"Conhecimento sem fronteiras"

Conheça nossos
cursos e-Learning
Seis Sigma
Gerenciamento de Projetos
Planejamento Estratégico através do
Balanced Scorecard


ISO 9001
Sistema de Gestão da Qualidade
5S - Housekeeping
MASP - Método de Análise
e Solução de Problemas
Auditor ISO 9001
Formação de Auditores Internos
ISO 14001
Sistema de Gestão Ambiental
Auditor ISO 14001
Formação de Auditores Internos
OHSAS 18001
Sistema de Gestão de Saúde e Segurança Ocupacional
SA 8000
Sistema de Gestão de Responsabilidade Social
ISO 27001
Sistema de Gestão Segurança da Informação
ISO 20000
Sistema de Gerenciamento de Serviços de TI
COBIT
Governança de TI

Gestão de Segurança da Informação


Conheça abaixo o nosso portfolio de serviços oferecidos na área de Governança de TI

• Análise de Conformidade • Plano de Continuidade do Negócio (PCN)
• Documentação Normativa - Política de Segurança • Disaster Recovery Plan
• Classificação da Informação • Gestão de Serviços de TI (ITSM)
• Gerenciamento de Mudanças • Documentação Normativa – Política de Segurança
• Teste de Invasão e Análise de Vulnerabilidades • Gerência de Incidentes
• Gestão de Ativos • Gerência de Problemas
• Anti-vírus – códigos maliciosos • Gerência de Mudanças
• Modelagem de Processos • Gerência de Release (Liberações)
• Plano de Continuidade do Negócio (PCN) • Gestão de Ativos
• Disaster Recovery Plan • Gestão de Níveis de Serviços
• Gestão de Serviços de TI (ITSM) • Gestão Financeira de TI
• Gestão de Continuidade de Serviços de TI • Gestão de Tecnologia da Informação
Análise de Conformidade CobiT

Análise de Risco

Processo que identifica o valor dos ativos e suas ameaças/vulnerabilidades. Quantifica a exposição da perda e recomenda como alocar recursos às contramedidas para minimizar estas perdas.

^ TOPO

Análise de Conformidade

Análise para verificação do atendimento a qualquer dos requisitos identificados nas normas. Baseia-se em evidências objetivas.  As não-conformidades  informam tanto à gerência do auditor quanto do auditado as maneiras em que o Sistema de Gestão da Qualidade da empresa deixaram de atender aos requisitos e são o ponto de partida da ação corretiva. Desta forma é necessário fazer Declarações de Não-Conformidades claras e precisas.

^ TOPO

Documentação Normativa – Política de Segurança

Os sistemas de qualidade compõe-se de documentos normativos e de documentos comprobatórios. 

A documentação normativa é aquela que definem como as atividades são executadas. É o planejamento, a previsão de como os processos devem ser realizados. A Política de Segurança é um exemplo de documentação normativa.

As decisões que você como administrador toma ou deixa de tomar, relacionadas à segurança, irão determinar quão segura ou insegura é a sua rede, quantas funcionalidades ela irá oferecer, e qual será a facilidade de utilizá-la. No entanto, você não consegue tomar boas decisões sobre segurança, sem antes determinar quais são as suas metas de segurança. Até que você determine quais sejam elas, você não poderá fazer uso efetivo de qualquer coleção de ferramentas de segurança pois você simplesmente não saberá o que checar e quais restrições impor.

Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.. Seus objetivos devem ser comunicados a todos os usuários, pessoal operacional, e gerentes através de um conjunto de regras de segurança, chamado de "política de segurança". O principal propósito de uma política de segurança é informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação

^ TOPO

Classificação da Informação

Permite classificar a informação quanto a confidencialidade, integridade e disponibilidade para medir o prejuízo com a perda de um destes três elementos. A classificação da informação é a primeira atividade de uma análise de risco. Na seqüência mede-se as ameaças e vulnerabilidades a que estas informações estão sujeitas.

^ TOPO

Gerenciamento de Mudanças

Responsável pela administração do processo de mudanças. Este processo não é o encarregado pela implementação das mudanças, apenas irá garantir que as mudanças estejam aprovadas e que sejam implementadas de forma eficiente, dentro dos custos adequados e com risco mínimo para os serviços novos ou existentes.

O processo de mudanças na visão do ITIL:

  1. Requisição de Mudança (RFC)
  2. Registro e Classificação
  3. Monitoração e Planejamento
  4. Aprovação
  5. Construção e Teste
  6. Autorização da Implementação
  7. Implementação
  8. Avaliação

^ TOPO

Teste de Invasão e Análise de Vulnerabilidades

O Teste de Invasão tem como objetivo encontrar falhas de segurança e penetrar nos sistemas da empresa, sensibilizando o cliente do risco de violação das suas informações ou da indisponibilidade dos seus serviços. Intrumentos como honeypot  (ativo desprotegido específico para os testes) é bastante utilizado.

A análise de vulnerabilidades são métodos e produtos que permitem à corporação realizar verificações regulares em determinados componentes de sua rede como, por exemplo, servidores e roteadores. O objetivo destas ferramentas é encontrar brechas de sistemas ou configurações.

Os quatro pilares do Gerenciamento de Vulnerabilidades:

  1. Conheça o que você tem
  2. Conheça as exposições
  3. Conheças as ações a executar e implementar
  4. Meça o status, o progresso e a conformidade

^ TOPO

Gestão de Ativos

A Gestão de Ativos está baseada no gerenciamento e controle dos componentes de um processo de negócio como pessoas, sistemas, equipamentos, instalações, etc.

^ TOPO

Anti-vírus – códigos maliciosos

Faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrônico. Basicamente, sua função está atrelada à ponta do processo, isto é, ao usuário que envia e recebe dados, mas as vezes pode estar no servidor ou até mesmo em um provedor de serviços. Os hackers já não são mais vândalos virtais, Agora, eles criam vírus e worms que podem viver atrás dos Trojan Horses e que controlam a digitação dos usuários e procuram por informações sensíveis tais como as de cartões de crédito.

^ TOPO

Modelagem de Processos

É um Entendimento da organização através da representação de seus processos de negócios. A modelagem é uma técnica para compreensão dos processos de negócio de uma organização, podendo ser considerada um mapa que simula o mundo real através de pessoas, materiais de trabalho e distribuição de atividades. É uma poderosa ferramenta gerencial para identificação de oportunidades de melhorias e visualização das restrições e pontos críticos ou complexos.

^ TOPO

Plano de Continuidade do Negócio (PCN)

Um Plano de Continuidade de Negocio é um conjunto de ações estruturadas a ser adotadas pelas Organizações para suportar problemas e situações adversas durante a ocorrência de um desastre.

  1. Como sobreviver após um desastre de grandes dimensões?
  2. Como preparar uma organização para um evento desta proporção?
  3. Como manter esta Organização viva durante este período?
  4. Como retornar as operações normais do dia-a-dia?

Um conjunto de ações preventivas torna possível a continuidade das operações das áreas de negocio de uma Organização após a ocorrência de um desastre que impossibilitem a utilização parcial ou total do ambiente corporativo.

O PCN é um Processo, elaborado de acordo com informações levantadas junto a cada um dos gestores de processos da empresa.

^ TOPO

Disaster Recovery Plan

Destina-se a fazer face a catástrofes de grande impacto, mas com fraca probabilidade de ocorrência (inundações, por exemplo). Envolve meios de vulto, como instalações alternativas (edifícios, equipamentos, etc.) e planos de deslocação de pessoas.
Um conceito muito importante no PCN e DRP é o Business Impact Analysis (BIA). Algumas perguntas chaves nesta análise: Será o novo sistema crítico para a missão da organização? Que áreas de negócio serão afetadas e por quanto tempo? Da análise de impacto no negócio (BIA) resulta a definição de conceitos/noções importantes como:

  1. Cost of Downtime Analysis. Impacto das perdas financeiras, de reputação e de produtividade se o sistema estiver indisponível por um certo período de tempo
  2. RTO (Recovery Time Objective). O intervalo de tempo dentro do qual o sistema deverá estar de novo em produção, após a ocorrência do desastre.
  3. RPO (Recovery Position Objective). Posição recuperada, em termos de dados, correspondente ao último backup efetuado (independentemente de este ter sido realizado 24 horas ou 2 minutos antes do desastre).

 

^ TOPO

Gestão de Serviços de TI (ITSM)

Análise de Conformidade

Análise para verificação do atendimento a qualquer dos requisitos identificados nas normas. Baseia-se em evidências objetivas.  As não-conformidades  informam tanto à gerência do auditor quanto do auditado as maneiras em que o Sistema de Gestão da Qualidade da empresa deixaram de atender aos requisitos e são o ponto de partida da ação corretiva. Desta forma é necessário fazer Declarações de Não-Conformidades claras e precisas.

^ TOPO

Documentação Normativa – Política de Segurança

Os sistemas de qualidade compõe-se de documentos normativos e de documentos comprobatórios. 

A documentação normativa é aquela que definem como as atividades são executadas. É o planejamento, a previsão de como os processos devem ser realizados. A Política de Segurança é um exemplo de documentação normativa.

As decisões que você como administrador toma ou deixa de tomar, relacionadas à segurança, irão determinar quão segura ou insegura é a sua rede, quantas funcionalidades ela irá oferecer, e qual será a facilidade de utilizá-la. No entanto, você não consegue tomar boas decisões sobre segurança, sem antes determinar quais são as suas metas de segurança. Até que você determine quais sejam elas, você não poderá fazer uso efetivo de qualquer coleção de ferramentas de segurança pois você simplesmente não saberá o que checar e quais restrições impor.

Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.. Seus objetivos devem ser comunicados a todos os usuários, pessoal operacional, e gerentes através de um conjunto de regras de segurança, chamado de "política de segurança". O principal propósito de uma política de segurança é informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação

^ TOPO

Gerência de Incidentes

Possui a responsabilidade de solucionar incidentes o mais rápido possível e manter comunicação contínua, entre o provedor de TI (interno ou externo) e seus clientes/usuários sobre a situação do evento de serviço (por exemplo, escalação, tempo estimado de solução, etc.)

^ TOPO

Gerência de Problemas

O primeiro objetivo do Gerenciamento de Problemas é minimizar o impacto adverso dos incidentes e problemas no negócio, causado por erros de infra-estrutura de TI.  O segundo objetivo é prevenir a recorrência de incidentes associados a esses erros. Para atingir esse objetivo, o Gerenciamento de Problemas tenta encontrar a causa raiz dos incidentes e inicia as ações para melhorar ou corrigir a situação.

O Gerenciamento de Problemas reativo trata da solução de problemas em resposta a um ou mais incidentes. O Gerenciamento de Problemas pro-ativo lida com a identificação e a solução de problemas e erros conhecidos antes que, em primeiro lugar, os incidentes ocorram.

^ TOPO

Gerência de Mudanças

Responsável pela administração do processo de Mudanças. Este processo não é o encarregado pela implementação da mudança, apenas irá garantir que as mudanças estejam aprovadas e que sejam implementadas de forma eficiente, dentro dos custos adequados e com risco mínimo para os serviços novos ou existentes.  Outra responsabilidade é o planejamento das mudanças. Apenas mudanças planejadas e adequadamente sincronizadas podem ser controladas de forma efetiva.

As principais etapas de um processo de mudanças são:

  1. Receber, registrar e filtrar mudanças;
  2. Avaliar o impacto, custo, benefícios e risco da mudanças propostas;
  3. Justificação e aprovação da mudança;
  4. Gerenciar e coordenar a implementação;
  5. Instaurar o CCM (Comitê de Mudanças Planejadas) e CCM/CE (Comitê de Mudanças Emergenciais);
  6. Monitoração e Relatórios;
  7. Revisão e Fechamento;

^ TOPO

Gerência de Release (Liberações)

Garante que todos os aspectos de uma liberação, tanto técnicos como não-técnicos, sejam considerados conjuntamente. O foco é a proteção do ambiente de produção e seus serviços através do uso de procedimentos e verificações eficazes.

As principais etapas do Release na visão de ITSM (Gerenciamento de Serviços de TI) são:

  1. Planejar e supervisionar;
  2. Desenho dos procedimentos;
  3. Controlar mudanças;
  4. Gerenciar as expectativas dos clientes;
  5. Acordar o conteúdo e o plano de rollout;
  6. Implementar novo SW ou HW no ambiente operacional;
  7. Atualizar o BDGC;
  8. Manter de forma segura, os mestres (originais) do software na DSL (biblioteca definitiva de software) e hardware na DHS (bilbioteca definitiva de hardware sobressalente).

^ TOPO

Gestão de Ativos

A Gestão de Ativos está baseada no gerenciamento e controle dos componentes de um processo de negócio como pessoas, sistemas, equipamentos, instalações, etc.

^ TOPO

Gestão de Níveis de Serviços

Manter e melhorar gradualmente a qualidade do serviço de TI, através de um ciclo constante de acordos, monitoração e relatórios sobre as realizações do serviço em TI, e estimular ações para a erradicação de serviços ineficientes.

O processo de Gestão de Níveis de Serviços é formado por:

  1. Elaboração do Catálogo de Serviços;
  2. Acordo de Níveis de Serviços (ANS)
  3. Acordo de Nível Operacional (ANO)
  4. Ficha de Especificação do Serviço
  5. Plano de Qualidade de Serviço
  6. Monitoração, Revisão e Relatórios
  7. Plano de Melhoria dos Serviços (PMS)

^ TOPO

Gestão Financeira de TI

Identifica, calcula e gerencia custo da prestação/entrega de serviços em TI.

A Gestão Financeira de TI é formada por três processos:

  1. Previsão Orçamentária
  2. Contabilidade de TI
  3. Cobrança reversa (chargeback)

^ TOPO

Gestão de Continuidade de Serviços de TI

Suporta todo o processo de Gerenciamento de Continuidade dos Negócios, garantindo que todo o aparato (facilidades) técnico de TI e serviços (incluindo hardware, redes, aplicações, telecom, suporte técnico e central de serviços), possa ser recuperado dentro dos prazos de negócio necessários e acordados.

^ TOPO

Gestão de Tecnologia da Informação
Análise de Conformidade CobiT

• IT Governance

• Auditoria de Sistemas

^ TOPO

 

   

Endereço:
Alameda Bruxelas, n.║ 95 - Alphaville - Barueri - SP - CEP 06474-150
Copyright © 2007 Todos os direitos reservados.