Sistemas de Informação
Segurança e Auditoria de Sistemas
Trabalho
Plano de Segurança em Informática: Metodologia e Implantação
Introdução
Com o aumento da utilização e dependência do computador traz uma preocupação básica e
fundamental às organizações que é a segurança em informática.
A decisão da adoção ou não de uma política de segurança em informática deve basear-se em
uma avaliação de riscos, mediante custo x benefício. Feita essa análise, torna-se mais simples tomar
uma decisão.
É importante ter em mente que as ameaças não partem somente de autores externos. A
segurança de qualquer sistema, em parte, está nas mãos das pessoas que o gerenciam e operam.
1. Objetivos e abrangência do Projeto
O objetivo principal é fornecer meios para implementar, utilizar e manter segurança física e
lógica em informática.
O plano de segurança permitirá, a partir do diagnóstico da área de informática e da situação
atual da informática na organização, definir as estratégias administrativas e técnicas a serem
adotadas para se obter a situação de controle desejada.
2. Enfoque Metodológico
A metodologia a ser utilizada para elaboração do plano de segurança procura abranger os
seguintes itens:
• Análise de riscos, através da identificação, probabilidade de ocorrências e conseqüências,
das ameaças existentes;
• Verificação e avaliação das medidas de proteção existente na área de informática;
• Estabelecimento de prioridades de proteção;
• Determinação dos requisitos de segurança;
• Conscientização e treinamento de pessoal;
• Simulação e testes periódicos;
As principais etapas são:
1. Organização e Administração do Projeto
Nesta etapa, são estabelecidos o comitê e gerência do projeto, designados os integrantes da
equipe de trabalho, estabelecidas reuniões do comitê e definidas as áreas a serem contempladas
no projeto.
2. Avaliação da Situação Atual da Segurança em Informática
Serão realizadas entrevistas com as pessoas envolvidas no processo. Os resultados obtidos
através das respostas serão usados para definição das estratégias para a área em questão,
identificação de fontes potenciais de riscos, de pontos positivos e modos de otimização e a
definição de segmentos prioritários.
3. Estratégia de Segurança em Informática
Aqui as estratégias a serem adotadas serão definidas, além da análise do impacto das novas
medidas a serem implementadas.
4. Plano de Organização da Área de Segurança em Informática
Definição do papel, das responsabilidades e da estrutura da área, bem como a política interna,
procedimentos, padrões e áreas com necessidade de funções de controle.
1
Sistemas de Informação
Segurança e Auditoria de Sistemas
Nesta etapa serão identificadas as necessidades de treinamento para o pessoal da área de
informática e usuários finais.
5. Plano de Tecnologia
Definição dos requisitos a serem cumpridos pelo hardware, software e pessoal envolvido,
considerando os seguintes controles: acesso físico e lógico, organizacionais, de pessoal,
operacionais, de desenvolvimento e criptografia.
6. Plano de Ação
Os planos de ação visam garantir uma padronização na linha de ação da área de informática,
bem como garantir bom nível de segurança a cada área abrangida, tais como: plano de
emergência, backup e recuperação, e procedimentos de auditoria de sistemas.
7. Plano de Classificação de Dados
Aqui será elaborado um programa de estabelecimento de registros vitais e serão definidas as
estratégias de classificação e recuperação de informações sensíveis.
8. Plano de Treinamento
Nesta etapa serão elaboradas diretrizes para a realização de treinamento, simulação e testes do
plano de segurança em informática a ser implantado.
9. Plano Tático de segurança em informática
Será desenvolvida a estratégia de segurança em informática a ser implementada, definidos os
pontos-chave da implementação, feita a apresentação do plano de segurança em informática
(PSI) para o comitê do projeto, e editado o referido plano.
10. Estrutura e Administração do Projeto
Este projeto poderá ser conduzido por uma organização, ou por uma equipe mista formada por
pessoal da organização e de uma consultora. A estrutura completa do projeto terá:
• Comitê executivo: será composto por um ou mais profissionais da organização e, quando
for o caso, um ou mais profissionais da consultora. Sua função é aprovar os resultados
apresentados e orientação no que diz respeito a diretrizes de trabalho a serem seguidas
durante o projeto.
• Controle de Qualidade: acompanhamento constante de um elemento designado para esta
função com ampla experiência em projetos nesta área, com a finalidade de manter o
padrão de qualidade dos serviços.
• Gerência do Projeto: será exercida por um profissional da organização (e um da
consultora), a nível de gerência. Quando for o caso de consultora, este profissional agirá
como ligação entre a equipe do projeto e a organização bem como acompanhará o
desenrolar dos trabalhos. Este profissional será responsável pelo planejamento,
coordenação e execução das tarefas a cargo da equipe do projeto.
• Equipe Técnica: será composta por técnicos especialistas em segurança em informática,
da organização e da consultora, quando for o caso.
• Apoio Administrativo: responsável pelas tarefas de apoio durante a elaboração do
projeto, tais como editoração e secretaria. Será necessário o envolvimento de usuários de
serviços envolvidos, ou de outros segmentos da organização, em termos de apoio para o
levantamento necessário à elaboração do projeto.
2
Sistemas de Informação
Segurança e Auditoria de Sistemas
11. Produto Final
O principal produto deste trabalho será o plano de segurança em informática – PSI,
formalizado e documento em forma de relatório que inclua os seguintes itens:
• Sumário Gerencial: resumo objetivo dos resultados dos trabalhos realizados.
• Diagnóstico da Área de Informática: análise e avaliação de medidas de proteção já
existentes, fontes potenciais de riscos, pontos positivos, estratégias e objetivos de
segurança em informática, identificação das necessidades de segurança para a área de
informática.
• Plano de Organização da Área de Segurança em Informática: definição de
responsabilidades e estrutura da área, estabelecimento de normas e padrões para a área,
identificação das necessidades de treinamento.
• Plano de Tecnologia: definição dos resultado, descrição dos resultados a serem
cumpridos pelos seguintes componentes: hardware, software e microcomputadores,
descrição dos controles e planos a serem implementados.
• Planos de Ação: descrição dos planos de ação a serem implementados, planos de
emergência, de backup, de recuperação e procedimentos de auditoria de sistemas.
• Plano de Classificação de Dados: descrição do plano de “registros vitais”, descrição do
plano de classificação e recuperação de informações sensíveis.
• Plano de Treinamento: descrição do plano de treinamento, descrição do plano de
documentação, descrição do processo permanente de simulação e teste do plano de
segurança em informática.
• Plano Tático de Segurança em Informática: plano de ação abrangendo todo o universo
de informática da organização, plano de segurança/contingência.
Grupo: 5 pessoas (no máximo).
Entrega: 30 de outubro (Relatório e Apresentação).
Relatório: formato ABNT.
Apresentação: um componente do grupo será sorteado para fazer a apresentação, que deve ser
rápida, mas com conteúdo relevante.
Valor: 15 pontos.
3