Resumo Profissional
Fabiana Morgante de Alencar • 19 anos de experiência na área de TI. Sempre no Segmento Portuário. • MBA em Tecnologia da Informação (FGV) e Bacharel em Ciências da Computação (Universidade Católica de Santos) • Certificação ISO 27002, auditora interna ISO 9001 e 14001 • Atualmente sou Gerente de TI, na Brasil Terminal Portuário S/A e respondo pelas áreas de Infraestrutura, Sistemas e Suporte.
Principais Implementações
Fabiana Morgante de Alencar • Implementação de Terminal Operation System (TOS) – Sparcs (Navis) – TOPS (RBS) • Implementação de Enterprise Resource Planning (ERP) – SAP • Implementação de Sistema para Optical Character Recognition (OCR) – Visy – CAMCO • Implementação de Softwares para automação de rotinas de terminais com a completa integração entre: TOS, ERP e órgãos anuentes.
Segurança de Informação
O que é informação? Segundo NBR / ISO 27002:2005 Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e consequentemente necessita ser adequadamente protegida.
Segurança de Informação
Quanto vale a informação? • Ela pode significar o aumento do faturamento da empresa. Quanto bem usada e protegida. • Ela pode significar um prejuízo financeiro ou até mesmo o fechamento da empresa em caso de falhas. • Exemplo: Redução do custo operacional após identificar que uma carreta aguarda em média 2 minutos até que a nova posição seja disponibilizada. Com isto o custo operacional diminui e consequentemente a margem de faturamento aumenta.
Segurança de Informação
Onde está a informação?
Ela está viva por toda a organização 1. 2. 3. 4. 5. 6.
Sistemas; Relatórios; Pessoas; Arquivos Físicos ou Digitais; E-mails; Manuais;
Segurança de Informação
Como é a informação? A informação pode estar completa, particionada, protegida ou não... Criada Transmitida Processada Usada Armazenada Corrompida Perdida Destruída
Segurança de Informação
Definição e Recursos Técnicos Segundo NBR / ISO 27002:2005 É a proteção da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.
Recursos Técnicos Equipe de TI focada em segurança e especializada com certificações: ISF – ISO/IEC 27002 – Information Security Standard ITIL V3 – Information Technology Infrastructure Library CDCP – Certified Data Centre Professional DBA – DataBase Administrator LPI – Linux Professional Institute
Segurança de Informação
Riscos/Ameaças sobre a Informação
Incêndio
Invasão pela Internet
Senhas desprotegidas
Informações secretas desprotegidas
Venda de informação
Desastres Naturais
Segurança de Informação
Exemplos Riscos Indisponibilidade / continuidade do negócio
Operação de Navio parada Gate Parado
Perda da integridade dos dados
Registros errados na base de dados
Roubo de Informação
Vazamento de Informações de Clientes para o concorrente
Imagem da empresa abalada, ou perda de credibilidade
Indisponibilidade de serviço que afetam a comunidade local
Segurança de Informação
Análise dos Riscos IMPORTANTE Nem sempre os riscos são técnicos
Análise de Riscos Quantitativa: Baseada no Impacto do risco e calcula as perdas financeiras Ex: Informações da localização e mercadoria de um container, são divulgadas erroneamente por um colaborador da empresa.
Qualitativa: Baseada em cenários e/ou situações. Os riscos e ameaças são baseadas no sentimento das pessoas.
Segurança de Informação Mitigar Riscos e Proteger a Informação Datacenter em local com pouca circulação, com monitoramento e controle de acesso Controle e monitoramento de Incêndio e vazamento de água Nobreaks e Geradores para garantir a continuidade dos servidores e dispositivos de rede Monitoramento dos Servidores
Política de Backup definida, implementada e validada periodicamente O DataCenter não deve ficar no piso térreo ou subterrâneo da empresa
Segurança de Informação Mitigar Riscos e Proteger a Informação Antivírus
Controle de acesso a rede Controle de acesso com perfil definido de acordo com a matriz de risco
Rastreabilidade das informações Em sistemas: Logs de acesso nas aplicações e transações Na rede: acesso limitado a respectiva função do colaborador Auditar a rede para identificação de falhas de segurança (periodicamente) - Scan
Segurança de Informação Mitigar Riscos e Proteger a Informação Política de Segurança da Informação Conceito, papéis e aplicabilidade Código de conduta dos colaboradores claro e transparente Descrição das regras para acesso a email, rede, internet, dispositivos e todos os recursos que a empresa disponibiliza para os colaboradores Descrições das punições em caso de quebra de conduta Propriedade intelectual
Segurança de Informação Mitigar Riscos e Proteger a Informação Plano de Recuperação de Desastres (DRP) Identificar o que a empresa precisa manter em alta disponibilidade Criar uma segunda estrutura de datacenter que comporte esta necessidade em outra localidade (preferencialmente fora da cidade onde a empresa está localizada) Manter o ambiente atualizado Validar e testar o ambiente de acordo com a definição da política (testes parciais e integrais)
Segurança de Informação Case – BTP A Brasil Terminal Portuário (BTP) é uma joint-venture entre os grupos internacionais Terminal Investment Limited (TIL), com sede em Bergen op Zoom, na Holanda e APM Terminals, com sede em Haia, também na Holanda; ambos com vasta experiência em construção, gerenciamento e operação portuária em dezenas de países e culturas ao redor do mundo.
Por ser uma StartUp, a área de TI iniciou a criação de procedimentos, controles e políticas, para gerenciamento de seus ativos de TI. Exemplos: Política de Backup, procedimentos para inicialização de servidores e serviços, controle e gerenciamento de memória e espaço físico de servidores, dentre outros.
Segurança de Informação Case – BTP Em Julho de 2014, foi implementada a primeira versão da Política de Segurança da Informação. Foi realizada uma campanha para todos os colaboradores no intuito de conscientizar os direitos e deveres de cada um.
Scan – Utilizamos um software de gerenciamento e validação das vulnerabilidades de rede/ambiente de TI. O processo de validação é mensal e o trabalho para eliminar as vulnerabilidades é feito por grau de criticidade, das críticas até o nível mais baixo.
Segurança de Informação Case – BTP De acordo com a Política de Backups, temos backups diários, semanais e mensais. Sendo que, a rotina de validação do Backup é feita mensalmente.
Criptografia – proteção dos notebooks corporativos. WPA2 – Utilização do protocolo WPA2 para toda a rede WiFi. Senhas – de acordo com a política de senhas, as mesmas devem ser trocadas de acordo com a periodicidade definida, por ambiente. Perfis de Acesso – De rede e sistema são disponibilizados de acordo com a necessidade de trabalho de cada colaborador.
Segurança de Informação Case – BTP Internet – Todas as navegações aos sites são monitorados e existem perfis de acesso definidos por colaborador e/ou grupo de colaboradores.
Reuniões periódicas, gerenciamento diário e ações preventivas para garantir a segurança e a alta disponibilidade do ambiente, fazem parte da tarefa diária do departamento.
Obrigada!
Contato: f.Alencar@btp.com.br