a relacionar os documentos vigentes, em revisão, revogados, e  a identificação do documento, Numero de sua versão, Identificação de seus responsáveis, data de inicio de vigência, data de fim da vigência e data prevista para a sua próxima revisão, resumo de revisões realizadas identificando o que mudou entre uma versão e outra.

Regularmente recomendamos a verificação deste controle, com a finalidade de promover as revisões periódicas de conteúdo e de aplicação de melhorias nos processos, sendo que pelo menos 30 dias antes da data de vencimento da data prevista para a revisão, o responsável pela documentação deve enviar uma notificação de revisão ao responsável para que o documento seja revisado até a data do seu aniversário.

As boas práticas determinam que a documentação deva ser revisada pelo menos uma vez a cada ano, e não é incomum encontrar documentos com mais de 10 anos de vigência e com 30 ou 40 revisões, ou seja, um processo é uma entidade com vida própria e está em constante evolução. Não existe processo perfeito e ele sempre poderá ser melhorado, simplificado, apoiado por aplicações automatizadas, e assim por diante.

3.2 – Visões de Hierarquia entre os documentos (Mapa de Processos).

Com o acumulo de práticas a serem adotadas e a quantidade de documentos que se fazem necessários confeccionar para atender as boas práticas, há alguns anos atrás montamos uma visão hierárquica dos documentos, isto facilita em muito o controle e visão holística dos processos (A mesma visão da Pirâmide demonstrada no item 1, com um organograma dos documentos demonstrando as suas dependências e relações mutuas).

A seguir ilustraremos um modelo, para quem estiver interessado em seguir.

Modelo Mapa de Processos Compliance - Aghatha Maxi Consulting - www.aghatha.com.br

4 – Mapa Geral de Processos – Compliance Norma ISO-IEC-27002 – Gerenciamento de Segurança da Informação

Mapa Geral Processos Compliance Norma ISO-27002 - Aghatha Maxi Consulting - http://www.aghatha.com.br

Modelo acima representa o Mapa Geral de Politicas, Normas e Procedimentos requeridos para a Implantação de Politica de Segurança da Informação, conforme as recomendações da Norma ISO-27.002.

Framework Compliance Norma ISO-27002, Veja mais informações em:

5 – Mapa Geral de Processos – Compliance COBIT  – Governança TI e Sarbanes Oxley Compliance

 Mapa Geral Processos para o Compliance Governança TI e Sarbanes Oxley  - Aghatha Maxi Consulting - http://www.aghatha.com.br

Modelo acima representa o Mapa Geral de Politicas, Normas e Procedimentos requeridos para a Implantação da Governança de TI e Sarbanes Oxley Compliance, conforme as recomendações do COBIT,  PCAOB e Norma de Segurança e Modelos de Gerenciamento de Serviços ITIL-V3.

Veja em nosso outro artigo, como desenhar fluxograma de processos de negócio, em:

http://aghatha.wordpress.com/2011/07/03/como-desenhar-fluxogramas-de-processos-de-negocio-1-parte-introducao-conceitos-e-modelos/

—-

———-

·  Download do conteúdo deste Artigo :

O Conteúdo deste artigo está disponível para download no formato Arquivo  (PDF) na pagina Free Whitepaper publicada em nosso site

www.AGHATHA.com , acessando a pagina :  http://aghatha.com/index.php/whitepapers.html , você poderá realizar o download do mesmo gratuitamente.

Faça-nos uma visita, caso opte por assinar a Nossa Newsletter, você passará a receber avisos de atualizações e ampliações do conteúdo deste artigo e/ou comunicados sobre a publicação de outros artigos relacionados com este mesmo assunto.
———-

  • Visite nossa Webstore :

Economize centenas de horas com a realização de levantamentos, definição, documentação e organização de processos e controles em Tecnologia da Informação.

Agora é possivel obter suites contendo modelos pré-definidos, integrados e  prontos para utilização / implementação e contruídos em conformidade com as regras e requisitos estabelecidos nos diversos padrões de compliance em TI.

  • AGHATHA Framework – Compliance Norma ISO-27002

http://aghatha.com/index.php/framework-de-processos-e-controles-para-o-compliance-de-ti-norma-iso-27001-iso-27002-seguranca-da-informacao-release-02-01-a.html

  • AGHATHA Services – Serviços Suporte Técnico e Consultoria Técnica Sob Demanda.

http://aghatha.com/index.php/servico-consultoria-suporte-tecnico-compliance-ti-nao-presencial.html

———-

  • Framework de processos e controles para o Compliance de TI.

Convidamos a conhecer  nosso Framework de Processos e Controles para o Compliance de TI aos Padrões e Recomendações para o Compliance SOX, ISO-27.001/2, ISO-20.000:1/2, COBIT, ITIL V3, PMI.

Nele, você poderá ver alguns exemplos de como é possível descrever processos complexos com a adoção de 4 camadas sucessivas de detalhamento, sendo o nível # 1 a visão mais alta e o nível # 4 o nível mais detalhado do processo (Drill-Down de detalhamento de processos em camadas).

Ou ainda, Leia mais sobre este mesmo assunto, em nossos POSTs.

Framework Compliance Norma ISO-27002

———-

—- Fim Conteúdo Artigo —-

Agradecimentos e Convites:

As informações e comentários existentes neste artigo são o fruto de observações e experiências adquiridas pelo autor durante a  execução de projetos ao longo de 30 anos de atuação no mercado. Utilizamos este espaço para a divulgação e intercâmbio destes conhecimentos junto aos nossos leitores, clientes e amigos.

Caso você tenha alguma dúvida ou necessidade de informações adicionais para o seu entendimento ou aplicação, entre em contato conosco através do e-mail abaixo.

Abraço e Felicidades a Todos,

Eurico Haan de Oliveira

http://www.aghatha.com/index.htm

Siga-nos pelo Twiter, e receba comunicados de novos artigos e/ou revisões deste texto.   Follow aghatha_maxi on Twitter

———

Apresentação AGHATHA Framework – Norma ISO-27001:2/2005.

[youtube http://www.youtube.com/watch?v=T_gsHigMFvU]
———

———

Declaração e Preservação de Direitos:

 Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.

O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.

Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.

Licença Creative Commons
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.

Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:

  •  COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
  • Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com/index.htm  / Http://www.aghatha.com ), sendo os direitos preservados todos os direitos autorais e exploração comercial.
  • COSO®, que é de propriedade exclusiva Committee of Sponsoring Organizations of the Treadway Commission (COSO)™ (www.coso.org/), sendo Todos os direitos autorais reservados.
  • ISO-IEC® Standard – São de propriedade exclusiva do  International Organization for Standardization (ISO®)   e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
  • ITIL V-3 ® – IT Infrastructure Library®  (www.itil-officialsite.com) que é de propriedade e proteção exclusiva da Coroa Britanica (www.ogc.gov.uk) – Office of Government Commerce (OGC) – UK, sendo Todos os direitos autorais reservados.
  • PCAOB ® é  propriedade exclusiva do  Public Company Accounting Oversight Board  – (http://pcaobus.org/), sendo Todos os direitos autorais reservados.
  • PMI ®  / PMBOK ®   propriedade exclusiva do Project Management Institute ( www.pmi.org/),  sendo Todos os direitos autorais reservados

– Fim Declarações de Direitos de Copyright —

— Fim Artigo

Compliance de Processos – Norma ISO/IEC-27.002 – Gerenciamento de Segurança Informação

SUGESTÃO DE ESTRATÉGIA – ADOÇÃO DAS RECOMENDAÇÕES DA NORMA ISO-IEC-27.002 – SEGURANÇA DA INFORMAÇÃO

Sugestão de estratégia – adoção das recomendações da norma ISO-IEC-27.002 – Segurança da Informação

Uma estratégia vencedora pra implementação de melhores práticas é adotar os frameworks através de níveis organizacionais, ou seja:

Politicas:  Estabelecer o nível estratégico a ser cumprido na adoção das melhores práticas. É atribuída pelo nível diretivo das organizações e estabelece as diretrizes gerais a serem observadas por todos.

Normas: Estabelecer o nível tático e estabelece as regras a que as áreas operacionais deverão observar para o cumprimento das diretrizes ditadas pelas políticas. É atribuída aos gerentes e gestores das áreas envolvidas em cada framework a ser adotado.

Procedimentos: Estabelecer o nível operacional e estabelece o “como será feito!”, descrevendo passo a passo as atividades, responsáveis, evidências a serem produzidas, e ainda em um segundo momento, poderão ser adotadas métricas que possibilitem a medida de eficiência e de nível de serviço auferido pelo processo.

Adotar a implantação dos modelos através destes três níveis possibilita a formalização dos processos recomendados pelas melhores práticas, e distribui o escopo de cada recomendação nos diversos níveis da organização.

SUGESTÃO DE APLICAÇÃO DAS RECOMENDAÇÕES DA NORMA NOS ATRAVÉS DOS NÍVEIS DE DOCUMENTOS. 

– Politicas:

Confeccionar uma ou mais políticas, adotando formalmente as recomendações  estabelecidas pela Norma.

– Normas:

Cada Capítulo da Norma ISO-IEC-27.002, possui definido um objetivo e controles a serem implementados. Normalmente isto pode ser adotado criando uma norma para cada item, ou seja,  devem-se definir as regras de aplicação do conteúdo de cada capítulo.
Um fato interessante é que a ISO-27002 tem recomendações genéricas (O Que fazer?), mas não detalha o (Como Fazer?).  Para que o escopo do projeto de adoção fique adaptável à realidade de cada organização, é necessário estabelecer através de regras, o que será feito e quais os critérios deverão ser adotados para cada capítulo da norma.

– Procedimentos:

Cada capítulo estabelece os controles que devem ser adotados, estes, uma vez delimitados pelas Regras de como a empresa adotará ou não alguma recomendação, acabam por estabelecer quantos controles deverão ser criados e consequentemente quantos processos devem ser organizados.

Cada controle é lastreado por um processo, o qual tem como escopo definir as atividades e responsáveis pela execução do controle, e qual artefato será produzido durante a realização de cada ação ou atividade. Finalizado o processo devemos ter em mãos uma evidencia de que a atividade foi realizada.

DICAS:

Os processos devem ser construídos e relacionados seguindo uma ordem de baixo para cima, ou seja:

– Controle de Riscos – Sec 4.
– Controles de Politicas e Organização da Segurança – Sec 5,  6 e 15.
– Controle de Ativos – Sec 7.
– Controle de RH – Sec 8.
– Controle de Segurança Fisica – Sec 9.
– Controle de Operações e Comunicações – Sec 10.
– Controle de Acessos Lógicos – Sec 11.
– Controle de Aquisição e Desenvolvimento de Sistemas – Sec 12.
– Controle dos Incidentes de segurança – Sec, 13

– Controle de Continuidade do Negócio. Sec 14,
Recomendamos implementar esta seção em uma etapa seguinte a implementação das seções anteriores, pois para que um plano de continuidade de negócio possa ser estruturado e testado de forma eficiente, devem estar implementados os controles de ativos, acessos, operações e comunicações e devidamente gerenciados em relação a gestão de mudanças, convém adotar também os requisitos estabelecidos pela Norma ISO-IEC-20.000 – Gerenciamento de Serviços de TI.

Outros Artigos Relacionados:

  • Veja Artigo sobre como Formatar, Organizar Documentação de Processos em TI para implementar boas práticas em:

http://aghatha.wordpress.com/2011/06/18/como_formatar_e_organizar_a_documentacao_de_processos_ti/

Este artigo está disponível para download no formato de Documento (PDF) na pagina de Download  do Site da AGHATHA  em :  Http://www.aghatha.com.br

—- Fim Conteúdo Artigo —-

Agradecimentos e Convites:

As informações e comentários existentes neste artigo são o fruto de observações e experiências adquiridas pelo autor durante a  execução de projetos ao longo de 30 anos de atuação no mercado. Utilizamos este espaço para a divulgação e intercâmbio destes conhecimentos junto aos nossos leitores, clientes e amigos.

Caso você tenha alguma dúvida ou necessidade de informações adicionais para o seu entendimento ou aplicação, entre em contato conosco através do e-mail abaixo.

Abraço e Felicidades a Todos,

Eurico Haan de Oliveira

Consultoria@aghatha.com.br

———
———

Apresentação AGHATHA Framework – Norma ISO-27001:2/2005.

[youtube http://www.youtube.com/watch?v=T_gsHigMFvU]
———

Declaração e Preservação de Direitos:

 Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.

O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.

Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.

Licença Creative Commons
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.

Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:

  •  COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
  • Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com.br / Http://www.aghatha.com ), sendo os direitos preservados todos os direitos autorais e exploração comercial.
  • COSO®, que é de propriedade exclusiva Committee of Sponsoring Organizations of the Treadway Commission (COSO)™ (www.coso.org/), sendo Todos os direitos autorais reservados.
  • ISO-IEC® Standard – São de propriedade exclusiva do  International Organization for Standardization (ISO®)   e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
  • ITIL V-3 ® – IT Infrastructure Library®  (www.itil-officialsite.com) que é de propriedade e proteção exclusiva da Coroa Britanica (www.ogc.gov.uk) – Office of Government Commerce (OGC) – UK, sendo Todos os direitos autorais reservados.
  • PCAOB ® é  propriedade exclusiva do  Public Company Accounting Oversight Board  – (http://pcaobus.org/), sendo Todos os direitos autorais reservados.
  • PMI ®  / PMBOK ®   propriedade exclusiva do Project Management Institute ( www.pmi.org/),  sendo Todos os direitos autorais reservados

– Fim Declarações de Direitos de Copyright —

— Fim Artigo