Académique Documents
Professionnel Documents
Culture Documents
Informao
Secretaria de Fiscalizao
de Tecnologia da Informao
Vrus
Impacto no Negcio
Ataques (Hackers)
Indisponibilidade
Vazamento/Furto de informaes Queda na receita
Fraudes Aumento dos custos
Invaso de site na Internet Perda de:
Oportunidades
Diferencial competitivo
Diminuio de:
Confiana do investidor
Confiana do cliente
Consequncias Confiana do cidado
Perda financeira
Danos imagem
Processos legais
Queda produtividade
Integridade
Salvaguarda da exatido e completeza da informao e dos
mtodos de processamento. Garantia que esses somente sejam
alterados por meio de aes planejadas e autorizadas.
Disponibilidade
Garantia de que os usurios autorizados tm acesso
informao e aos ativos correspondentes quando requerido.
No-repdio
a garantia que o emissor de uma mensagem ou a pessoa que
executou determinada transao de forma eletrnica no poder
posteriormente negar sua autoria.
Responsabilidade (accountability)
a habilidade para manter pessoas ou entidades responsveis
por suas aes por meio do registro de seus atos.
Fontes principais:
Anlise de Risco dos Ativos de Informao.
Ameaas Ambientais
Incndio.
gua/Umidade/Secura.
Flutuaes e cortes de energia.
Raios.
Temperaturas muito altas/baixas.
Identificao
Autenticao
Autorizao
Aspectos abordados:
Critrios:
Artigo 5 da Instruo Normativa GSI n 1, de 13 de junho de 2008.
Possveis achados:
Baixo comprometimento do ente quanto SI.
Possveis achados:
Falta de uniformizao e de procedimentos formalizados para
acesso aos sistemas informatizados (incluindo a concesso, a
reviso peridica e a revogao de acesso).
Falhas nos procedimentos de entrada dos sistemas e de acesso
fsico aos ambientes de produo.
Falhas no gerenciamento das senhas de usurios.
Critrios:
Artigo 5, inciso V, da Instruo Normativa GSI n 1, de 13 de junho
de 2008.
Itens 13.1 e 13.2 da NBR ISO/IEC 27002:2005.
Possveis achados:
Ausncia de registros de incidentes de segurana.
Critrios:
CF, art. 37, caput (princpio da eficincia)
Possveis achados:
Inexistncia de um processo formal de anlise de riscos
de TI
Critrios:
Princpio da Continuidade dos Servios Pblicos.
Possveis achados:
Inexistncia de Plano de Continuidade de Negcios.
Treinamentos insuficientes.
O plano inexequvel.
Objetivo
Avaliar os aspectos de segurana dos principais
sistemas informatizados pertinentes ao processo de
arrecadao de receitas da Empresa Brasileira de
Infra-Estrutura Aeroporturia - Infraero.
Reportagem na TV (SBT)