• Nenhum resultado encontrado

Implementação de segurança em tecnologia da informação em pequenas empresas

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Implementação de segurança em tecnologia da informação em pequenas empresas"

Copied!
14
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 14 páginas )

Texto

(1)

IMPLEMENTAÇÃO DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO EM

PEQUENAS EMPRESAS1

Luiz Henrique Ferreira

Resumo: Este artigo apresenta o processo de implantação de uma política de segurança em

tecnologia da informação em uma empresa de pequeno porte. A metodologia é baseada em padrões e normas de segurança da informação, que serviram como norte para elaboração do estudo. A política de segurança da informação criada nesse artigo foi aplicada em um roteiro de observação envolvendo a empresa ContabilXY, uma empresa do ramo de contabilidade situada em Florianópolis (SC), onde a garantia da confidencialidade e a integridade dos dados de seus clientes são primordiais para funcionamento do negócio. A forma descrita com que o artigo foi desenvolvido pode ser utilizado na aplicação em outras empresas do mesmo porte.

Palavras-chave: Segurança da Informação, Normas, Políticas de Segurança da Informação

1 INTRODUÇÃO.

Conforme indica o IDC Brasil, com o aumento nas vendas de computadores ele tem se tornado comum nas empresas e as informações contidas neles estão sendo cada vez mais necessárias e importantes para a gerencia do negócio, o planejamento das ações, o controle e a operacionalização das tarefas, sejam informações hospedadas localmente, remotas ou compartilhadas de algum parceiro, através de um simples arquivo ou de um poderoso banco de dados. Conforme cita a WIKIPÉDIA “a segurança da informação está diretamente relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São propriedades básicas da segurança da informação: confidencialidade, integridade, disponibilidade, autenticidade e legalidade”. Esses são os princípios básicos para a segurança da informação que se tornou um assunto constantemente discutido devido à grande importância dessas informações para as empresas e que segundo o

1 Artigo apresentado como Trabalho de Conclusão do Curso de Especialização em Gerencia de Projetos de

Tecnologia da Informação, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do título de Especialista em Gerente de Projetos de Tecnologia da Informação.

(2)

blog LUMIUN em 2018 foi marcado por diversos acontecimentos em relação a segurança da informação.

Conforme cita o site da STEFANINI “investir em segurança da informação é primordial para o sucesso da sua empresa analise das informações”. Sabe-se que empresas de pequeno porte muitas vezes não provem de muitos recursos, tanto de equipamentos, quanto de pessoal capacitado, falta de conhecimento e muitas vezes recursos financeiros, que se acredita seja o principal motivo de muitas empresas estarem desprovidas de segurança em tecnologia da informação.

Algumas empresas não possuem ideia do que seja segurança em TI, pois começaram seus trabalhos de qualquer forma, através de um computador que veio de casa ou mesmo que o amigo do conhecido do dono acabou instalando os sistemas, ou talvez possa ter sido instalado quando precisaram de um sistema de gestão, de controle de ponto ou outro tipo de sistema e o fornecedor que foi contratado sugeriu um mínimo de recursos. Aí, para o dono da empresa que não possui conhecimentos em segurança em TI, pensa que está tudo correto, e que não necessita procurar pessoas ou empresas qualificadas e capacitadas para auxiliar com os processos, com isso acabam instalando de qualquer forma e só se preocupam com os problemas que podem ser gerados depois de algum incidente ocorrido.

Apesar de que empresas de pequeno porte não demonstram interesse em implementar segurança em TI, conforme cita o site da ENDEAVOR “segurança da informação deve ser a prioridade zero”.

Pode-se deixar o ambiente de TI dessas empresas seguro utilizando poucos recursos, treinando colaboradores a ter uma noção de segurança e conscientizando sobre como fazer a utilização dos recursos disponíveis de forma correta, através da criação de política de segurança em TI. Para criar essa política se faz necessário a utilização de normas de institutos nacionais e internacionais e inserir as boas práticas da segurança em TI que já são de conhecimento do mercado atualmente.

O objetivo geral desse trabalho é implantar uma política de segurança em TI em uma pequena empresa em que se passou a fazer consultoria em TI, para atender suas necessidades e em acordo com algumas limitações que possui. Através desse objetivo se faz necessário efetuar análise da infraestrutura e segurança em TI existentes, analisar o ambiente

(3)

da empresa em relação a conscientização e utilização do ambiente computacional, definir quais possíveis correções e documentar as medidas que devem ser tomadas para essas correções.

Esse trabalho foi desenvolvido através de uma pesquisa aplicada, pois foi procurado responder questões especificas, tendo como objetivo buscar resultados e soluções concretas, também foram utilizadas as pesquisas teóricas e empíricas, através de normas estudadas e difundidas em todo o mundo e também das boas práticas já publicadas. Além da coleta de dados através do roteiro de observação na empresa a qual se dará o nome de ContábilXY, que segundo o critério adotado pelo Serviço Brasileiro de Apoio às Micros e Pequenas Empresa (SEBRAE) a empresa possui 20 funcionários com isso se enquadra como uma empresa de pequeno porte que está situada em Florianópolis (SC). Com o resultado desse trabalho se montará o processo de implantação de Segurança em TI.

Nesse artigo segue com a seção 2 com o entendimento das normas e conceitos em segurança de TI, na seção 3 as conclusões decorrente dos estudos e análises e na sessão 4 as referências utilizadas.

2 ENTENDIMENTO DAS NORMAS E CONCEITOS EM SEGURANÇA DE TI.

Conforme cita o blog LUMIUN Existe uma crescente preocupação e que a cada dia se torna mais importante nas empresas que é o aumento no número de casos de roubos de dados e ataques a infraestrutura de TI e também garantir que as informações das empresas sejam confiáveis, estejam integras e disponíveis e conforme cita NAKAMURA (2007, p31) que “a confiabilidade, integridade e disponibilidade dessa estrutura de rede passam a ser essenciais para o bom andamento das organizações”.

Existem diversos tipos de ferramentas e informações de como fazer, que permitem que todas as pessoas com conhecimento básico em informática possam realizar ataques e crimes cibernéticos a todos que estão conectados à Internet, nesses ataques esses “criminosos” podem invadir um sistema, alterar informações, criptografar dados fazendo o sequestro de informações, muitas vezes visando lucros financeiros.

Para que as organizações tenham seus sistemas computacionais funcionando de forma correta, surgiu um processo importante dentro das organizações que é o de criar uma política de segurança da informação, que é a definição de como irá se prevenir e ao mesmo tempo criar um processo de recuperação em caso de algum incidente relacionado a segurança da informação. No processo de criação dessa política é necessário definir diretrizes, normas e

(4)

todos os procedimentos necessários para que se proteja todas as informações e garantir a segurança nos sistemas de informações.

Conforme cita a norma ABNT NBR ISO/IEC:27002 (2013) uma política de segurança da informação eficaz diminui os riscos e protege das ameaças e vulnerabilidades, com isso, reduz o impacto em sua estrutura.

Colocar em prática a aplicação de controles é um conceito para atingir a segurança da informação, conforme cita a ABNT NBR ISO/IEC:27002 (2013) “a segurança da informação é obtida pela instalação de grupo de controles, contendo políticas, processos, procedimentos, cultura organizacional e de algumas funções de softwares e hardwares”. Tendo na norma salientado a necessidade de monitorar, manter e atualizar esses tipos de controles. “Esses grupos de controles necessitam ser determinados, monitorados, analisados e melhorados, sempre que necessário, para garantir que os propósitos do negócio e a segurança da informação sejam cumpridos “ (ABNT NBR ISO/IEC:27002, 2013, item 0.1).

Pode se dizer que na maioria das organizações as informações vitais e estratégicas estão em seus sistemas de informática, sendo que qualquer acesso não autorizado e mudanças feitas indevidamente podem causar danos as informações e algumas vezes de forma irreparável, segundo NETTO (2007) “por isso as organizações dependem da confiabilidade de seus sistemas de informática, se a confiança nesses sistemas for destruída, o impacto pode ser semelhante a destruição do sistema”.

Criar uma política de segurança pode ser tornar inviável para pequenas empresas, porém é um passo que deve ser tomado para administração segura das informações e estas são base para uma efetiva garantia que os dados estão íntegros. Segundo OLIVEIRA (2015), “a implantação de políticas de segurança da informação é primordial para a criação de um Sistema de Gestão de Segurança da Informação (SGSI) ”.

Baseado na norma ABNT NBR ISO/IEC:27001, que sugere a existência de políticas de segurança da informação, “convém que um conjunto de políticas de segurança da informação seja definido, que seja aprovado pela direção e comunicado para todos os funcionários e partes externas interessadas” (ABNT NBR ISO/IEC 27002, 2013, item 5.1.1).

Para a elaboração de uma política de segurança da informação é necessário o comprometimento da direção da empresa, conjuntamente é necessário a criação de um comitê de segurança da informação com o objetivo de elaborar e manter essa política atualizada e com

(5)

melhora continua. Segundo MONTEIRO (2009) “é recomendado para sua elaboração, ter profissionais de diversos departamentos ou setores da organização, formando um Comitê de Segurança da Informação, com a finalidade de conceber o documento da política”.

A norma ABNT NBR ISO/IEC:27001 (2013) tem como propósito “prover um modelo para criar, implementar, operar, monitorar, analisar, manter e melhorar um Sistema de Gestão de Segurança da Informação”. Para isso ela utiliza o modelo PDCA (Plan-Do-Check-Act) conforme mostrado na figura 1, esse modelo visa garantir uma melhoria continua do Sistema de Gestão de Segurança da Informação.

Figura 1: – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação

Fonte: ABNT, 2006, p. v.

Fazendo o uso das normas e conceitos de segurança de TI, salienta-se que a utilização do clico PDCA promove um aprendizado continuo dos processos e a sua melhoria continua ocorre quanto mais ciclos forem executados. Mais conhecimento dos processos se obtém maior maturidade no ciclo do processo.

2.1 DESENVOLVENDO O PROCESSO DE CRIAÇÃO DA POLITICA DE SEGURANÇA.

A partir das normas apresentadas será possível montar um plano de ação para criação do modelo que poderá ser implantando, sendo necessária a definição dos passos que são sugeridos:

1 – Definição do Escopo;

(6)

3 – Análise de Riscos; 4 – Definição de Controles

5 – Criação da Política de Segurança; 6 – Elaboração de Documentos Auxiliares; 7 – Treinamento dos Usuários.

2.1.1 Definição do Escopo

Conforme cita o PMBOK, o escopo é “o trabalho que precisa ser realizado para entregar um produto, serviço ou resultado com as características e funções especificadas” e Segundo DEBASTIANI diz que “sem uma definição precisa e abrangente do escopo de funcionalidades, corre-se o risco de produzir um resultado deficiente ou incompleto para o projeto, frustrando as expectativas de seus patrocinadores, usuários e até mesmo de toda a corporação”. Na definição de escopo, para iniciar definiu-se juntamente com a Diretoria em quais ambientes da empresa serão executados os trabalhos e foi definido e executado no setor administrativo/financeiro onde se encontra grande parte dos equipamentos, sendo servidores, estações de trabalho e periféricos. As demais áreas da empresa são denominadas setor contábil, fiscal, pessoal e atendimento.

2.1.2 Classificação da Informação

De acordo com a ABNT NBR ISO/IEC:27002 (2013) “convém que a classificação e os controles de proteção, associados para a informação, leve em consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os requisitos legais. Convém que outros ativos além dos ativos de informação também sejam classificados de acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo”. Na classificação da informação, foi necessário identificar qual informação possui maior importância para a empresa, para que na política de segurança, essa informação seja tratada de forma mais segura, sem que seja divulgada sem autorização de responsáveis ou que não esteja disponível quando necessária. Para isso juntamente com a Diretoria da empresa definiu os níveis de classificação, sugeriu-se e foram classificados em três níveis, Confidencial, Interno e Público.

(7)

- Confidencial: informações que somente a empresa tem acesso e somente pessoas com autorização possuem acesso, caso algumas dessas informações for repassada sem autorização, é possível que ocorrer perdas financeiras, perda de clientes e até encerramento o funcionamento da empresa;

- Interno: informações que somente os funcionários na empresa possuem acesso, caso haja divulgação externa não causará danos consideráveis a empresa; - Público: informações que podem ser divulgadas para todos, esse tipo de informação não compromete em nada a empresa.

2.1.3 Análise de Risco

Na análise de risco após classificar as informações foi necessário identificar quais ameaças e problemas as informações estariam sujeitas, um método simples e de fácil entendimento é o qualitativo para análise de riscos, aonde foram definidas as ameaças e as consequências, com isso se tornou possível avaliar os riscos mais baixos e mais altos e também a probabilidade de ocorrência, e que pôde indicar a frequência que isso ocorre, também foi possível definir o grau de impacto nas informações da empresa. Com isso através de observação e diálogos chegamos ao entendimento que quando a probabilidade da ameaça é mais rara de acontecer e consequentemente se torna desprezível aos níveis de problemas acaba sendo um risco comum, porém quando a probabilidade é quase certa e a consequência do problema é extrema isso se tornou uma situação intolerável. Na tabela 1 é mostrado os níveis de risco, probabilidade de ocorrer e as consequências.

Tabela 1 – Matriz qualitativa de riscos

Intolerável Relevante Moderado Aceitável Comum

Matriz Qualitativa de Risco

Consequência

Desprezível Margem Médio Critico Extremo

Probabi lidad e Quase Certo Provável Possível Pouco Provável

(8)

Raro

Fonte: Autor (2019)

Entretanto, conhecer os riscos não é o bastante, quando os conhecemos, temos por obrigação gerencia-los o que pode gerar mais trabalho e controle. Por outro lado, muitos destes problemas e imprevistos podem ser eliminados.

2.1.4 Definição de Controles

Na definição de controles, que foi uma das fases mais cansativas do projeto, pois foram necessárias inúmeras reuniões com diretoria e responsáveis por cada área, normalmente os colaboradores entendiam esse tipo de controle como burocracia, muitas vezes pensavam que a empresa estava duvidando de sua idoneidade, nesse momento foi necessário um trabalho de conscientização juntos aos colaboradores para explicar e exemplificar os controles e benefícios de os aplicar. Os controles são extraídos da norma ABNT NBR ISO/IEC 27002 através dos requisitos da norma ABNT NBR ISO/IEC 27001. Também foram considerados nesse momento a classificação da informação, análise de risco, custos de implantação de controles e a real necessidade da empresa.

2.1.5 Criação da Política de Segurança

Na criação da política, a parte da elaboração dos textos não foi fácil, foi colocar de forma clara e simples para que não houvesse falha na interpretação, equivoco ou lacunas no seu texto, para que qualquer pessoa conseguisse entender o que o autor queria transmitir, não deveria haver erros. Para desenvolvimento da política foi levado em conta todas as normas, bibliográficas, classificação das informações, análise de riscos e definição de controles, pois isso que norteou todo o texto. Nesse momento foram definidos alguns colaboradores que são parte do comitê de segurança da informação, juntamente com a Diretoria, para construir, manter, monitorar, analisar e melhorar essa política. Nessa fase usamos o ciclo PDCA para dar continuidade na política de segurança. Após a fase melhoria a política de segurança é comunicada a todos os colaboradores.

2.1.6 – Elaboração de Documentos Auxiliares

Na elaboração de documentos auxiliares, definiu-se que o primeiro documento a ser disponibilizado foi uma Declaração de Comprometimento, nela fica definido que tanto a diretoria e os colaboradores irão prezar pela segurança da informação da empresa.

(9)

2.1.7 Treinamento dos usuários

É de ciência que são nas pessoas que se tem início e fim a segurança das empresas, para isso foi primordial realizar treinamentos e conscientizar colaboradores da importância de se manter o ambiente da empresa seguro, instruindo de forma clara e mostrando como podem ocorrer falhas de segurança através de ataques de engenharia social e uso inadequado dos recursos, sempre mostrando quais os possíveis impactos de simples incidentes que podem se tornar catastróficos.

3 ANÁLISE DOS DADOS

Buscou-se efetuar durante a realização das visitas de observação e levantamento da empresa ContabilXY, entre os dias 20/05/2019 e 27/05/2019 entender qual real necessidade para implantação de uma política de segurança.

A investigação foi desenvolvida por meio de observação e levantamento de informações através de conversas e troca de informações. Notou-se logo no primeiro momento que a grande maioria das pessoas ali não tinha a mínima noção do que é segurança, do que é manter um ambiente computacional seguro, pois mantinham suas senhas de login anotadas em papeis adesivos sobre os teclados, ou seja faltava conhecimento dos colaboradores sobre como é manter uma empresa segura no âmbito da TI. Ninguém da empresa também tinha ciência de qual tipo de informação era realmente importante, qual eram os possíveis problemas que se teria em caso de falha de um equipamento, em um possível roubo de informação, a quem recorrer e quais eram os processos de recuperação.

Nessas visitas também foram solicitados algum tipo de documento que existisse referente a políticas de segurança, documentações de estrutura, de backup, de plano de continuidade, contato das pessoas responsáveis por cada sistema e as respostas normalmente foram não temos, nunca fizemos, nunca precisamos, quem tem o contato é o responsável pela empresa. Tudo sem uma estrutura de documentos criada e atualizada, para que fosse possível agilizar qualquer contato, suporte, recuperação em caso de incidentes.

Com isso foi sugerido iniciar o processo pelo levantamento da estrutura de TI para entender o que se tinha ali dentro, conhecer quais os prestadores de serviço dessa empresa e como são feitos os controles de acessos desses prestadores e por fim montar uma matriz qualitativas dos riscos e com isso documentar quais as possíveis melhorias possíveis para implantação de uma política de segurança.

(10)

Nesse momento identificou-se que, como não sabiam o que é realmente importante, definiu-se que tudo o que se possui de informação tornou-se importante e que mesmo que a consequência de perder alguma informação ou repassar informações indevidamente fosse desprezível e a probabilidade rara de acontecer, seria um problema sério. Após um momento de discussão, chegou-se ao consenso que dentro da matriz de risco utilizaríamos o que fosse considerado moderado, relevante e intolerável seriam nossas prioridades nesse primeiro momento. E se iniciou o processo de organização de estrutura por aí, sendo elas elencadas como principais, regras de backup e restore que não existia e a falta se indicou que como poderia acontecer um problema a perda de um dado qualquer teria consequências extremas, o controle de acesso as informações por setor e pessoas, pois uma pessoa que não precisa acessar aquela informação possui a probabilidade de acesso possivelmente e acaba usando ela de forma errada possui uma risco médio/critico, controle de acessos externos de parceiros e fornecedores, que sem esse controle não se sabia o que eles faziam é quase certo de se ter um problema e como não se tinha controle a consequência pode ser tornar crítica/extrema dependendo da situação.

Observou-se que não possuíam um ambiente confiável, pois todos tinham acesso a tudo, sem nenhum controle, em questão da integralidade até aquele momento estava integro, pois “estava funcionando” corretamente, mas não era 100% disponível, ou seja, qualquer falha em um equipamento simples ou sistema parava-se a empresa, pois não se sabia a quem recorrer ou o que precisa ser feito para voltar a funcionar.

Como a empresa não possuía controle, foi sugerido inicialmente o levantamento de todos os dados de fornecedores e parceiros que já prestaram algum tipo de serviço e documentado quando foi lembrado o que havia acontecido para que aquela empresa tivesse sido acionada, a partir daí com isso documentado, passou-se a documentar quem eram os atuais prestadores de serviço e parceiros que precisavam de acesso a estrutura e sugeriu a limitação do que realmente eles precisam acessar. Também se documentou a estrutura computacional da empresa para que fosse possível identificar as melhorias possíveis a serem implantadas e efetuar correções dos problemas existentes.

Em relação aos Diretores e colaboradores da empresa a parte do uso e conhecimento do que é segurança da informação se tornou o trabalho mais complexo, pois umas das principais indagações era, “sempre trabalhei sem isso e funcionou”, “nunca tive problema com isso”, “é mais burocracia pra gente e vai atrasar meu trabalho”, iniciou-se o trabalho de conscientização

(11)

que é explicar, que sempre se tem a primeira vez para acontecer um problema, também não é mais burocracia e sim mais controle, o trabalho continua a ser o mesmo, porém com controle.

4 CONCLUSÕES

Com base no que foi apresentado, a segurança da informação, apesar de ser um tema recente, faz-se necessário em todas as empresas, mesmo com tanta informação difundida, ainda se torna complexo seu entendimento e implementação, porém, com o seu uso no dia a dia acaba se difundindo e sendo mais trabalhado, com isso torna-se mais fácil a compreensão de que é realmente necessária e sua operacionalização de implantação nas empresas através de seus processos e acaba se tornando possível, mesmo em pequenas empresas que não possuem recursos, tanto de equipamentos, quanto de pessoal capacitado, falta de conhecimento e muitas vezes financeiros.

Sim é possível deixar as pequenas empresas com seu ambiente de TI seguro, confiável, integro e disponível, através de processos simples de conscientização de colaboradores e diretores da empresa para utilizarem de forma correta seus equipamentos, criando políticas de segurança utilizando normas de institutos nacionais e internacionais e as boas práticas do mercado, muitas vezes é necessário pequenos investimentos pois serão necessários alguns hardwares e softwares para isso, mas criando um planejamento para colocar isso em pratica, esse processo é possível.

Observa-se que tantas coisas que segundo as normas e as boas práticas não poderiam serem feitas e utilizadas, mas realmente não podem, não devem? Se naquela empresa em si, você chegar a mostrar tudo ao dono do que está certo e errado e ele mesmo assim, falar que o que está errado segundo as normas, mas para mim está funcionando e correto, ele afirma, vou manter assim e pronto. O que você vai poder fazer, sugere-se através de sua expertise que é montar um plano de como exemplificar, detalhar e fazer de tudo para que ele concorde em mudar para o que norma exemplifica e mostra como correto, mas se mesmo assim ele não aceitar, o que você irá fazer? Vai de seu bom senso assumir esse cliente ou não, se aceitar é claro documentando o que está errado e o que está certo, para que em um momento de incidentes você esteja respaldado que você o alertou que sua estrutura estava errada e mesmo assim em muitos casos esse dono da empresa quando ocorrer um problema vai virar pra você e dizer a culpa é sua por não ter alertado e não ter insistido para que ele mudasse de opinião e você não

(12)

o fez, como abordado anteriormente é um processo de entendimento complexo porem está mudando e ficando mais claro.

Mesmo assim esse processo vem se tornando mais amigável e entendível, com custo de implantação menor e que está abrindo um campo enorme para consultores e empresas especializadas nessa área a realizar a implantação de segurança em TI em todos os tipos de empresas, os próprios usuários estão começando a se conscientizar de que esse processo é bom para o desenvolvimento das suas atividades e que isso tornara o seu dia a dia menos perigoso em relação a segurança da informação.

(13)

REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da Informação: Técnicas de Segurança: Sistema de gestão da segurança da Informação: Requisitos. 2006.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação: Técnicas de Segurança: Código de prática para controles de segurança de informação: 2013.

DEBASTIANI, CARLOS ALBERTO. Definindo Escopo em Projetos de Software.2015. ENDEAVOR: Sabe o que acontece quando sua empresa não cuida da segurança da informação? Disponível em: https://endeavor.org.br/tecnologia/seguranca-da-informacao/ acessado em 07 de Julho de 2019

IDC: Mercado de PCs mantém crescimento em 2018, segundo IDC Brasil: Disponível em

http://br.idclatin.com/releases/news.aspx?id=2481 acessado em 07 de Julho de 2019

LUMIUN: Segurança da informação em 2018: fatos relevantes e o aumento dos ataques virtuais. Disponível em https://www.lumiun.com/blog/seguranca-da-informacao-em-2018-fatos-relevantes-e-o-aumento-dos-ataques-virtuais/ acessado em 07 de julho de 2019

LUMIUN: Segurança da informação nas empresas: proteção da rede, sistemas atualizados e educação dos usuários. Disponível em https://www.lumiun.com/blog/seguranca-da-informacao-nas-empresas-protecao-da-rede-sistemas-atualizados-e-educacao-dos-usuarios/

acessado em 07 de julho de 2019

MONTEIRO, INÁ LUCIA CIPRIANO DE OLIVEIRA. Proposta de um Guia para elaboração de políticas de segurança da informação e comunicação em órgãos da APF. Dissertação (Mestrado) - Universidade de Brasília. Brasília-DF, 2009.

NAKAMURA, EMILIO TISSATO. Segurança de Redes em Ambientes Cooperativos. São Paulo. P31.

NETTO, A. S; SILVEIRA, M. A. P. Gestão da Segurança da Informação: Fatores que Influenciam sua Adoção em Pequenas e Médias Empresas. Revista de Gestão da Tecnologia e Sistemas de Informação. Vol. 4, No. 3, p. 375-397, 2007.

OLIVEIRA, M. S. et al. Aplicação das normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 em uma média empresa. Revista Eletrônica de Sistemas de Informação e Gestão Tecnológica. Vol. 06, Nr. 02, p. 37-49, 2015.

PMBOK: Um Guia para o corpo de conhecimento de Gerenciamento de Projetos (Guia PMBOK) - Quarta Edição. Project Management Institute, 2008

SEBRAE: Anuário do Trabalho nos Pequenos Negócios 2016 VF.pdf – Disponível em

(14)

ho%20nos%20Pequenos%20Neg%C3%B3cios%202016%20VF.pdf acessado em 07 de julho de 2019

STEFANINI: Investir em segurança da informação é primordial para o sucesso da sua empresa. Disponível em https://stefanini.com/pt-br/trends/artigos/investir-em-seguranca-da-informacao-e-primordial-para-sua-empresa acessado em 07 de julho de 2019

WIKIPÉDIA: Segurança da informação. Disponível em

https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o acessado

Referências

Descarregar agora ( PDF - 14 páginas - 881.98 KB )

Documentos relacionados

Uma abordagem para análise de cobertura de código em cenários de evolução

Assim, este trabalho apresenta uma abordagem que tem como objetivo principal: (i) analisar a cobertura de código levando em consideração os fluxos de chamadas existentes no sistema

Análise teórico‐experimental de ligações soldadas entre pilares de perfis de seção circular e vigas de perfis I.

Sylvia L. F. Reis 1 , Arlene M. S. Freitas 2 * , Geraldo D. de Paula 3  Marcílio S. R.  Freitas 4    

Campylobacter spp. e sua ocorrência em abatedouros de aves

Além da multiplicidade genotípica de Campylobacter spp., outro fator que pode desencadear resistência à desinfecção é a ineficiência dos processos de limpeza em si,

Gestão e Contabilidade Ambiental Em Empresas do Rio Grande do Sul

Martins e De Luca (1994) mencionam que o passivo ambiental é toda a agressão que se pratica ou praticou contra o meio ambiente. Uma empresa possui um passivo ambiental quando

Principais propostas da reforma da previdência para alteração do benefício de pensão por morte em face dos princípios da seguridade e da previdência social

direitos protegidos pelo Princípio da vedação do retrocesso social (BADARI, 2019, não paginado). Também deve ser levado em conta as situações de fato vivenciadas

Validação no Children's Hospital Early Warning Score (CHEWS) em português para avaliação do risco de deterioração clínica em pacientes de unidades pediátricas

VALIDAÇÃO DO CHILDREN’S HOSPITAL EARLY WARNING SCORE (CHEWS) EM PORTUGUÊS PARA AVALIAÇÃO DO RISCO DE DETERIORAÇÃO CLÍNICA.. EM PACIENTES DE

Variabilidade espacial de propriedades químicas do solo e da produtividade de citros na Amazônia Oriental

Através dos modelos ajustados aos semivariogramas foi possível realizar a estimativa dos valores amostrados pelo método da krigagem ordinária, para construção dos mapas

A Estrela de Prata - Jeannette Walls

Eu me senti totalmente desperta e cheia de energia, como quando se tem que pular para fora da cama e começar a fazer coisas porque você tem um dia cheio à