Política de Segurança

O que é Política de Segurança da Informação?

Definição de Política

“Política significa coisas diferentes para diferentes pessoas” (Tom Peltier).

Para nosso propósito, a melhor definição de Política é a “arte e ciência de cuidar dos negócios”.

Significando que a segurança só pode ser realizada se forem considerados todos os aspectos - não somente a elaboração da sua documentação.

Política de Segurança

Situação atual

AnálisePolítica

Implementação

Administração

Política de Segurança

Modelo PDCA

Plan

Action Do

Check

Informação

A informação é um ativo que como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida.

A segurança da informação protege a informação de diversos tipos de ameaças para garantir:

• a continuidade dos negócios, • minimizar os danos aos negócios• maximizar o retorno dos investimentos e as oportunidades de negócios.

Segurança da InformaçãoPreservação da confidencialidade, integridade e disponibilidade da informação.

Garantia de que o acessoà informação seja obtido

somente por pessoas autorizadas.

Salvaguarda da exatidãoe completeza da

informação e dos métodos de

processamento.

Garantia de que os usuáriosautorizados tenham

acesso à informação e aos ativos correspondentes

sempre que necessário.

Ativo

Tudo que manipula informação,inclusive ela própria.

• Tecnologia• Infra-estrutura• Aplicações• Informações• Pessoas

Informação

As formas da informação

• Impressa ou escrita em papel• Armazenada eletronicamente• Transmitida pelo correio ou através de meios eletrônicos• Mostrada em filmes • Falada em conversas

Política de segurança

É importante para:• Garantir a implementação de controles de

segurança apropriado;• Auxiliar na seleção de produtos e no

desenvolvimento de processos;• Disciplinar usuários sobre violações de segurança;• Documentar as preocupações da alta direção sobre

segurança;• Transformar a segurança em um esforço comum.

• É o conjunto de critérios e soluções para problemas tecnológicos e humanos.

• É o primeiro passo efetivo para resolver qualquer esforço de segurança da informação.

• Existe para evitar problemas.

Política de Segurança

Fazer Análisede Risco

Problemas =

Vulnerabilidades e Ameaças

Deve se basear na análise de risco e visa à padronização de ambientes e processo de modo a evitar as vulnerabilidades existentes.

Diretrizes

Normaspara quem cuida para quem usa

Procedimentose Instruções

ESTRATÉGICO

TÁTICO

OPERACIONAL

Política de SegurançaModelo

Diretriz (exemplo)

Somente será permitido o uso de recursos homologados e autorizados pela empresa, desde que sejam identificados de forma individual, inventariados, com documentação atualizada e estando de acordo com as cláusulas contratuais e a legislação em vigor.

Norma (exemplo)

Os seguintes serviços TCP/IP são considerados recursos que podem ser disponibilizados:

• HTTP, para acesso a Web sites externos

• SSL e HTTPS, para transações seguras, com a utilização de criptografia entre o browser e o servidor Web.

Quem é oresponsável

O queserá feito

Em quelocal

Quandoperíodo

Instruçãode

Trabalho

Ação corretiva(que fazer)

Ação corretiva(quem procurar)

Administrador ExecutarPower-on

Firewall eRoteador

Todo diaàs 8hs.

IT-IN-03 Acionarfornecedor demanutençãode hardware

Sr. Fulano notelefone 266-6666

Administrador ListarLOG

Firewall Todo diaàs 10hs

IT-IN-04

Administrador Verificarincidentesdesegurança

sistemadesegurança

Todo diapelamanhã

IT-IN-06 Encontrandoincidente,executarprocedimentoPT-IN-04

Gerente deinformática

Procedimentos (exemplo)

Política de SegurançaComplexidade

Procedimentos operacionais (5w1H).

Quem? O quê?Aonde?Quando?Por quê?Como?

Instrução (exemplo)

• Selecione a opção Report/Logfile no menu localizado no alto da tela

• Neste ponto escolha qual report será analisadoSemanalDiárioAtual

Política de Segurança

Documentação

Grande volume de trabalho para:

• Elaborar

• Imprimir

• Distribuir

• Implementar

• Ensinar

• Atualizar

DesafioIntegração entre tecnologia e negócio

Tecnologia da Informação

Gestão Negócio

Papel da Segurança

Eliminar as vulnerabilidade,minimizando os riscos e reduzindo os impactos no negócio.

SEGURANÇARisco tendendo a zero

Uma política de segurança deve cobrir os seguintes aspectos:

Aspectos preliminares• abrangência e escopo de atuação da política;• definições fundamentais;• normas e regulamentos aos quais a política está

subordinada;• quem tem autoridade para sancionar, implementar

e fiscalizar o cumprimento da política;• meios de distribuição da política;• como e com que freqüência a política é revisada.

Aspectos (continua)

Política de senhas• requisitos para formação de senhas;• período de validade das senhas;• normas para proteção de senhas;• reuso de senhas;• senhas default.

Aspectos (continua)

Direitos e responsabilidades dos usuários • utilização de contas de acesso;• utilização de softwares e informações, incluindo

questões de instalação, licenciamento e copyright;• proteção e uso de informações (sensíveis ou não), como

senhas, dados de configuração de sistemas e dados confidenciais da organização;

• uso aceitável de recursos como email, news e Web;• direito à privacidade, e condições nas quais esse direito

pode ser violado pelo provedor dos recursos(a organização);

• uso de antivírus.

Aspectos (Continua)

Direitos e responsabilidades do provedor dos recursos (organização):

• backups;• diretrizes para configuração e instalação de sistemas e

equipamentos de rede;• autoridade para conceder e revogar autorizações de

acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar endereços e nomes de sistemas e equipamentos;

• monitoramento de sistemas e equipamentos de rede;• normas de segurança física.

Aspectos (Continua)

Ações previstas em caso de violação da política:

• diretrizes para tratamento e resposta de incidentes de segurança;

• penalidades cabíveis.

Fatores importantes para o sucesso de uma política de segurança

• apoio por parte da administração superior;• a política deve ser ampla, cobrindo todos os aspectos

que envolvem a segurança dos recursos computacionais e da informação sob responsabilidade da organização;

• a política deve ser periodicamente atualizada de forma a refletir as mudanças na organização;

• deve haver um indivíduo ou grupo responsável por verificar se a política está sendo respeitada;

sucesso (continua)

• todos os usuários da organização devem tomar conhecimento da política e manifestar a sua concordância em submeter-se a ela antes de obter acesso aos recursos computacionais;

• a política deve estar disponível em um local de fácil acesso aos usuários, tal como a intranet da organização.

Fatores que levam a políticade segurança ao fracasso

• a política não deve ser demasiadamente detalhada ou restritiva;

• o excesso de detalhes na política pode causar confusão ou dificuldades na sua implementação;

• não devem ser abertas exceções para indivíduos ou grupos;

• a política não deve estar atrelada a softwares e/ou hardwares específicos.

Política de Segurança da Informação

Tem o propósito de elaborar critérios para o adequado manuseio, armazenamento, transporte e descarte das informações através do desenvolvimento de Diretrizes, Normas, Procedimentos e Instruções destinadas respectivamente aos níveis estratégico, tático e operacional.

Segurança da Informação

Gestão da segurança da informação

“Conte-me, e eu vouesquecer.

Mostre-me, e eu voulembrar.

Envolva-me, e eu vouentender.”

Confúcio

Muito Obrigadopela atenção

João Carlos Soares de Alexandria(joca)

E-mail: joao.alexandria@ipen.br

Fone: (11) 3816-9142 - IPEN