69
SANDRA TRALHÃO POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO BRAGANÇA SETEMBRO DE 2008

POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Embed Size (px)

Citation preview

Page 1: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

SANDRA TRALHÃO

POLÍTICAS DE SEGURANÇA DE SISTEMAS DE

INFORMAÇÃO -

FORMA E FUNDO

BRAGANÇA

SETEMBRO DE 2008

Page 2: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

I

POLÍTICAS DE SEGURANÇA DE SISTEMAS DE

INFORMAÇÃO -

FORMA E FUNDO

Projecto de Informática

submetido a Escola Superior de

Tecnologia e Gestão do

Instituto Politécnico de

Bragança, como parte dos

requisitos para a obtenção do

grau de Licenciatura em

Informática de Gestão, sob

orientação de Dr.ª Isabel Lopes.

Sandra Tralhão

SETEMBRO DE 2008

Page 3: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

II

Certifico que li este relatório e que na minha opinião, é adequado no seu

conteúdo e forma como demonstrador do trabalho desenvolvido no âmbito da

disciplina de Projecto.

__________________________________________

Isabel Maria Lopes

Orientadora

Certifico que li este relatório e que na minha opinião, é adequado no seu

conteúdo e forma como demonstrador do trabalho desenvolvido no âmbito da

disciplina de Projecto.

__________________________________________

Arguente

Aceite para avaliação da disciplina de Projecto

Page 4: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

III

AGRADECIMENTOS

Aos professores, família e amigos pela disponibilidade e incentivo.

À Dr.ª Isabel Lopes, pela partilha da sua experiência, pela orientação, por

confiar e acreditar.

Page 5: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

IV

RESUMO

A importância que a informação assume na sociedade transformou-a em

recurso estratégico para as organizações. Neste contexto é fundamental o

estudo de Politicas de Segurança e Privacidade como principal forma de

assegurar os princípios de segurança de sistemas de informação e um dos

elementos de maior valor na utilização da informação nas organizações

modernas. Com base no estudo e revisão de literatura sobre o tema e

identificação de políticas de segurança reais apresentam-se algumas

directrizes sobre formulação, implementação, monitorização e avaliação de

políticas, bem como componentes das mesmas.

Palavras-chave: Informação, Sistemas de Informação, Segurança de Sistemas

de Informação, Política de Segurança.

Page 6: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

V

Índice

Resumo............................................................................................................. IV

Capitulo I – Introdução ....................................................................................... 1

1.1. Enquadramento..................................................................................... 1

1.2. Objectivos ............................................................................................. 2

1.3. Organização do relatório ....................................................................... 3

Capítulo II - Politicas de segurança de sistemas de informação ........................ 4

2.1. Conceitos fundamentais .......................................................................... 4

2.1.1. Sistema de informação................................................................ 4

2.1.2. Segurança de sistemas de informação ....................................... 6

2.2. Politica de segurança de sistemas de informação ................................ 9

2.2.1. Definição ........................................................................................... 9

2.2.1.1. Papel das ameaças na definição de políticas de segurança de

sistemas de informação......................................................................... 10

2.2.1.2. A Política de segurança de sistemas de informação ao nível

organizacional ....................................................................................... 12

2.2.2. Importância das políticas................................................................. 14

2.2.3. Classificação das políticas .............................................................. 15

2.2.4. Componentes das políticas ............................................................. 17

2.2.4.1. Identificação e autenticação ..................................................... 17

2.2.4.2.Controlo de acesso.................................................................... 20

2.2.4.3. Cópias de segurança e recuperação de dados ........................ 20

2.2.4.4. Perímetro de segurança lógico................................................. 21

2.2.4.5. Perímetro de segurança físico .................................................. 22

2.2.4.6. Transmissão de dados ............................................................. 23

2.2.4.7. Novos utilizadores .................................................................... 24

2.2.4.8. Gestão de outsourcing.............................................................. 24

2.2.4.9. Recursos humanos................................................................... 26

2.2.4.10. Aquisição de produtos e sistemas informáticos...................... 26

2.2.4.11. Acesso ao sistema informático ............................................... 27

2.2.4.12. Configuração e gestão de equipamentos clientes .................. 28

2.2.4.13. Uso aceitável .......................................................................... 28

Page 7: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

VI

2.2.4.14. Protecção contra vírus............................................................ 30

2.2.4.15. Utilização da internet .............................................................. 31

2.2.4.16. Correio electrónico.................................................................. 31

2.2.4.17. Acessos remotos .................................................................... 32

2.2.4.18. Engenharia social ................................................................... 32

2.2.5. Formulação das políticas ................................................................ 33

2.2.5.1. Avaliação das necessidades de segurança.............................. 33

2.2.5.2. Levantamento da situação actual ............................................. 34

2.2.5.3. Definição de requisitos de segurança....................................... 38

2.2.5.4. Formalização da política á forma escrita .................................. 40

2.2.6. Implementação e adopção de políticas ........................................... 41

2.2.7. Monitorização e avaliação............................................................... 44

Capitulo 3 – Conclusões .................................................................................. 47

3.1.Resultados observados .......................................................................... 47

3.2. Conclusões Gerais................................................................................. 51

3.3. Sugestões para estudos futuros ............................................................ 52

Referências Bibliográficas................................................................................ 53

Anexos ............................................................................................................. 55

Page 8: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

VII

INDICE DE ILUSTRAÇÕES

Ilustração 1: Perdas anuais estimadas relacionadas com crime informático nos

EUA ................................................................................................................... 1

Ilustração 2: Tipos de ameaças ....................................................................... 10

Ilustração 3: Reflexos da ameaça ..................................................................... 1

Ilustração 4: Impacto dos incidentes a nível organizacional............................... 1

Ilustração 5: A PSSI a nível organizacional........................................................ 1

Ilustração 6: Desvantagens por sistema de autenticação ................................ 19

Ilustração 7: Análise de risco.............................................................................. 1

Ilustração 8: Representação do risco proposta pela TiSafe ............................ 37

Ilustração 9: Representação do risco proposta pela foco.security ................... 38

Ilustração 10: Processo de monitorização e avaliação....................................... 1

Ilustração 11: Resultados observados ............................................................. 47

Page 9: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 1

CAPITULO I – INTRODUÇÃO

1.1. ENQUADRAMENTO

A importância da informação para as organizações é hoje universalmente

aceite, constituindo senão o mais importante, pelo menos um dos recursos cuja

gestão e aproveitamento mais influência o seu sucesso [Amaral, 1994].

No mundo de hoje, cada vez mais global, a sociedade pós-industrial está a ser

substituída por uma sociedade onde a matéria-prima se chama informação. Ao

“segredo é a alma do negócio”, poder-se-á acrescentar a informação, que é um

dos recursos cuja gestão e aproveitamento mais influência as organizações.

Hoje, mais do que nunca, é importante possuir sistemas de informação que

permitam guardar, processar e facultar a informação relevante para as

organizações em tempo útil, de forma íntegra e sem ambiguidades.

Dada a importância que a informação tem vindo a adquirir, ou pelo menos o

seu reconhecimento, torna-se importante gerir os sistemas de informação de

modo convergente com a missão das organizações permitindo a melhoria do

desempenho das pessoas nos processos da organização, através da utilização

das Tecnologias de Informação (TI) e encarando o Sistema de Informação (SI)

como um elemento que integra a organização daí ser imprescindível que nos

debrucemos sobre a sua segurança, definindo políticas coerentes com a

missão e os princípios da organização evitando perdas de valor.

Ilustração 1: Perdas anuais estimadas relacionadas com crime informático nos EUA

(Fonte - CSI)

Page 10: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 2

1.2. OBJECTIVOS

Com este trabalho pretende-se transmitir a mensagem de que a segurança,

mais do que um simples produto ou tecnologia que se pode adquirir, aplicar e

esquecer, é um processo contínuo e abrangente, com implicações em todas as

áreas empresariais, desde a administração aos colaboradores que executam

as operações quotidianas mais elementares.

É um processo em permanente evolução e transformação, que requer um

esforço constante para o seu sucesso e uma forte capacidade para provocar e

gerir mudanças, tanto nos hábitos instituídos como na infra-estrutura de

suporte da organização.

Como matéria transversal que é, a segurança deve envolver todos os níveis da

empresa e ser encarada como um facilitador dos processos e como forma de

aumentar os níveis de confiança internos e externos. É este o grande

argumento sobre o qual qualquer organização poderá capitalizar o seu

investimento nesta área. Ao implementar uma politica de segurança, estará a

transmitir uma imagem de preocupação nesta matéria, cada vez mais

importante e com maior visibilidade, conseguindo simultaneamente gerir o risco

a que se encontra sujeita.

A política de segurança serve, deste modo, vários objectivos:

a) A criação de uma base de protecção e confiança sobre a qual é

desenvolvida uma actividade;

b) Um sinal claro e inequívoco de que a organização tem preocupações

fundamentais com a integridade e preservação dos seus activos (quer

sejam processos, produtos, informação ou outros);

c) A afirmação da imagem externa da organização ao nível do cuidado

particular aos interesses de parceiros, clientes ou fornecedores.

Este trabalho pretende ainda produzir e compilar informação referente á

declaração de intenção das organizações na utilização de politicas de

Page 11: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 3

segurança, e dos componentes das mesmas. A informação utilizada será

recolhida em sítios da internet de pesquisa aleatória.

1.3. ORGANIZAÇÃO DO RELATÓRIO

A estrutura deste relatório divide-se em três partes principais. Na primeira é

feito um enquadramento do tema em estudo e da sua importância na

sociedade da informação.

Na segunda parte do relatório serão abordados os aspectos relacionados com

a Política de Segurança de Sistemas da Informação (PSSI) propriamente dita.

Inicialmente são abordados conceitos essenciais para a compreensão da

amplitude e abrangência de uma PSSI, tais como sistema de informação,

segurança de sistemas de informação, PSSI, sua importância e classificação e

os elementos que usualmente são abordados, isto é os componentes que a

PSSI pode contemplar. Ainda nesta parte será feita uma reflexão sobre as

fases de uma PSSI, desde o planeamento, gestão do risco, formulação

implementação e monitorização.

A terceira parte do relatório tem como objectivo verificar a existência e

aplicação de políticas de segurança de sistemas de informação, comummente

designadas por políticas de privacidade e segurança, bem como os itens

abordados na declaração da política. Esta recolha será efectuada em sítios de

internet de empresas, organismos de administração pública, instituições de

ensino ou outros que se considerem relevantes com vista a identificar

componentes por sectores de actividade ou localizações geográficas.

Page 12: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 4

CAPÍTULO II - POLITICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO

2.1. CONCEITOS FUNDAMENTAIS

Antes de abordar as fases e os componentes de uma PSSI, bem como as suas

implicações no ambiente e cultura organizacional e no sistema de informação,

convém definir alguns conceitos relacionados com o tema.

2.1.1. SISTEMA DE INFORMAÇÃO

Ao efectuar a revisão bibliográfica com o objectivo de definir SI, verifica-se que

embora algumas expressões sejam comuns a todas as definições, os autores

variam no texto apresentado. As definições que são apresentadas de seguida,

no meu ponto de vista, complementam-se.

“Sistema de Informação é o meio que providencia os meios de

armazenamento, geração e distribuição de informação com o

objectivo de suportar as funções de operação e gestão de uma

organização” [Layzell & Loucoupolus, 1987].

“Sistema de Informação é uma combinação de procedimentos,

informação, pessoas e TI, organizadas para o alcance de objectivos

de uma organização” [Alter 1992].

“Um Sistema de Informação é um sistema de actividade humana

(social) que pode envolver ou não a utilização de computadores."

[Buckingham et al 1987 citado em Amaral 2000].

Page 13: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 5

Qualquer organização para sobreviver necessita de informação, quer para

poder interagir com o seu meio ambiente, quer para permitir a interacção entre

as diferentes componentes da organização. É este fluxo de informação que

permite á organização alcançar os objectivos que se propõe atingir.

Assim, partindo da definição comum de sistema, que sugere um grupo

organizado de componentes agregados para interagir e cumprir um objectivo

bem definido, podemos facilmente concluir que um SI é um sistema com a

finalidade de produzir a já referida informação.

É necessário referir que um SI não é forçosamente um sistema informático.

Podemos facilmente conceber um sistema cujo suporte físico seja um conjunto

bem organizado de ficheiros de papel. No entanto os avanços tecnológicos dos

últimos anos dotaram os computadores de cada vez maiores capacidades de

processamento e armazenamento de informação a preços cada vez mais

reduzidos, e fizeram destes uma ferramenta indispensável na composição de

um SI.

Em suma pode-se dizer que os SI são vistos como um sistema porque têm um

objectivo, são constituídos por um conjunto de componentes, definem uma

estrutura, um comportamento e um ciclo de vida:

a) Objectivo - orientar a tomada de decisão.

b) Componentes - dados, sistema de processamento de dados, canal de

comunicação.

c) Estrutura - maneira como os diferentes processamento de dados estão

ligados entre si.

d) Comportamento - conjunto de procedimentos que se seguem para obter

os dados, os processar e os enviar.

e) Ciclo de Vida – É variável depende essencialmente das mudanças

organizacionais que possam ocorrer na organização. Assim se

organização muda, o sistema de Informação muda de forma a adaptar-

se á nova realidade organizacional; se organização não for alvo de

Page 14: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 6

mudanças então o sistema de informação também não será, o existente

será suficiente poder-se-á dizer que o sistema Informação morre.

Os SI têm adquirido uma importância crescente, proporcional à relevância que

estes sistemas têm vindo a assumir na sociedade. Pode-se afirmar que

deparamos com um SI em quase todos os ramos da actividade a servir de

apoio a organizações (Comerciais, industriais, cientificas, etc.), tornando-lhes

possível a manipulação eficiente de grandes quantidades de informação.

O controlo do grande caudal de informação tão característico das sociedades

contemporâneas, é um factor decisivo para o sucesso de uma organização.

É necessário ter em atenção, como o recurso a um SI adequado pode

influenciar o aumento da produtividade nas diversas áreas de actividade, “ a

possibilidade de atingir estes objectivos depende, naturalmente, da qualidade

do sistema de informação ” [Varajão, 2000].

2.1.2. SEGURANÇA DE SISTEMAS DE INFORMAÇÃO

A Segurança dos Sistemas de Informação é um dos elementos de maior valor

na utilização da informação nas organizações modernas. Cada vez mais

importa chamar à atenção de todos os níveis de responsabilidade empresarial

para a necessidade de repensar os fluxos de informação, como fundamento

dos processos de decisão e da competitividade das empresas.

A segurança dos SI refere-se à protecção existente sobre as informações de

uma determinada organização veiculadas através dos seus sistema de

informação, e cujo conteúdo ou dado tenha valor para o seu proprietário. Com

a segurança dos SI pretende-se definir níveis de segurança e criar bases para

a construção de planos de segurança de modo a assegurar os principais

atributos que actualmente orientam a análise, planeamento e implementação

de segurança do grupo de informações que se visam proteger. Segundo Dias,

Page 15: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 7

“ Quando se pensa em segurança da informação, a primeira ideia

que nos vem à mente é a protecção das informações, não

importando onde estas informações estejam armazenadas. Um

computador ou um SI é considerado seguro se houver uma

garantia de que é capaz de actuar exactamente como o esperado.

Porém a segurança não é apenas isto. A expectativa de todo o

utilizador é que as informações armazenadas hoje no seu

computador, lá permaneçam, ao longo do tempo, sem que

pessoas não autorizadas tenham tido qualquer acesso a seu

conteúdo” (DIAS, 2000).

Associados ao conceito de segurança estão diferentes tipos de acção como

prevenção, detecção e reacção. A prevenção tem como objectivo determinar o

valor da informação e o risco a que esta está sujeito. A detecção consiste na

monitorização de modo a determinar, quando e como ocorreu o incidente e o

responsável pelo mesmo. A reacção consiste em levar a cabo acções que

permitam repor a situação e eliminar o risco.

As expectativas do utilizador podem ser traduzidas em princípios de segurança

de informação. A confidencialidade, a integridade e a disponibilidade, são os

princípios indicados pela maior parte dos autores, nomeadamente pela norma

ISSO/IEC 17799. A primeira está relacionada com a prevenção da utilização, a

integridade com a prevenção da modificação e a disponibilidade com a

prevenção da retenção da informação.

No entanto outros defendem que a estes princípios básicos devem ser

acrescentados a autenticidade e a fiabilidade e em meu entender não tem

lógica exigir que seja mantida a integridade, confidencialidade e disponibilidade

da informação se não estivermos perante sistemas de informação que inspirem

confiança, se revelem fiáveis e permitam a autenticação dos seus utilizadores.

Genericamente poder-se-á dizer que a confidencialidade, integridade e

disponibilidade têm como objecto a informação propriamente dita, a

autenticidade e fiabilidade tem como objecto o sistema.

Page 16: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 8

Princípio da Confidencialidade

Consiste em proteger a informação contra leitura e/ou cópia de forma a evitar

que terceiros tenha acesso a informação sensível sem que tenha sido

explicitamente autorizado pelo seu proprietário.

Princípio da Disponibilidade

Consiste na protecção dos serviços prestados pelo sistema de forma que eles

não sejam degradados ou se tornem indisponíveis, assegurando ao utilizador o

acesso aos dados sempre que necessário. Este princípio constitui uma

propriedade de garantia de acessibilidade a um serviço ou recurso por

entidades ou utilizadores autorizados e quando necessário.

Princípio da Integridade

Consiste em proteger a informação contra modificações sem a permissão

explícita do proprietário. A modificação inclui acções como escrita, alteração de

conteúdo, alteração de status, remoção e inclusão de novas informações. Este

princípio garante que nenhum utilizador do sistema possa ter permissão para

alterar informação de forma a corromper activos da organização.

Princípio da autenticidade

O princípio da autenticidade consiste na identificação correcta de todos os

utilizadores e equipamentos, assegurando ao receptor da informação que a

origem desta é realmente a identificada.

Princípio da fiabilidade

Consiste em garantir que os sistemas não introduzirão alterações aos dados e

que a utilização dos recursos permitirá que os dados e os sistemas, após a

utilização, manterão o estado dos mesmos. Com este princípio é possível

assegurar que mesmo na ocorrência de falhas o impacto das mesmas no meio

ambiente não será significativo. É desta forma que é traduzida a confiança que

pode ser depositada no SI.

Page 17: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 9

2.2. POLITICA DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO

2.2.1. DEFINIÇÃO

Uma PSSI pode ser definida resumidamente como um instrumento importante

para proteger a organização contra ameaças à segurança da informação que a

ela pertence ou que está sob sua responsabilidade, constituindo a expressão

formal das regras de acesso aos recursos.

Segundo Tom Peltier “Política significa coisas diferentes para diferentes

pessoas”.

No seguimento desta afirmação, não se pode restringir a explicação deste

conceito, porque:

a) O significado de PSSI pode variar de organização para organização, não

só pela sua especificidade, ramo de actividade ou dimensão;

b) Existem vários tipos de políticas, como aliás se poderá ver mais á frente

aquando da sua classificação;

c) O desenvolvimento de uma política deve ser abordado a nível

organizacional;

d) Existem termos associados a este conceito que convém explorar para

melhor entender o verdadeiro significado de uma PSSI.

De uma forma mais complexa podemos definir PSSI como um processo:

a) De negócio, cuja execução capacita a organização de protecção dos

seus recursos, implementando regras definidas a nível estratégico e de

acordo com a política organizacional;

b) Que traduz standards de especificações de implementação;

c) Que define procedimentos específicos de manipulação e protecção da

informação que permitam reduzir as vulnerabilidades da organização;

d) Que atribui direitos e responsabilidades aos utilizadores;

e) Que estipula penalizações para os incumpridores.

Page 18: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 10

2.2.1.1. PAPEL DAS AMEAÇAS NA DEFINIÇÃO DE POLÍTICAS DE

SEGURANÇA DE SISTEMAS DE INFORMAÇÃO

Uma ameaça à segurança é compreendida neste contexto como a quebra de

uma ou mais das suas três propriedades fundamentais (confidencialidade,

integridade e disponibilidade). Traduz uma acção imposta pelo agressor que

visa explorar uma vulnerabilidade detectada.

Tipos de ameaças

Abrangência Ameaça Exemplo

Browsing

Procura de informações sem saber o seu

tipo

Shoulder surfing Olhar sobre o ombro da pessoa o que é

digitado Confidencialidade

Engenharia social Fingir ser alguém com o intuito de obter

informações

Modificação de

mensagem

Interceptar uma mensagem, alterá-la e

enviá-la ao seu destino original

Alteração de logs

de auditoria

Modificar logs com a intenção de ocultar

factos Integridade

Modificação de

ficheiros de

configuração

Alterar ficheiros críticos do sistema com

o objectivo de alterar a sua

funcionalidade

Catástrofes

naturais Vandalismo, incêndios, terramotos

Negação de

serviço

Comprometimento de serviços com

importância vital para a organização Disponibilidade

Comprometimento

de informações

Modificação de dados de forma a torná-

los inúteis.

Ilustração 2: Tipos de ameaças (Fonte: TiSafe)

A vulnerabilidade representa uma fragilidade do sistema que pode

comprometer a confidencialidade, a integridade ou a disponibilidade de um

Page 19: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 11

activo da organização. Uma vez detectada essa fragilidade, o agressor

desenvolve intenções e métodos direccionados para a exploração da mesma

causando danos á organização.

Uma vez detectada a exposição ao risco é necessário desenvolver medidas de

correcção, também designadas de contra medidas, de forma repor a situação,

reduzir o impacto da exposição e reduzir, ou se possível, eliminar o risco.

As contra medidas, directa ou indirectamente, acabam por afectar a acção do

agressor. Quando seja possível identificar o agressor devem ser levados a

cabo procedimentos legais (externo e interno) ou disciplinares (interno) no

sentido de o punir, afectando-o directamente. Quando não é possível a sua

identificação através dos mecanismos de controlo existentes a única forma de

afectar as suas acções é eliminando a vulnerabilidade existente de forma a não

permitir a continuidade dos ataques.

Em 2002 Whitman [2003] realizou um estudo de análise de ameaças potenciais

á segurança de informação no qual procurou listar as ameaças mais frequentes

e o grau de severidade percebida. Como resultado foram identificadas doze

categorias de ameaças, sendo a severidade disposta por ordem decrescente.

Ilustração 3: Reflexos da ameaça (Fonte: TISafe)

Agressor

Ameaça

Vulnerabilidad

Activo

Risco

Exposição

Contra

Verifica a

Explora a

Gera o

Afecta o

Causando

Pode ser

remediada por

Page 20: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 12

a) Eventos deliberados cometidos com o uso de software

b) Erros ou falhas técnicas de software (falhas de codificação, bugs);

c) Falhas ou erros humanos;

d) Actos deliberados de espionagem ou invasão, hacking;

e) Actos deliberados de sabotagem ou vandalismo (destruição de sistemas

ou informação);

f) Erros ou falhas técnicas de hardware (falhas de equipamentos);

g) Actos deliberados de furto (de equipamentos ou de informação);

h) Forças da natureza (terramotos, relâmpagos, incêndios não

intencionais);

i) Comprometimento à propriedade intelectual (pirataria, infracção a

direitos autorais);

j) Variação da qualidade de serviço por entidades externas (como energia

eléctrica e serviços de redes remotas de telecomunicação);

k) Obsolescência técnica;

l) Actos deliberados de extorsão de informação (chantagem ou revelação

indevida de informação).

2.2.1.2. A POLÍTICA DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO AO

NÍVEL ORGANIZACIONAL

Nas organizações verificam-se fluxos de informação ao nível operacional,

táctico e estratégico. Ao nível operacional encontram-se informações de rotina

que são usadas diariamente e permitem que a organização leve a cabo

eficientemente as suas actividades. Por seu lado os fluxos de informação ao

nível táctico e estratégico permitem apoiar os processos de tomada de decisão.

Seja qual for o tipo de ameaça e a vulnerabilidade detectada, um acidente de

segurança terá sempre implicações a vários níveis, podendo mesmo

comprometer a continuidade do negócio.

Page 21: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 13

Neste contexto poder-se-á definir uma PSSI como um conjunto de

procedimentos específicos de manipulação e protecção da informação que

permite distinguir os seus componentes de acordo com o nível organizacional

em que se aplicam dando assim origem:

a) Às directrizes, a nível estratégico;

b) Às normas para quem cuida e para quem usa, a nível táctico;

c) Aos procedimentos, a nível operacional

Ilustração 4: Impacto dos incidentes a nível organizacional

Vulnerabilidades

Ameaças

Possibilitam Incidentes de

segurança

Afe

cta

m

Organização Impacto negativo Clientes

Produto

Imagem

Page 22: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 14

2.2.2. IMPORTÂNCIA DAS POLÍTICAS

A implementação de políticas além de permitir aumentar o grau de

confidencialidade, integridade e disponibilidade dos sistemas de informação

através da implementação de procedimentos que irão reduzir as

vulnerabilidades e consequentemente as ameaças aos activos da organização,

impõem outros aspectos que não são menos importantes:

a) Consciencialização global de que as informações são um activo

importante para a empresa;

b) Envolvimento da administração em relação a segurança da informação;

c) Responsabilidade formal dos colaboradores da organização sobre a

salvaguarda dos recursos;

d) Definição de padrões para manutenção da segurança da informação;

Estabelecimento de penalidades pela não aderência á PSSI;

e) Garantia de implementação de controlos de segurança apropriados;

f) Auxilio na selecção de produtos e no desenvolvimento de processos;

g) Transformar a segurança num esforço comum.

O QUÊ?

COMO ?

FAZENDO a

NÍVEL

ESTRATÉGICO

NÍVEL

TACTICO

PROCEDIMENTOS E

INSTRUÇÕES

NÍVEL

OPERACIONAL

DIRECTRIZES

NORMAS

Ilustração 5: A PSSI a nível organizacional

Page 23: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 15

2.2.3. CLASSIFICAÇÃO DAS POLÍTICAS

Relativamente á classificação das políticas, na análise efectuada foram

encontradas várias classificações, verificando-se no entanto que a abordagem

dos autores foi efectuada sobre diferentes perspectivas. A classificação

sugerida por Ferreira baseia-se no carácter de aplicação da política, já

Baskerville e Siponen baseiam-se no seu conteúdo, Whitman valoriza a

estrutura e Cuppens debruça-se sobre a divulgação do conteúdo da política.

Segundo Ferreira (2003) as politica podem ser classificadas com reguladoras,

consultivas e informativas.

As políticas reguladoras “são implementadas devido às necessidades legais

que são impostas à organização e normalmente são muito específicas para um

tipo de ramo de actividade”. Uma política reguladora é definida por um conjunto

de especificações legais que descreve o que deve ser feito e quem deve fazer.

Deve assegurar que a organização está a seguir os procedimentos e normas

para seu ramo de actividade, provendo conforto para a organização na

execução de suas actividade.

As políticas consultivas “não são obrigatórias, mas muito recomendadas. As

organizações devem consciencializar os seus funcionários para a sua

utilização”. A política consultiva apenas sugere quais as acções ou métodos

que devem ser utilizados para a realização de uma tarefa. Deve-se considerar

que é importante que os utilizadores conheçam essas acções para realização

das suas tarefas para que possam ser evitados riscos derivados do não

cumprimento das mesmas.

A Política Informativa possui um carácter apenas informativo, nenhuma acção é

desejada e não existem riscos, caso não seja cumprida. Porém, também pode

contemplar uma série de observações importantes, bem como advertências

severas. Por exemplo, a política pode ressaltar que o uso de um determinado

sistema é restrito a pessoas autorizadas e qualquer funcionário que realizar

Page 24: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 16

algum tipo de violação será penalizado. No entanto não são informados quais

os utilizadores que estão autorizados, mas são determinadas severas

consequências para quem a desrespeitar.

− Baskerville e Siponen [2002, citado por Lopes, Isabel; Ensaio Politicas de

Segurança e Privacidade: Forma e Fundo; 2007] classificam as políticas em

políticas de alto nível, políticas de baixo nível e metapolíticas.

As políticas de alto nível consistem na elaboração de planos globais de

segurança onde são definidos os objectivos gerais da política.

As políticas de baixo nível consistem na especificação dos procedimentos “ que

orientam e determinam as decisões no âmbito da segurança dos sistemas de

informação”. Permitem definir directivas para cópias de segurança, utilização

de correio electrónico, acesso á internet, entre outras.

As metapolíticas consistem na elaboração de “directrizes organizacionais para

a criação e manutenção das políticas”. Por exemplo, determinar a periodicidade

de revisão da política ou determinar o responsável pelo controlo de acessos.

Segundo Whitman et al. [2001, citado por Lopes, Isabel; Ensaio Politicas de

Segurança e Privacidade: Forma e Fundo; 2007] as políticas podem ser

classificadas em individuais, completas e completa modulares.

Nas políticas individuais “ a organização cria uma política de segurança

separada e independente para cada uma das tecnologias e sistemas

utilizados”.

Na política completa a “organização define, controla e gere centralmente um

único documento que engloba todas as tecnologias utilizadas e fornece

orientações gerais para todos os sistemas”.

A política completa modular é “ composta por secções gerais com descrições

das tecnologias” constituindo este o documento da política de base. Inclui ainda

Page 25: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 17

“apêndices modulares que fornecem detalhes específicos acerca de cada

tecnologia”

Segundo CUPPENS [1996] as politicas podem ser classificadas em restritivas

ou permissivas.

Numa política restritiva as informações à disposição dos utilizadores são

exclusivamente aquelas cujo acesso lhes é expressamente permitido.

Uma política permissiva é aquela em que “são facultadas aos utilizadores todas

as informações cujo acesso não seja expressamente vedado”.

2.2.4. COMPONENTES DAS POLÍTICAS

A protecção dos equipamentos é necessária para reduzir o risco de acesso não

autorizado aos dados e para a sua protecção contra perda ou danos. Também

se deve considerar a localização dos equipamentos e sua disposição física.

Controlos especiais podem ser necessários para a protecção contra perigos ou

acessos não autorizados, e para salvaguardar instalações de apoio, tais como

suprimento de electricidade e infra-estrutura de cabeamento [ISSO/IEC 17799].

2.2.4.1. IDENTIFICAÇÃO E AUTENTICAÇÃO

Todos os utilizadores de um SI devem ser identificados de forma única e

exclusiva de acordo com o perfil respectivo permitindo assim o acesso aos

recursos disponibilizados pelo sistema, como computadores pessoais,

servidores e recursos locais da rede.

A autenticação consiste na verificação da identidade do utilizador e é o alicerce

da segurança do sistema por um lado porque a autenticação do utilizador é um

parâmetro importante no controlo e acesso do SI, por outro porque o

Page 26: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 18

procedimento de autenticação permite a introdução de mecanismos de log1,

fundamentais em auditoria, permitindo identificar o registo das tentativas de

acesso ao sistema, datas, indicação dos dados que tentou aceder, tentativas

bem-sucedidas, tentativas rejeitadas, acções efectuadas e identidade do

utilizador permitindo assim responsabiliza-lo pelas mesmas.

Acerca dos métodos de autenticação existentes, não se poderá dizer que

exista um que seja mais seguro que outro, todos apresentam vantagens e

desvantagens. Cabe ao administrador do sistema definir qual o mais adequado

á realidade organizacional de acordo com as ameaças, vulnerabilidades, tipo

de informação, características dos recursos humanos, cultura organizacional,

etc.

Dos métodos de autenticação existentes os mais usuais são baseados em:

a) Palavras-passe – A utilização de palavras-passe é sem dúvida um

dos métodos mais utilizado, porém, são consideradas perigosas uma

vez que o utilizador pode compartilhar a mesma com terceiros,

escolher senhas demasiado óbvias ou esquecê-la caso se trate de

uma senha mais complexa gerada automaticamente.

b) Certificados Digitais – Identidade digital que foi digitalmente

assinada por uma autoridade de certificação. Cada certificado

contém a chave pública de um utilizador e a chave privada da

autoridade que o certificou. De cada vez que o utilizador tenta iniciar

uma sessão o servidor, recorrendo á utilização do protocolo OCSP (

Online Certificate Status Protocol), valida a chave privada e

posteriormente assegura que o utilizador possui a chave

correspondente á chave pública constante no certificado.

c) Tokens – Dispositivo de hardware que partilha uma chave de cifra

com determinado sistema de segurança. A função matemática que

1 [São Mamede, 2006] Registo de actividade gerado por software específico, quando relativos a

incidentes de segurança é normalmente gerado por firewall ou IDS (Sistemas de Detecção de

Intrusões).

Page 27: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 19

dá origem á cifra é partilhada entre o token e o sistema permitindo

que de cada vez que o utilizador inicia uma sessão seja gerada uma

senha apenas para essa sessão.

d) Sistemas Biométricos – Envolvem a utilização de dispositivos

capazes de medirem características físicas únicas para cada pessoa

como por exemplo, impressão digital, impressão da retina ou

reconhecimento facial.

e) Smartcards – Dispositivos de dimensões idênticas às de um cartão

de crédito, que possuem no seu interior um chip que armazena um

identificador que quando reconhecido por um leitor de smartcards

permite identificar o utilizador.

Embora existam no mercado algumas hipóteses de escolha no que diz respeito

a sistemas de identificação e autenticação, a escolha não é pacífica visto todos

eles apresentarem desvantagens.

Sistema de identificação

e autenticação

Desvantagens

Palavras-passe Escolhas óbvias, extravio, cedência, registo

Certificados Digitais Exige um repositório de certificados de chave-

pública

Tokens De forma a evitar problemas com atrasos na

comunicação entre o sistema cliente e o servidor,

este mantém além da senha do momento, a senha

anterior.

Sistemas Biométricos As características podem ser falsificadas

Smartcards Roubo

Ilustração 6: Desvantagens por sistema de autenticação

Page 28: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 20

2.2.4.2.CONTROLO DE ACESSO

O controlo de acesso consiste no processo de limitação de acesso a recursos

de um sistema, facilitando-o apenas a utilizadores, a programas, a processos

ou a outros sistemas autorizados.

Este procedimento constitui uma das razões de existência de políticas de

segurança pela possibilidade de se poderem efectuar controlos sobre o acesso

aos recursos do SI. Para que haja sucesso neste controlo é necessário que

exista identificação e autenticação dos utilizadores e que os dispositivos

também se encontrem identificados.

O controlo de acesso pode ser físico ou lógico. O físico tem como objectivo

limitar o acesso físico a hardware, dispositivos de armazenamento de

informação, á infra-estrutura de rede, entre outros. O lógico destina-se a limitar

o acesso á informação, serviços, aplicações ou sistemas.

Os controlos de acesso podem ainda ser tipificados como [Mamede, 2006]:

a) Preventivos – São efectuados de forma a evitar as ocorrências;

b) De detecção – Permitem identificar as ocorrências;

c) Correctivos – Remedeiam as circunstâncias e repõem os controlos

normais;

d) Dissuasores – Tem como objectivo desencorajar as violações;

e) De recuperação – Restabelecem recursos ou capacidades;

f) De compensação – Constituem controlos alternativos.

2.2.4.3. CÓPIAS DE SEGURANÇA E RECUPERAÇÃO DE DADOS

As cópias de segurança têm como objectivo a protecção dos dados em caso de

acidente, a recuperação de ficheiros acidentalmente destruídos, bem como a

fiabilidade geral da instalação. As cópias de segurança de todos os servidores

de serviços, das configurações dos equipamentos e da infra-estrutura são

cruciais para a política de segurança. Após a instalação do sistema de cópias

Page 29: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 21

de segurança os utilizadores deverão passar a armazenar os dados nas áreas

de rede para esse fim e não nos discos dos seus sistemas pessoais.

A implementação de um sistema de cópias de segurança contempla:

a) Definição do método a utilizar para a realização das cópias;

b) Periodicidade de realização das cópias (diariamente, semanalmente) de

acordo com a natureza do negócio, a informação a proteger e o risco

apresentado;

c) Privilégios necessários para o acesso á informação;

d) Definição de um local remoto para armazenamento das cópias de

segurança, tendo em conta a segurança e a disponibilidade;

e) Calendarização de testes às cópias de segurança e registo de

correcções de modo a garantir que estejam sempre confiáveis em caso

de emergência;

f) Testar a eficácia dos procedimentos de restauração;

g) Determinar o período de retenção para as referidas cópias.

2.2.4.4. PERÍMETRO DE SEGURANÇA LÓGICO

Perímetro de segurança pode ser definido como uma linha virtual que separa a

estrutura da organização, que se pretende que seja segura, do exterior.

Sempre que um utilizador acede á internet está a transpor esta linha e a aceder

a redes externas, normalmente inseguras e sobre as quais não é possível

exercer qualquer tipo de controlo.

A gestão do perímetro de segurança poderá passar por criar grupos de

utilizadores ou serviços, dividir a rede interna em domínios lógicos protegidos

por um perímetro de segurança, que poderá passar pela instalação de firewall2

entre as sub-redes. Desta forma será possível criar níveis de segurança, sendo

o primeiro nível salvaguardado por firewall que controla o acesso á internet. O

2 Dispositivo constituído por uma parte física e outra lógica, utilizado para dividir e controlar o

acesso entre redes que permite definir regras de filtragem de comunicações.

Page 30: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 22

firewall deve ser configurado para filtrar o tráfego de informação e bloquear os

acessos não autorizados de acordo com as necessidades de acesso á rede da

organização.

A gestão do perímetro de segurança deve ainda contemplar a utilização de

IDS, DMZ3, mecanismos de antivírus e procedimentos de monitorização e

resposta a intrusões que permitam definir:

a) Como é feita e com que frequência a análise dos logs do IDS e do

firewall;

b) Quais as acções a desencadear em caso de alerta;

c) Quem é o responsável por estas acções;

d) Em que circunstâncias o produto deve ser substituído;

e) Qual o melhor produto existente no mercado.

2.2.4.5. PERÍMETRO DE SEGURANÇA FÍSICO

O perímetro de segurança físico tem como objectivo impedir o acesso não

autorizado às instalações físicas e à informação ou dispositivos de

armazenamento da mesma. Sem este componente a implementação de uma

PSSI deixa de fazer sentido, visto um acesso físico constituir uma ameaça

facilmente utilizada.

Os recursos críticos para o negócio devem estar localizados em áreas

protegidas por um perímetro de segurança com barreiras físicas e controlos de

entrada.

O padrão internacional ISSO/IEC 17799, sugere algumas directrizes a serem

implementadas:

a) As instalações propriamente ditas devem ser fisicamente seguras;

b) O acesso às instalações deve ser restrito ao pessoal autorizado e

baseado no seu estatuto e no seu horário de trabalho;

3 Zonas desmilitarizadas, parte de uma rede que nem faz parte da rede interna da organização

nem da rede externa.

Page 31: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 23

c) Devem ser implementados sistemas de protecção contra catástrofes

físicas, como inundações ou incêndios;

d) Devem ser implementados sistemas de vigilância e alarme;

e) Elementos externos devem ser identificados e registados;

f) Devem ser definidos e controlados direitos de acesso a áreas de

segurança;

g) As áreas de segurança devem estar afastadas do acesso público;

h) Os equipamentos de apoio como fax e fotocopiadoras devem estar

localizados por domínios de trabalho;

i) Caso existam serviços prestados por terceiros, devem estar fisicamente

separados da organização;

j) Listas internas de contactos, de equipamentos ou informações não

devem estar disponíveis para terceiros;

k) Equipamentos de backup não devem estar situados nas instalações

principais de modo a evitar danos em caso de catástrofe física;

l) As mesas e as telas devem estar limpas;

m) Os suportes de informação que já não são necessários devem ser

destruídos.

2.2.4.6. TRANSMISSÃO DE DADOS

Quando há necessidade de transferir informação para fora da organização

deve ser atribuída uma classificação á informação de forma a determinar o

nível de segurança que exige esta transmissão. O procedimento implementado

não tem que passar obrigatoriamente por mecanismos informatizados, tanto

que em determinadas situações tal nem será possível.

Na PSSI este componente deve estipular quais as formas de transmissão de

dados que devem ser utilizadas para cada suporte e para cada tipo de

informação:

a) Ligação á internet com recurso a tecnologia de VPN, que permite o envio

de dados cifrados;

b) Recurso a empresas de estafetas ou transportes de valores;

Page 32: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 24

c) Entrega pessoal;

d) Gravação de dados de forma cifrada;

e) Envio de informação de forma faseada.

2.2.4.7. NOVOS UTILIZADORES

Para que se verifique o cumprimento das regras existentes é necessário que

todos tenham conhecimento das mesmas. Cabe á organização fazer esforços

no sentido de divulgar as regras existentes pois só assim poderá exigir o seu

cumprimento.

Sempre que se verifique a contratação de novos colaboradores e

consequentemente novos utilizadores do SI, estes devem:

a) Ser informados acerca dos procedimentos de segurança existentes e

comprometidos com a política de segurança da organização, assinando

um termo de compromisso (anexo I);

b) Ter acesso a um computador pessoal configurado de acordo com as

especificações standard da organização.

c) Ter disponíveis as identificações de utilizador e palavras-passe

associadas;

d) Ter acesso á informação sobre as áreas de trabalho e permissões de

acesso associadas ao seu utilizador;

e) Ter criada uma área pessoal no espaço de armazenamento na rede

informática;

f) Poder aceder a formação em medidas de segurança de acordo com o

plano de formação da organização.

2.2.4.8. GESTÃO DE OUTSOURCING

Outsourcing consiste no facto de que “determinadas funções no contexto de

uma organização, em vez de serem cumpridas pelos meios desta, são

Page 33: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 25

realizadas por uma entidade externa. Há um prestador de serviços externo que

se substitui às pessoas de cliente para a execução de um determinado pacote

de funções de negócio no seio da organização. Nalguns casos a entidade

externa pode adquirir alguns activos do cliente utilizando-os para prestar esse

serviço. Pode ainda enquadrar pessoas da organização cliente nos seus

próprios quadros” [Carapuça, 2006].

A organização opta por recorrer a outras organizações para obter serviços que

tradicionalmente são desenvolvidos no seio da própria organização,

nomeadamente aquelas que não trazem valor directamente para as áreas de

competência da organização.

Ao optar pelo outsourcing, a organização tem que fornecer acessos e

permissões de acesso a sistemas, aplicações e dados a elementos externos á

organização. Estes acessos devem ser criteriosamente definidos para que não

seja posta em causa a segurança da informação mas tendo o cuidado de

permitir que o outsourcer possa executar as funções contratadas.

A organização deve definir também se os colaboradores do outsourcer poderão

ligar os seus equipamentos á rede da organização, ou se a organização

disponibiliza equipamentos seus com as configurações e permissões de acordo

com a PSSI.

Para que não existam situações dúbias entre as partes deve ser elaborado um

contrato que deve mencionar [ISSO/IEC 17799]:

a) Como serão satisfeitas as exigências legais;

b) Responsabilidades de todas as partes envolvidas para com a segurança

c) Como a integridade e confidencialidade da informação devem ser

mantidas e testadas;

d) Quais os controlos de acesso físicos e lógicos que serão usados para

limitar e restringir o acesso;

e) Como a disponibilidade dos serviços deve ser mantida na eventualidade

de um desastre;

f) O direito de auditoria;

Page 34: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 26

g) Cláusulas de penalização no caso de incumprimento.

2.2.4.9. RECURSOS HUMANOS

O componente dos recursos humanos deverá debruçar-se sobre os

procedimentos da política de segurança a aplicar às pessoas que fazem parte

da organização dando especial atenção aos aspectos relacionados com a

contratação e saída de colaboradores e atribuição dos níveis de autorização.

Aquando do recrutamento de pessoal deve ser feita a validação das atitudes

concordantes com a ética profissional através das referências dos últimos

empregadores e a confirmação de que não existe, em relação ao candidato,

registo de criminalidade informática. Este aspecto assume especial importância

no recrutamento de elementos que irão trabalhar directamente com a gestão,

implementação, manutenção e operação de infra-estruturas de rede.

Na saída de colaboradores devem de imediato ser eliminadas as permissões

do utilizador no SI.

Quando é admitido um novo colaborador há que definir, mediante o cargo que

este irá ocupar, quais os recursos a que este deverá ter acesso para o

desempenho das suas funções e disponibilizar o seu acesso ao sistema como

já foi abordado no componente novos utilizadores.

2.2.4.10. AQUISIÇÃO DE PRODUTOS E SISTEMAS INFORMÁTICOS

Este componente permite garantir que a aquisição de novos produtos é feita de

forma controlada de modo a garantir consistência na política definida. É

importante definir um conjunto de requisitos na selecção e aquisição de novos

produtos ou sistemas de modo a salvaguardar a compatibilidade com os

existentes e permitir a manutenção da PSSI.

Page 35: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 27

Este procedimento poderá ainda contemplar a elaboração de guias para a

compra de tecnologia que especifiquem os requisitos ou características que os

produtos devem possuir.

2.2.4.11. ACESSO AO SISTEMA INFORMÁTICO

O acesso físico ao sistema é um dos componentes que deve reflectir maior

preocupação na definição de uma PSSI. A classificação dos recursos

consoante a sua natureza; em terminais públicos, sistemas pessoais e

servidores deve ser o primeiro passo, para que a política possa reflectir os

problemas específicos de cada categoria.

De seguida apresenta-se uma lista de procedimentos a considerar [Mamede

2006]:

a) Controlo cuidadoso dos terminais públicos;

b) Limitar o acesso, dos terminais públicos, a recursos da rede;

c) Desenvolver regras de utilização de terminais públicos e afixá-los junto

dos mesmos;

d) Evitar que os utilizadores de sistemas pessoais tenham privilégios

pessoais como por exemplo, serem administradores locais;

e) Não permitir alterações de configuração ou instalação de software ou

hardware, através da aplicação da política ou de forma automática

(sistema);

f) Assegurar que o utilizador não tem no seu sistema pessoal, mais

aplicações ou dados do que aqueles que necessita para o desempenho

da sua função ou determinar um limite de para informação pessoal;

g) Configuração de serviço do servidor, definindo assim os procedimentos

a seguir antes de ligar o mesmo á rede;

h) Definir os serviços que o servidor deve suportar;

i) Prever a manutenção de software e sistemas operativos do servidor;

j) Restringir o acesso a locais onde exista equipamento crítico para a

disponibilidade da rede;

Page 36: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 28

2.2.4.12. CONFIGURAÇÃO E GESTÃO DE EQUIPAMENTOS CLIENTES

Com a evolução tecnológica que se tem verificado nos últimos anos, verifica-se

uma proliferação de equipamentos portáteis, nomeadamente computadores

portáteis, PDA´s e telemóveis que são diariamente integrados nas infra-

estruturas das organizações. Estes recursos apresentam risco adicional para a

organização nomeadamente o roubo ou perda de um desses equipamentos.

Neste caso a política deve incluir requisitos de protecção física, controlos de

acesso, técnicas criptográficas, backups e protecção contra vírus, bem como

indicações sobre a utilização destes equipamentos:

a) Definir instalação standard por cada perfil de utilizador e níveis de

acesso;

b) Definir qual o tipo de informação que pode ser guardado nos discos

rígidos desses equipamentos;

c) Definir a forma de protecção de dados;

d) Definir um conjunto de conselhos a transmitir aos utilizadores desses

equipamentos como por exemplo:

− Nunca reparar, modificar ou desmontar o equipamento;

− Cuidado a retirar os cabos;

− Nunca ligar outros dispositivos sem conhecimento e acordo prévio do

serviço informático;

− Não abandonar o equipamento;

− Sempre que possível recorrer a cadeado de segurança

2.2.4.13. USO ACEITÁVEL

O procedimento de uso aceitável consiste na elaboração de um documento

com um conjunto de linhas de orientação, para os utilizadores internos e

externos, baseadas em boas práticas e que define como os recursos da

organização podem ser utilizados.

Page 37: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 29

Este documento deve ser público e estar disponível a todos os que utilizam o

SI, sendo recomendável que a autorização para uso dos recursos seja

condicionada a uma concordância expressa com os seus termos.

O uso aceitável é geralmente parte integrante da política de segurança global,

é composto pelos itens da política que afectam directamente os utilizadores de

recursos, principalmente os que definem os seus direitos e responsabilidades.

Por outro lado, organizações que oferecem acesso a utilizadores externos (tais

como provedores de acesso Internet) devem definir uma política de uso

aceitável para esses utilizadores que seja independente daquela a que estão

sujeitos os elementos internos. É importante que os utilizadores externos

tomem conhecimento dessa política e saibam que o uso dos recursos está

condicionado ao seu cumprimento.

De seguida apresentam-se alguns tópicos que devem fazer parte do

documento de uso aceitável quer para utilizadores quer para administradores

de sistemas. Estes tópicos são referidos apenas a título de exemplo, pois tal

como já foi referido estes podem variar dependendo da organização ou do tipo

de política em vigor:

Procedimentos de uso aceitável para utilizadores [Mamede, 2006]:

a) Obrigatoriedade de identificação e autenticação de todos os utilizadores

perante o sistema;

b) Bom senso na utilização de todos os dispositivos, de modo a não

condicionar o bom funcionamento do sistema ou fragilizar medidas de

segurança;

c) Obrigatoriedade de reportar ao departamento informático a ocorrência

de incidentes ou violação de áreas de trabalho;

d) Proibição de facilitar o acesso a recursos da organização a terceiros;

e) Recomendação de bloquear ou desligar os computadores pessoais

sempre que necessitem de se ausentar do seu local de trabalho;

f) Concordância na participação de acções de auditoria.

Page 38: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 30

Procedimentos de uso aceitável para administradores de sistemas [Mamede,

2006]:

a) Proibição de comprometimento ou negação de sistema;

b) Advertência para a investigação de acções duvidosas que possam

comprometer a organização e para a existência de penalizações caso se

prove má fé ou negligência;

c) Obrigatoriedade de informar o utilizador sempre que haja necessidade

de aceder a recursos cujo acesso não é autorizado pelo próprio. Este

acesso deve estar restringido a situações em que o administrador

necessita de resolver um problema verificado no SI;

d) Proibição de monitorizar comunicação de dados e voz. Se a mesma for

executada de forma automática o utilizador deve ser informado sobre

este procedimento;

e) Colaboração com a execução de auditorias.

2.2.4.14. PROTECÇÃO CONTRA VÍRUS

A protecção contra vírus é um componente a que normalmente as

organizações dão grande relevância. Mesmo que não exista uma política

definida regra geral as organizações já se tentam proteger de ataques de

software malicioso.

No entanto para a garantia da disponibilidade, integridade e confidencialidade

da informação este procedimento não é suficiente é importante a definição de

uma política formal de procedimentos:

a) Exigir obediência às licenças de software e proíba o uso de software não

autorizado;

b) Proteger contra riscos associados com a obtenção de ficheiros e

software através de redes externas, ou qualquer outro meio, indicando

quais medidas de protecção;

Page 39: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 31

c) Instalação e actualização regular de software de detecção de vírus e

restauro;

d) Conduzir revisões regulares do software e dos conteúdos de dados dos

sistemas que suportam processos críticos para o negócio.

e) Verificação antivírus, antes de abrir ficheiros de proveniência duvidosa, e

f) Planos apropriados para continuidade dos negócios para recuperar de

ataques de vírus.

2.2.4.15. UTILIZAÇÃO DA INTERNET

Este componente tem como objectivo definir regras para utilização de internet e

de todas as operações associadas:

a) O acesso á internet só deve ser facultado a utilizadores que dela

necessitem para o desempenho das suas funções;

b) A divulgação de informações da organização em grupos de discussão,

deve ser proibida;

c) O acesso a domínios que comprometam o uso de banda deve ser

bloqueado;

d) O acesso a sites com conteúdo pornográfico, jogo ou apostas além de

bloqueado o seu acesso deve ser monitorizado;

e) Os utilizadores com acesso á internet, com permissão para baixar

software devem providenciar a regularização das licenças e o registo

desse software, e

f) Geração de relatórios dos sites acedidos por utilizador.

2.2.4.16. CORREIO ELECTRÓNICO

Este componente tem como objectivo definir regras de utilização de e-mail. Os

utilizadores deste serviço devem ter consciência que sendo um serviço

disponibilizado através da internet opera em domínio público e como tal de

difícil controlo. Mesmo que os servidores de e-mail se encontrem protegidos

contra vírus é importante que a PSSI defina regras de utilização [Spanceski

2004]:

Page 40: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 32

a) O correio electrónico deve ser utilizado de forma consciente;

b) O envio de e-mail deve ser efectuado somente para pessoas que desejam

recebê-los,

c) Proibir o envio de grande quantidade de mensagens de e-mail (spam);

d) Proibir o reenvio mensagens em cadeia;

e) Bloquear a utilização do serviço com anexos que comprometa o bom

desempenho da infra-estrutura;

f) Obrigar á manutenção da caixa de e-mail;

g) Limitar a cota de e-mails armazenados;

h) Solicitar notificações de controlo e leitura;

i) Não executar arquivos com extensões .bat, .exe, ou outras desde que

enviados por desconhecidos ou suspeitos;

j) Etc.

2.2.4.17. ACESSOS REMOTOS

Os acesso remoto á rede representa um potencial acesso não autorizado,

como por exemplo através de métodos dial-up. Neste contexto a politica deve

especificar procedimentos de uma ligação remota, redacção de compromissos

de utilização e a forma como decorrem as ligações:

a) Ligações dial-up com ou sem callback, e

b) Ligações á internet com recurso a rede privada virtual (VPN)

2.2.4.18. ENGENHARIA SOCIAL

O componente da engenharia social é muitas vezes descurado aquando da

elaboração de PSSI. Hoje cada vez mais é importante alertar os utilizadores do

sistema para este método de ataque onde terceiros fazem uso da persuasão,

da ingenuidade, boa-fé ou confiança do utilizador para obter informações que

podem ser utilizadas para ter acesso não autorizado a SI.

Page 41: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 33

2.2.5. FORMULAÇÃO DAS POLÍTICAS

O desenvolvimento de uma política de segurança numa organização envolve

quatro actividades distintas [Hartley & Locke, 2001]:

a) Avaliação das necessidades de segurança;

b) Levantamento das politicas e procedimentos em vigor, caso existam;

c) Definição dos requisitos de segurança;

d) Formalização da politica de segurança.

2.2.5.1. AVALIAÇÃO DAS NECESSIDADES DE SEGURANÇA

A avaliação das necessidades de segurança dedica-se à identificação de

activos e classificação da informação. Considera-se activos tudo o que

manipula informação inclusive ela própria:

a) Tecnologia;

b) Infra-estrutura;

c) Aplicações;

d) Informações, e

e) Pessoas.

O inventário de activos é um aspecto fundamental para o sucesso de uma

PSSI porque permite identificar os activos que apresentam necessidade de

protecção efectiva. Com base na sua importância e no seu valor é feita a

avaliação de risco e a atribuição de níveis de protecção adequados a essa

avaliação. Do inventário de cada activo deve constar a sua identificação,

propriedades, classificação de segurança, localização e responsável.

Segundo o padrão internacional ISO/IEC 17799, os principais activos

relacionados com sistemas de informação são:

a) Activos de informação;

b) Activos de software;

c) Activos físicos que englobam equipamentos informáticos, de

comunicação, de suporte de dados, etc;

d) Activos de serviços.

Page 42: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 34

Em relação á classificação da informação a mais comum nos dias de hoje, é

aquela que divide em quatro níveis: Confidencial, restrita, interna e pública.

(DIAS, 2000, p.53).

a) As informações confidenciais são aquelas que são essenciais para a

organização, sendo o acesso não autorizado às mesmas extremamente

críticas para a organização. De modo a manter a sua confidencialidade e

integridade o acesso a estas informações deve ser restrito e o seu

controlo deve ser total.

b) As informações restritas só devem ser acedidas por utilizadores que

delas necessitem para o desempenho satisfatório das suas funções, e

quando forem fundamentais para esse desempenho. O acesso não

autorizado a estas informações pode comprometer financeiramente a

organização e a sua fatia de mercado.

c) As informações internas não devem sair do âmbito da instituição. O

acesso não autorizado a estas informações não tendo consequências

críticas pode afectar a imagem da organização causando assim

prejuízos indirectos.

d) As informações públicas são aquelas que podem ser divulgadas para o

público em geral, incluindo clientes, fornecedores, imprensa, não

possuem restrições para divulgação.

Além da classificação da informação é importante definir procedimentos para a

rotulagem e manuseamento da informação de acordo com a classificação

adoptada, tendo especial cuidado na informação classificada como confidencial

e restrita.

2.2.5.2. LEVANTAMENTO DA SITUAÇÃO ACTUAL

O Levantamento das políticas e procedimentos em vigor permitirá fazer a

análise e gestão do risco e assim identificar os requisitos de segurança. Esta

actividade irá permitir identificar, caso existam, os procedimentos adequados,

quais os que devem ser actualizados e os que não fazem qualquer sentido.

Page 43: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 35

Esta análise deves ser feita de forma periódica, de modo a contemplar e ajustar

a politica de segurança às mudanças estratégicas da organização e considerar

a novas ameaças e vulnerabilidades

O risco por si só representa a consciencialização de que a ocorrência de

eventos futuros possa causar danos à organização. Perante esta probabilidade

torna-se necessário fazer um cálculo, mesmo que estimativo, do risco

associado a cada situação de modo a definir a forma de lidar com ele.

a) Evitar o risco não permitindo que determinadas situações ocorram

(quando previsíveis);

b) Transferir o risco para outras entidades através de contratos de seguro;

c) Reduzir o risco impondo práticas que reduzam significativamente a

possibilidade de ocorrência de um incidente;

d) Aceitar o risco visto haver riscos cuja redução é mais dispendiosa do

que as consequências da sua ocorrência.

A avaliação de riscos consiste na avaliação de vários factores:

a) Ameaças aos activos da organização;

b) Vulnerabilidades existentes no ambiente interno e externo;

c) Probabilidade de ocorrência de uma ameaça e sucesso da mesma;

d) Impacto que terá na organização a exposição a essa vulnerabilidade;

e) Medidas para redução dos impactos;

f) Risco residual, o risco que se verifica após a implementação de medidas

de redução do impacto.

Com base na avaliação dos factores identificados procede-se à identificação

dos níveis de risco com base na:

a) Análise qualitativa associando um valor numérico à probabilidade de

ocorrência de uma falha de segurança, á luz das vulnerabilidades e

ameaças existentes;

Page 44: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 36

b) Análise quantitativa atribuindo uma pontuação ao impacto que terá na

organização a ocorrência de um determinado risco e das medidas de

redução do seu impacto.

c) A atribuição de valores deve ser feita através do desenvolvimento,

simulação e análise de cenários de risco, escalonando a seriedade das

ameaças, probabilidades de ocorrência, custo e eficiência das medidas

de redução do impacto, com base nas opiniões de peritos e de

colaboradores dos vários departamentos da organização.

Após a identificação dos riscos são determinadas prioridades para que as

vulnerabilidades que podem causar maior impacto sejam analisadas e

corrigidas.

Segundo Guan et al. a avaliação de riscos compreende nove passos [2003]:

a) Caracterização do sistema;

b) Identificação de ameaças;

c) Identificação de vulnerabilidades;

d) Análise dos controlos utilizados;

e) Determinação da probabilidade dos eventos listados nos passos

anteriores;

Identificação de activos

Determinação de ameaças

Definição de medidas de segurança

Determinação do risco

Determinação do nível de ameaça

Determinação das limitações

Ilustração 7: Análise de risco

Page 45: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 37

f) Análise de impacto;

g) Determinação dos riscos;

h) Recomendação de controlos a utilizar; e

i) Documentação dos resultados.

Guan et al. [2003] ressaltam ainda que, caso haja registos históricos

consistentes e dados estatísticos plausíveis, pode-se utilizar uma das seguintes

fórmulas para a determinação do valor do risco (custo das perdas):

a) R =W ×X ×V (4.1)

b) R =V(10C+W−3)

Onde R é o valor do risco, W é a probabilidade da ocorrência de ataques, C é o

custo total do activo e V é a vulnerabilidade a que está sujeito o activo. Na

ausência de dados históricos, é usual que se estime os valores de W e V com

base em dados externos, tais como seguradoras ou organizações de mesmo

porte ou segmento.

A análise do risco pode ser completada com a esquematização da relação da

probabilidade de ocorrência e impacto na organização. De seguida são

apresentados dois exemplos de esquematização:

Ilustração 8: Representação do risco proposta pela TiSafe (Fonte www.tisafe.com)

Page 46: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 38

Ilustração 9: Representação do risco proposta pela foco.security

2.2.5.3. DEFINIÇÃO DE REQUISITOS DE SEGURANÇA

A Definição de requisitos de segurança é uma actividade puramente analítica,

como tal, exige conhecimentos de análise e técnicos. Segundo o Padrão

internacional ISSO/IEC 17799, é essencial que uma organização defina os

seus requisitos de segurança, de acordo com três fontes principais:

a) A primeira deriva da avaliação de riscos as ameaças aos activos, da

vulnerabilidade e da probabilidade de ocorrência e do impacto potencial

é estimado.

b) A segunda fonte deriva das exigências legais, estatutárias,

regulamentadoras e contratuais que uma organização, parceiros

comerciais e fornecedores de serviços precisam atender.

c) A terceira fonte é constituída pelo conjunto específico de princípios,

objectivos e requisitos para o processamento de informações que uma

organização desenvolveu para dar suporte a suas operações.

Neste contexto na definição dos requisitos de segurança devem ser definidos

planos estratégicos, tácticos e operacionais, cada um com uma abordagem

diferente, mas com o objectivo comum de garantir a segurança da informação.

A nível de Plano estratégico os objectivos principais são:

a) Estabelecer procedimentos e políticas de segurança;

Page 47: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 39

b) Fazer o planeamento efectivo de servidores, terminais e dispositivos de

rede;

c) Certificar-se de que todos os utilizadores entendem a importância da

segurança para os negócios;

d) Estabelecer uma entidade de segurança para cuidar da segurança

internamente, e

e) Certificar-se que os riscos foram totalmente compreendidos e

controlados.

No Plano táctico pretende-se abordar as iniciativas necessárias para os

objectivos traçados pelo plano estratégico:

a) Estabelecer controlos rígidos para ambientes de servidores;

b) Desenvolver uma política de uso de equipamentos;

c) Reduzir as probabilidades de acção das vulnerabilidades dos servidores,

e

d) Implementar um hot site de recuperação de desastres.

O Plano operacional prevê a elaboração de Planos específicos com etapas,

datas e certificações, promovem os meios para certificar que os planos

menores serão compridos através de:

a) Avaliações de risco;

b) Desenvolvimento de políticas de segurança e aprovação de processos;

c) Desenvolvimento de infra-estrutura técnica para uso eficiente das

políticas, e

d) Formação baseado nas políticas para os utilizadores finais.

Para que uma PSSI se torne apropriada, efectiva, seja aceite por parte de

todos os elementos da organização e rapidamente posta em prática é

importante que se verifique o envolvimento dos membros directivos e o suporte

ao processo de formulação da política de segurança, caso contrário dificilmente

se verificará o impacto desejado. Além dos referidos outros elementos devem

na formulação e revisão dos documentos da política de segurança:

Page 48: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 40

a) O administrador de segurança;

b) O pessoal técnico do SI;

c) Os chefes de núcleo ou de grupos de utilizadores dentro da organização;

d) A equipa de reacção a incidentes de segurança, e

e) Os representantes de grupos de utilizadores afectados pela política de

segurança.

O objectivo será fazer representar todos os membros, desde os que tem

responsabilidades sobre o orçamento e política até ao pessoal técnico que

saiba o que pode e o que não pode ser suportado. Em algumas organizações,

pode ser apropriado incluir pessoal de auditoria de forma a salvaguardar a

correcta avaliação e o reporte para definição de novos requisitos

2.2.5.4. FORMALIZAÇÃO DA POLÍTICA Á FORMA ESCRITA

A formalização da política de segurança é uma actividade administrativa que

consiste na elaboração, propriamente dita do documento final que formaliza a

politica de segurança da organização. Esta actividade é revestida de um

carácter iterativo estando sujeita a várias revisões e adaptações as várias

áreas da organização.

O documento final deve:

a) Ser aprovado ao mais alto nível da hierarquia;

b) Ser redigido com clareza;

c) Ser conciso;

d) Ser dirigido para atingir o nível de segurança adequado aos bens a

proteger de forma a produzir o mínimo de alterações ao funcionamento

da organização;

e) Evitar especificações ao nível técnico;

f) Ser exequível;

g) Quantificar recursos;

h) Referir a obediência às exigências legislativas e contratuais;

i) Conter uma declaração da administração apoiando os objectivos e

princípios da segurança de informação;

j) Referir consequências da violação às normas;

Page 49: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 41

k) Referir documentos que podem apoiar a politica;

l) Prever formação dos intervenientes;

m) Explicitar acções concretas, e

n) Contemplar manual de procedimentos em caso de falhas.

2.2.6. IMPLEMENTAÇÃO E ADOPÇÃO DE POLÍTICAS

A garantia de que a PSSI será implementada de modo adequado está

intrinsecamente associada à infra-estrutura da organização. Cumpre observar

que deve haver uma adequação entre todos os componentes do sistema a fim

de garantir a segurança de todo o conjunto. Independentemente da política

adoptada existem determinados pressupostos que se devem verificar:

a) Equipamentos dispostos fisicamente de forma a minimizar acessos

desnecessários entre áreas de trabalho;

b) Instalações de processamento e armazenamento de informações

sensíveis, posicionadas de forma a reduzir o risco de serem vistam

casualmente durante sua utilização;

c) Adopção de mecanismos de controlo para minimizar o risco de ameaças

potenciais incluindo: roubo; incêndio; inundações; poeira; vibração;

efeitos químicos; interferência no fornecimento eléctrico; radiação

electromagnética.

d) Uso de métodos de protecção especiais, tais como membranas para

teclados, consoante o ambiente de actuação;

e) Considerar o impacto de acidentes nas áreas vizinhas;

f) Protecção dos equipamentos contra falta de energia e outras anomalias

na electricidade;

g) Protecção de cabos de energia e telecomunicação que transportam

dados ou suportam serviços de informação contra interceptação ou

danos, nomeadamente:

− A utilização de linhas de telecomunicação e energia subterrâneas, onde

possível, ou sujeitas à protecção alternativa adequada;

Page 50: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 42

− Cabeamento de redes protegido contra acesso não autorizado ou danos;

− Separação dos cabos de energia e dos cabos de comunicação para

impedir interferência;

− Utilização de rotas alternativas, e

− Utilização de cabos de fibra óptica, sempre que possível.

A experiência tem mostrado que existem determinados factores, que podem

ser apontados para a implementação bem sucedida da PSSI na organização:

a) Política, objectivos e actividades de segurança que reflictam os

objectivos do negócio;

b) Uma abordagem para implementar a segurança que seja consistente

com a cultura organizacional;

c) Suporte visível e compromisso por parte da administração;

d) Bom entendimento das necessidades de segurança, avaliação de riscos

e gestão de riscos;

e) Marketing de segurança eficaz;

f) Distribuição de orientação sobre a política e os padrões de segurança

adoptados a todos os elementos da organização;

g) Implementação de planos de formação como um elemento

extremamente importante uma vez que permite dar a conhecer aos

utilizadores a PSSI, mostrar a sua importância e sensibiliza-los para a

sua utilização;

h) Utilização de um sistema de medição eficaz e abrangente, usado para

avaliar o desempenho na gestão de segurança de informações, e

i) Implementação de um sistema de feedback e sugestão de para

melhorias.

Tal como se identificam os factores de sucesso também é possível identificar

alguns erros frequentemente cometidos no decorrer no processo de

implementação, tais como:

a) Expressão inadequada das intenções dos altos níveis hierárquicos da

organização relativamente aos seus compromissos com as questões de

Page 51: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 43

segurança, falhando nas explicações, atribuição adequada de

responsabilidades, deveres e recursos;

b) A existência de múltiplos mecanismos de autenticação e a necessidade

de o utilizador fazer logoff antes de poder fazer logon em outra

aplicação, faz com que o utilizador tenha necessidade de recorrer a

auxiliares de memória como por exemplo post-its;

c) A existência de múltiplos mecanismos de controlo de acesso que

normalmente resultam num controlo inconsistente ou incompleto;

d) Utilização de sistemas com configurações por defeito para obter maior

rapidez de instalação e inexistência de testes de equipamentos em

ambientes seguros;

e) Adequação às teorias do comportamento humano;

f) Capacidade de reconhecimento de problemas tardia o que implica que a

sua resolução seja ainda mais tardia prolongando no tempo as

vulnerabilidades dos sistemas;

g) Administração complexa, e

h) Desejo de conseguir proteger tudo.

Neste contexto, considero que no processo de implementação da PSSI, se

deve começar por:

a) Definir uma campanha de sensibilização;

b) Definir um patrocinador interno para a campanha de sensibilização;

a) Dar a conhecer a todos os elementos da organização a politica de

segurança global;

b) Dar a conhecer aos responsáveis por departamento da organização a

política modular e a forma de implementação no seu departamento;

c) Proceder á implementação da política modular num departamento a

título experimental;

d) Receber feedback da implementação piloto;

e) Por departamentos e de forma faseada proceder á formação e

implementação das políticas modulares;

f) Fazer a integração das politicas modulares;

g) Reforçar os factores de sucesso já mencionados, e

Page 52: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 44

h) Evitar os erros frequentemente cometidos.

Convém frisar que o que seria aconselhável era a implementação da PSSI no

seu todo no mesmo período temporal, no entanto este esforço torna-se

arriscado e pode comprometer a organização.

2.2.7. MONITORIZAÇÃO E AVALIAÇÃO

A política deve definir mecanismos de monitorização e indicar responsáveis

pela sua manutenção e revisão quando necessária ou de acordo com o

processo de revisão que deve ser definido na própria politica.

O processo de revisão deve contemplar o procedimento caso se verifiquem:

a) Mudanças organizacionais que afectem a avaliação de riscos;

b) Detecção de novas vulnerabilidades;

c) Alteração da infra-estrutura tecnológica, e

d) Necessidade de resposta a incidentes de segurança.

O processo de avaliação da política deve focar-se na eficácia demonstrada

pela política, verificando se a aplicação da mesma se traduziu numa redução

da quantidade e do impacto de incidentes, e se a relação custo impacto é

vantajosa para a continuidade do negócio. Deve ainda basear-se em três

pilares, a flexibilidade, a análise de soluções e a melhoria continua.

− A flexibilidade está diretamente ligada às melhorias contínuas. Uma

PSSI por natureza deve ser flexível a mudanças do comportamento

humano, mudanças nos processos críticos de uma organização e

flexível a novas tecnologias, evitando assim tornar-se obsoleta.

− A análise de soluções no processo de monitorizarão e avaliação de uma

PSSI consiste em pesquisar software, hardware e procedimentos que

ampliem o nível de segurança da organização e mantenham o nível de

funcionalidade da rede bem como a relação custo/beneficio.

Page 53: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 45

− Depois da política implementada na organização, é necessário procurar

sempre melhorias em processos, pessoas e tecnologias. Este aspecto

constitui um elemento de grande importância para a continuidade do

negócio.

O processo de monitorização e avaliação deve ser levado a cabo tendo sempre

em conta a visão e os objectivos de segurança de informação da organização e

da tecnologia utilizada, tanto ao nível de hardware, de software, como de

procedimentos ou de recursos humanos. A monitorização só faz sentido

quando prevê a avaliação e a consequente adaptação dos objectivos

inicialmente definidos.

A nível técnico o processo de monitorização é conhecido como sniffing, e

traduz-se na utilização de software específico que permite a intercepção do

meio de comunicação e o registo, para fins de análise, da informação que

circula no mesmo.

Visão e objectivos de segurança de informação

Organização Tecnologia

Avaliação e Adaptação

Pe

sso

as

Pro

cess

os

Ide

ntifi

caçã

o

Pro

tecç

ão

Sis

tem

as

Ap

lica

çõe

s

Act

ivo

s

Co

ntr

olo

Métricas de avaliação de pessoas, processos, tecnologia e controlos

Ilustração 10: Processo de monitorização e avaliação

Page 54: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 46

Actualmente existem no mercado ferramentas específicas para ataque

baseadas em técnicas de sniffing que permitem combinar o conhecimento dos

diferentes protocolos de comunicação com o sniffer, permitindo assim a

simulação do ataque e a monitorização do sistema e da organização ao

ataque. Como exemplos de sniffers temos:

a) LOpht Crack Scanner que é um sniffer de palavras passe que expõe os

nomes de utilizador e respectivas palavras passe em ambientes

Windows;

b) Protocolo PPTP (point-to-point tunneling protocol), concebido para

disponibilizar comunicações em túneis cifrados. Esta ferramenta recorre

ao sniffer para monitorizar o tráfego da rede através de sessões PPTP,

reconhecendo e capturando os pacotes de tráfego deste tipo, e

c) O Hunt que permite examinar o fluxo do tráfego e raptar sessões dando

ao utilizador acesso a sessões já estabelecidas.

Convém no entanto relembrar que embora estas ferramentas sejam bastante

úteis para o processo de monitorização, caso caiam nas mãos erradas poderão

provocar incidentes de avultada gravidade.

A fase de monitorização e controlo pode prever a realização de auditorias de

segurança, internas ou externas, permitindo assim:

a) Avaliar de modo formal a implementação da PSSI;

b) Identificar lacunas ou omissões na PSSI;

c) Introduzir alterações ou ajustes;

d) Reavaliar o risco;

e) Procurar novas vulnerabilidades técnicas;

f) Validar a aplicação da política;

g) Calcular níveis de disponibilidade;

h) Apurar necessidades de armazenamento;

i) Avaliar a sensibilidade do sistema, e

j) De que forma o negócio é afectado caso ocorram acessos não

autorizados.

Page 55: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 47

CAPITULO 3 – CONCLUSÕES

Para elaboração deste estudo, inicialmente foi feita uma revisão bibliográfica

para identificar componentes que devem fazer parte de uma PSSI.

Na impossibilidade de consultar PSSI efectivas, o estudo foi feito através de

consulta a locais Web de empresas. Inicialmente a consulta foi completamente

aleatória, numa fase posterior foram seleccionados alguns locais por sectores

de actividade e de acordo com o documento de privacidade apresentado.

Neste contexto este estudo faz referência a vinte locais, embora tenham sido

consultados cerca de cinquenta. De seguida são apresentados os resultados

observados.

3.1.RESULTADOS OBSERVADOS

Dos locais estudados listaram-se as características apresentadas nas tabelas

de forma aleatória.

Ilustração 11: Resultados observados

Page 56: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 48

LOCAIS WEB ESTUDADOS

Características

CM

Loulé

CM

Ansião

CM

Seixal

CM

Coimbra SGU IFADAP Ssocial

Declaração de compromisso x x x x x x x

Privacidade x x x x

Confidencialidade x x x x x x

Conformidade legal x x x x x

Controlo de acesso x x x x x

Recomendações ao

utilizador x

Acesso a rectificação de

dados pessoais x x x x x x

Integridade x x x x x

Recomendações para

palavra-passe x x x

Exoneração de

responsabilidade x x

Definição de perfis

Acções punitivas x x

Actualização x

Registo e autenticação x x x x

Outsourcing

Segurança de comunicações

e transmissão x x x x x

Acesso físico a instalações x

Logon / logout x

Autenticidade x x x

Disponibilidade

Monitorização x

E-mail

Encriptação de dados x x

Segurança de base de dados x x

Reacção a incidentes

Certificados digitais

Engenharia social

Page 57: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 49

LOCAIS WEB ESTUDADOS

Características Autodesk Swatch Continente Apple Vodafone Jumbo

Declaração de compromisso x x x x

Privacidade x x x x

Confidencialidade x x x x x

Conformidade legal x x x

Controlo de acesso x x

Recomendações ao utilizador x

Acesso a rectificação de dados

pessoais x x x x

Integridade x

Recomendações para palavra-

passe x x

Exoneração de responsabilidade x x

Definição de perfis x x x x

Acções punitivas

Actualização x

Registo e autenticação x x x x x

Outsourcing x x

Segurança de comunicações e

transmissão x

Acesso físico a instalações x

Logon / logout

Autenticidade x

Disponibilidade

Monitorização x

E-mail x x

Encriptação de dados x x

Segurança de base de dados x x x x

Reacção a incidentes x

Certificados digitais

Engenharia social

Page 58: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 50

LOCAIS WEB ESTUDADOS

Características CGD BES BCP Uminho Lusófona UAL UNL

Declaração de compromisso x x x x

Privacidade x

Confidencialidade x x

Conformidade legal x x x x x

Controlo de acesso x x x

Recomendações ao utilizador x

Acesso a rectificação de dados

pessoais x x

Integridade x

Recomendações para palavra-

passe x

Exoneração de responsabilidade x

Definição de perfis

Acções punitivas x

Actualização

Registo e autenticação x x

Outsourcing

Segurança de comunicações e

transmissão

Acesso físico a instalações

Logon / logout x

Autenticidade

Disponibilidade x

Monitorização x

E-mail x

Encriptação de dados x

Segurança de base de dados

Reacção a incidentes

Certificados digitais x

Engenharia social x

Page 59: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 51

3.2. CONCLUSÕES GERAIS

Da conclusão deste trabalho retiram-se algumas ideias gerais, a referir:

1. Uma vez que a forma de pesquisa utilizada foi via internet, os resultados

obtidos poderão não ser representativos para a realidade portuguesa

visto excluir automaticamente as organizações que não têm página

Web;

2. O facto de não existir informação referente á existência de politicas de

segurança não significa que estas não existam, o que prova é que não

existe por parte da organização um sinal inequívoco de que a

organização se preocupa com a integridade e preservação da

informação, além de não utilizar a publicação da sua politica como forma

de gerar uma base confiança no desenvolvimento da actividade e

afirmação da imagem externa da organização;

3. Parte das organizações pesquisadas nem sequer refere no seu site

qualquer medida de segurança de informação;

4. Muitas organizações remetem para a lei 67/68 de 26 de Outubro -

Protecção de dados pessoais – a questão da política de segurança. Não

há um sinal claro da adaptação da lei á sua realidade organizacional;

5. Uma pequena percentagem das organizações apresentam de facto uma

politica de privacidade e segurança. No entanto e á luz do exposto no

capítulo anterior, algumas delas nem sequer são dignas deste nome,

dado tratar-se de documentos pobres em termos de forma e conteúdo, e

6. Na análise dos locais Web é comum verificar que o texto da política de

segurança e privacidade é igual a outros sites visitados. Após análise

mais cuidada verifica-se que estas ocorrências acontecem devido a

duas situações específicas. Por um lado a emanação de propostas de

texto sobre o tema, por parte de entidades institucionais, como é o caso

da relação Câmara Municipal / Juntas de Freguesia. Por outro a

Page 60: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 52

existência de modelos de texto por parte de empresas de Web Design

que é igual para todos os clientes independentemente da realidade

organizacional.

Dos resultados observados conclui-se que há uma maior atenção para as

questões da segurança e privacidade por parte das empresas ligadas de

alguma forma ás TI, como é o caso da Apple e da AutoDesk. A seguir

aparecem as organizações de carácter institucional ou organismos públicos.

Segundo os dados recolhidos onde se verifica menor atenção com as politicas

de segurança e privacidade é no ensino, nomeadamente a UAL e a UNL.

3.3. SUGESTÕES PARA ESTUDOS FUTUROS

Ao longo deste trabalho cruzei-me com estudos sobre o tema com abordagens

muito diversificadas e com uma elevada abrangência multidisciplinar. Além

disso verifiquei, que não há dados publicados sobre a auscultação formal das

empresas acercas do tema.

Assim considero que poderão constituir sugestões para futuros trabalhos:

a) Utilização de instrumentos para captação de dados sobre a

implementação de PSSI nas organizações, como por exemplo

questionários ou entrevistas aos responsáveis por sistemas de

informação.

b) Utilização de instrumentos para captação da percepção dos utilizadores

de sistemas de segurança de informação quanto à sua segurança.

c) O papel do indivíduo dos seus valores e a construção de artefactos na

concepção e implementação de políticas de segurança de sistemas de

informação.

Page 61: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 53

REFERÊNCIAS BIBLIOGRÁFICAS

− Alter, S., Information Systems: A Management Perspective, Addison-Wesley;

1992

− Asciutti, César Augusto; Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para

a Administração Pública -USP

− Caldeira, Filipe; Monteiro, Edmundo; Descrição, Geração e Difusão de

Politicas de Segurança

− Campos, André; Sistema de Segurança da Informação – Controlando os

Riscos; Visual Books

− Carvalho, Hugo; Torres, Catarina; Segurança dos Sistemas de Informação;

Centro Atlântico; 2003

− Cuppens, F.; Saurel, C. Specifying a security policy. In: Proceedings of 9th

IEEE Workshop on Computer Security Foundations. Kenmare, Kerry, Ireland:

Kluwer Academic Publishers; 1996

− Dias, C., Segurança e Auditoria da Tecnologia da Informação, Axel, 2000

− Ferreira, R. da S. A sociedade da informação no Brasil: um ensaio sobre os

desafios do Estado. Ciência da Informação; 2003.

− Francini, Reitz Spanceski; Politica de Segurança da Informação –

Desenvolvimento de um modelo voltado para instituições de ensino; 2004

− Guan, B.-C, Evaluation of information security related risks of an

organization: the application of the multi-criteria decision-making method,

California: IEEE Society, 2003.

− Hartley, B, Locke, A. The Process of Security. In Business Security Advisor;

2001

− ISSO/IEC 17799:2000 – Código de Prática para a Gestão da Segurança da

Informação

− Lopes, Isabel; Ensaio Politicas de Segurança e Privacidade: Forma e Fundo;

2007

Page 62: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 54

− Loucopoulos, P., W.J. Black, P.J. Layzeel e A.G. Sutcliffe, A multi method

approach for developing universal specifications, Technical Report,

Department of Computation UMIST; 1987

− Mamede, Henrique; Segurança Informática nas Organizações; FCA;2006

− Marc, Fernando Nicolau F. F. ; política de segurança da informação - guia

prático para elaboração e implementação; ciência moderna

− Marciano, João Luiz; Lima-Marques, Mamede; Enfoque Social da Segurança

de informação; 2006

− Meneses, Heleno; et all; O Factor Humano na Segurança Informação; 2004

− Neves, Eduardo V. C.; Visão Geral de uma Política de Segurança; 2007

− Pereira, Cristiane; Actividades de Gestão de Segurança da Informação; 2004

− Pinto, Paulo, IT Security, Novabase & FEUP; 2005

− Silva, Pedro Tavares; Carvalho, Hugo; Torres, Botelho; Segurança dos

Sistemas de Informação - Gestão Estratégica da Segurança Empresarial

− Varajão, João & Amaral, Luis; Planeamento de sistemas de Informação;

FCA; 2000

− Varajão, João Eduardo Quintela; A Arquitectura e Gestão de Sistemas de

Informação; FCA; 1998

− Whitman, M. E. Enemy at the gate: threats to information security.

Communications of the ACM; 2003

Locais consultados:

http://WWW.TiSafe.com

http://www.infnet.edu.br/formacao/analista_seg.htm

http://www.intelligentedu.com/blogs/post/best_new_training_sites/107/Informati

on-Security-Management-Presentation/pt/

http://www.focosecurity.com.br

Page 63: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 55

ANEXOS

Page 64: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 56

ANEXO I – TERMO DE COMPROMISSO (ADAPTADO DE

FRANCINI REITZ SPANCESKI )

NOME:

NÚMERO DE IDENTIFICAÇÃO:

Comprometo-me a:

1. Executar as minhas tarefas de forma a cumprir com as orientações da

Política de Segurança e com as Normas e Padrões vigentes.

2. Utilizar adequadamente os equipamentos da Instituição, evitando

acessos indevidos aos ambientes computorizados, aos quais estarei

habilitado, que possam comprometer a segurança das informações.

3. Não revelar fora do âmbito profissional, facto ou informações de

qualquer natureza que tenha conhecimento devido a minhas atribuições,

salvo em decorrência de decisão competente do superior hierárquico.

4. Aceder só às informações por necessidade de serviço e por

determinação expressa do superior hierárquico.

5. Ser cuidadoso na exibição de informações confidenciais, em monitor,

impressoras ou outros meios electrónicos.

6. Não me ausentar do local de trabalho sem encerrar a sessão de uso do

computador ou sistema, evitando assim o acesso por pessoas não

autorizadas.

7. Observar rigorosamente os procedimentos de segurança estabelecidos

quanto à confidencialidade da palavra passe.

8. Substituir a palavra passe inicialmente gerada pelo sistema, por outra

secreta, pessoal e intransferível.

9. De modo algum ou sobre qualquer pretexto, procurar descobrir as

palavras passe de outras pessoas ou sonegar-lhes informação.

10. Utilizar o meu acesso somente para os fins designados e para os

quais estiver devidamente autorizado.

Page 65: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 57

11. Responder em todas as instâncias, pelas consequências das acções

ou omissões que possam por em risco ou comprometer a exclusividade

de conhecimento da minha senha ou das transacções a que tenho

acesso.

12. Reportar imediatamente ao administrador de segurança qualquer

incidente ocorrido.

Declaro estar ciente das determinações acima, compreendendo que quaisquer

incumprimentos das regras podem implicar a aplicação das sanções

disciplinares.

Local, ______ de _____________________________ de ____________.

Assinatura

Page 66: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 58

ANEXO II – TERMO DE RESPONSABILIDADE PARA UTILIZAÇÃO

DE EQUIPAMENTOS PESSOAIS (ADAPTADO DE FRANCINI REITZ

SPANCESKI )

1. Do Objeto: O presente termo objectiva a permissão para a utilização do

equipamento pessoal móvel ________________ na rede em todos as suas

unidades.

2. Do Prazo: O presente instrumento vigorará imediatamente a partir da

assinatura deste.

3. O utilizador ficará responsável por:

- Toda e qualquer manutenção/despesa que for necessária para o

funcionamento do equipamento.

- Possuir um software antivírus devidamente registado e actualizado.

- Instalar apenas software com licença de livre distribuição, ou que o

mesmo tenha adquirido a sua licença.

- Não copiar, reproduzir ou distribuir documentos, ficheiros ou

programas pertencentes á organização.

- Todo e qualquer prejuízos que, por sua culpa, na utilização do

equipamento, vier causar à terceiros, durante o tempo de vigência

deste termo.

- Respeitar as directrizes constantes da política de segurança de

sistemas de informação, que não contem deste documento.

Local, ___ de __________ de 20___.

Assinatura

Page 67: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 59

ANEXO III – EXEMPLO DE PROCEDIMENTO DE SEGURANÇA

PARA O COMPONENTE PROTECÇÃO CONTRA VÍRUS

Dever: Aqueles que detêm informações da empresa são responsáveis pela sua

integridade.

Padrão: Os utilizadores devem utilizar o antivírus XYZ.

Linha de Base: As configurações do antivírus XYZ devem ser definidas para

todos os ficheiros, de modo a garantir a integridade das informações

armazenadas.

Procedimentos:

a) Todos os utilizadores receberão actualizações semanais do software

XYZ. Nos intervalos e ao final do dia os utilizadores devem bloquear as

suas sessões no sistema.

b) Todos os ficheiros novos devem ser verificados quanto à existência de

vírus.

c) Sempre que possível os dispositivos de armazenamento externo devem

ser protegidos contra gravação.

d) Toda a actividade suspeita ou desautorizada deverá ser imediatamente

comunicada ao responsável de segurança.

Linhas Guia: Os funcionários que utilizam sistema de informação devem

participar de acções sobre o poder destrutivo dos vírus e entender quais são as

suas responsabilidades pessoais.

Page 68: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 60

ANEXO IV – LOCAIS ESTUDADOS

http://www.cm-loule.pt/index.php?option=com_content&task=view&id=190

https://www.sgu.gov.pt/1Pagina%5CSecurityPolicy.HTM

http://www.ifap.min-

agricultura.pt/portal/page/portal/ifap_publico/HP_Poli_Priv_Seg

http://www.cm-

ansiao.pt/default.aspx?module=ArtigoDisplay&COD=PoliticaPrivacidade

http://www.cm-seixal.pt/CMSEIXAL/FERRAMENTAS/PRIVACIDADE/

http://clientebancario.bportugal.pt/dsb/Aviso_Legal.htm

http://www.autodesk.pt/adsk/servlet/item?siteID=459664&id=2069264

http://www.apple.com/pt/legal/privacy/

http://www.portaldocidadao.pt/PORTAL/pt/informacao+geral/Politica

http://www.fe.unl.pt/index.php?page=30

http://acesso.grupolusofona.pt/

http://www.ualg.pt/index.php?option=com_content&task=view&id=25438&Itemi

d=1542

http://www.bes.pt/sitebes/cms.aspx?labelid=BCPolitPriv

http://www.millenniumbcp.pt/site/conteudos/segur/article.jhtml?articleID=28577

8

http://www.cgd.pt/Seguranca/Internet-Banking/Pages/Seguranca-CGD.aspx

http://www.squiggly.com/pt/privacy-policy

http://www.continente.pt//ServiceRules.aspx

Page 69: POLÍTICAS DE SEGURANÇA DE SISTEMAS DE …projinf.estig.ipb.pt/~a1904/ProjectoIG-1904.pdf · I POLÍTICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO - FORMA E FUNDO Projecto de Informática

Projecto de Informática - IG

_______________________________________________________________

Sandra Tralhão 61

http://www.jumbo.pt/frontoffice/ContentPages/Institutional.aspx?ContentType=a

visoslegais

http://www.vodafone.pt/main/Ajuda/Privacidade/mainPrivacidade

http://www.portaldocidadao.pt/PORTAL/entidades/ADL/CMC/pt/ORG_camara+

municipal+de+coimbra.htm