LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS
TATIANE ROCHA GTI – V – Matutino Prof.: Marcelo Faustino
Plano de Segurança da Informação
1
P lano d e Se gu ranç a da Infor m aç ãoSumário
1.
O
BJETIVO... 2
2.
DESCRIÇÃO DO SERVIÇO... 2
3.
ETAPAS DE EXECUÇÃO... 2
4.
VALOR DO SERVIÇO... 3
5.
CASO DE NEGÓCIO... 3
6.
PRIORIDADES... 3
7.
R
ISCOS... 4
8.
OFERTAS E PACOTES... 4
9.
CUSTOS E PREÇOS... 4
10.
REFERÊNCIAS BIBLIOGRÁFICAS... 5
2
P lano d e Se gu ranç a da Infor m aç ão1. Objetivo
Elaborar um Plano de Segurança da informação alinhado aos princípios definidos pelo processo Segurança da Informação do ciclo Desenho de Serviço do ITIL V3. O Plano aplica-se ao Supermercado Batuta e fornece políticas e ações para garantir a integridade/segurança dos dados e informações.
2. Descrição do serviço
Serviço de implantação de uma política de segurança da informação interna, externa e virtual. Para tal, é necessário observar os principais aspectos:
Lógico: informações, sistemas, armazenamentos, construção de sistemas e bancos de dados. Ambiental: de TI, locais, layouts, conexões, segregações de ambientes.
Organizacional: atividades, pessoas, segregação de funções, conhecimento, consciência, compromisso.
Comunicação - internet, intranet, e-mail.
Segurança interna: estabelecer controles lógicos para prevenir o acesso não autorizado aos sistemas da empresa, sendo utilizados login e senha para o acesso e manipulação das informações. Utilização de criptografia e acesso aos dados com conexões seguras SSL.
Segurança externa: os colaboradores terão acesso ao ambiente de trabalho mediante cadastro no banco de dados de funcionários e crachá de identificação.
Segurança virtual: adotar alguns mecanismos de segurança tais como antivírus, firewall, criptografia, IDS (Intrusion Detection Systems, ou Sistemas de Detecção de Intrusão), backup e definições no servidor Proxy (termo utilizado para definir os intermediários entre o usuário e seu servidor, desempenha a função de conexão do computador (local) à rede externa (Internet)).
3. Etapas de execução
Identificar e examinar as atividades de negócio da organização e a influência que as informações e respectivos meios e ambientes em que são tratadas exercem junto a essas atividades, visando o dimensionamento do nível de Segurança da Informação necessário.
Avaliar o nível de Segurança da Informação existente e praticada na organização, identificando mecanismos e ferramentas utilizadas e realizando os necessários testes de vulnerabilidades.
Dimensionamento do grau de risco ao qual está exposta a organização, considerando o nível de Segurança da Informação constatado e os respectivos recursos envolvidos, tais como ambientes, hardware, software, dados, pessoas, documentação e materiais.
Definição, planejamento e execução de ações prioritárias e emergenciais, visando a proteção das informações.
3
P lano d e Se gu ranç a da Infor m aç ão Elaboração da Política de Segurança da Informação, que caracterize o conjunto de princípios, valores e propósitos da organização, traduzidos em regras específicas para proteger as informações que são de sua propriedade ou que estão sob sua responsabilidade.
Implantação da Política de Segurança da Informação.
Conscientização das pessoas. Trata-se de programas de treinamento e desenvolvimento de pessoal destinado a funcionários, colaboradores, prestadores de serviços, fornecedores, entre outros, para que possam entender a importância e a necessidade do engajamento de todos nesta causa comum e do comprometimento com a prática efetiva de Segurança da Informação.4. Valor do serviço
Nesse serviço identifica-se o valor percebido pelo cliente e seu impacto caso algumas políticas de
segurança não sejam adotadas.
Caixa inoperante. Impacto: clientes irritados; desistência da compra; perda na venda.
Marcação de preços. Impacto: preços na etiqueta não conferem com valor do produto ao
passar pelo caixa, pode gerar insegurança nos clientes.
Sistema de compras. Impacto: impossibilidade de realizar pedidos de mercadorias.
Incompatibilidade nas informações do estoque. Impacto: quantidade de mercadorias no
sistema não confere com a quantidade de mercadorias no estoque.
5. Caso de negócio
Dentro de um negócio existem problemas que ocorrem e acarretam desgastes e podem atrapalhar a imagem da organização, como por exemplo: o caixa deixar de funcionar, mesmo que por um período pequeno, pode implicar em desistência e irritabilidade para os clientes; mercadorias com valores diferentes ao passar no caixa pode gerar desconfiança de em relação ao negócio.
6. Prioridades
A política de segurança da informação é a formalização explícita de quais ações serão realizadas em um sentido único de garantir a segurança e disponibilidade dos mesmos, esta política é de extrema importância uma vez que descreve as regras necessárias para o uso seguro dos sistemas de informação.
Na segurança interna serão estabelecidos os controles de acesso às informações. Nível de Prioridade:
4
P lano d e Se gu ranç a da Infor m aç ão Para tratar da segurança virtual devem-se adotar alguns mecanismos de segurança tais como, antivírus, firewall, criptografia, IDS (Intrusion Detection Systems, ou Sistemas de Detecção de Intrusão), backup e definições de domínio no Proxy. Nível de Prioridade: máximo.
Segurança externa os colaboradores terão acesso ao ambiente de trabalho mediante cadastro no banco de dados de funcionários e crachá de identificação. Nível de Prioridade: máximo.
Sistema de compras.
Nível de Prioridade: médio.
Incompatibilidade nas informações do estoque.
Nível de Prioridade: médio.7. Riscos
Risco de segurança são uma combinação de ameaças, vulnerabilidades e impactos. Ameaças são eventos que exploram vulnerabilidades (fragilidades) e podem causar danos. Impacto é a consequência de uma vulnerabilidade ter sido explorada por uma ameaça.
Ameaças
Possíveis soluções
Falha no fornecimento de energia elétrica Possuir um gerador de energia
Desastres naturais Backup de todas as informações armazenadas nas nuvens
Parada de um provedor de serviço externo Possuir um segundo provedor de serviço Parada de um sistema crítico da empresa/ Falhas de
Software/ Falhas de Hardware Ter uma equipe de TI especializada para resolver problemas ou contatar o responsável pelo SW
Erros humanos Treinamentos e capacitações para todos os envolvidos
8. Ofertas e pacotes
Nesse momento os serviços que serão entregues devem ser definidos obedecendo ao seguinte ciclo:
Definir: Estabelecer os requisitos para os novos serviços.
Analisar: Analisar o serviço quanto à viabilidade financeira e capacidade operacional.
Aprovar: Tomar decisões de manter, substituir, aprimorar ou retirar serviços do portfólio.
Contratar: Comunicar as ações à organização para implementar serviços aprovados e alocar orçamentos e recursos.9. Custos e preços
5
P lano d e Se gu ranç a da Infor m aç ãoCustos - Em termos amplos podemos conceituar custo como sendo o somatório das remunerações
percebidas por cada classe de pessoas ou coisas envolvidas com o processo produtivo de um bem ou serviço, isso, desde a fase inicial até a fase final de elaboração desse mesmo bem ou serviço, ou seja, desde o estado natural do produto até o seu estado de consumo ou utilização.
Preços - O preço é o valor estabelecido pelo vendedor para efetuar a transferência de um bem ou serviço a
uma terceira pessoa. No preço está incluído, além dos custos e das despesas, o eventual lucro ou prejuízo do empresário. Assim, concluímos que o preço nada mais é do que a soma dos custos, das despesas e do lucro obtido pelo dono do negócio com a venda de seu produto.
Aquisição de equipamentos e serviços de TI:
Infraestrutura de serviços: dar assistência ao negócio, disponibilizar serviços/recursos, manter serviços existentes e por último, solucionar problemas - (Segurança da Informação; Armazenamento; Virtualização; Rede de Dados) – R$ 55.000,00 (aproximadamente)
Software – R$ 45.000,00 (aproximadamente)
Hardware (computadores desktop/notebook; equipamentos de rede; servidores) – R$ 180.000,00 (aproximadamente)
Treinamentos (específico e geral para colaboradores) – R$ 32.000,00 (aproximadamente)
10. Referências Bibliográficas
Material fornecido pelo professor no 4º período de GTI
https://infotechsolucoes.wordpress.com/2011/03/25/conceito-de-infraestrutura-de-ti/ http://www.vert.com.br/solucoes/infraestrutura-de-ti/