Preparação de umaPolítica de Segurança

Etapas

• Identificar a necessidade de ter “uma política de segurança”

• Elaborar um guião• Definir a política de segurança da empresa• Definir as estratégias de realização da segurança• Definir o modo de concretizar as estratégias• Definir os procedimentos de segurança

Definir Política de Segurança

• Fazer análise de risco

• Política de segurança– Actividades– Responsabilidades– Divulgação e formação do pessoal

• Boas práticas

• Análise de riscos específica

• Contramedidas específicas

Impacto

Expectativas

Plano

(o que fazer se)

Evitar

(o quê)

Aceitar o risco

(Então o que fazer se ...)

Controlar

(o que fazer)

Formato das Políticas de Segurança

• Documento escrito– Aprovado ao mais alto nível da hierarquia– Clareza– Concisão

• Elaborado pelo responsável directo

• Deve ser dirigido para atingir o nível de segurança adequado aos bens a proteger

Formato das Políticas de Segurança

• Obrigar ao mínimo número de alterações ao funcionamento da organização

• Plano não deve ser demasiado específico

• Deve ser fazível

• Recursos devem ser quantificados

• Deve prever a formação dos intervenientes– Documentação / manuais– Formação directa

Formato das Políticas de Segurança

• Deve prever as acções concretas e quem as realiza

• Deve prever o que fazer em casos de falha

Procedimentos de Segurança

• Fáceis de entender, ou não serão postos em prática

• Explicada a sua finalidade, ou serão ignorados

• Impostos com energia, ou tentarão contorná-los

• Definir sanções para os violadores

Procedimentos de Segurança

• Cada empregado só precisa de saber os procedimentos de segurança que lhe dizem respeito

• Ao contrário das políticas de segurança, os procedimentos devem ser largamente divulgados

• Os procedimentos devem estar escritos e incluir directivas claras

Segurança e Recursos Humanos

• Muitas vezes a segurança é quebrada por elementos internos à organização– O infiltrado

– Questões económicas - a crise familiar

– Detenção de informação sobre a organização interna• Cada técnico de segurança só deve conhecer o estritamente

necessário ao desempenho da sua função (níveis de acesso aos recursos)

– Smart-cards

– Circuito de vídeo

Níveis de Segurança do “Livro Laranja”

• Segurança dedicada (D, C1)

• Segurança elevada (C2, B1)

• Segurança controlada (B2, B3)

• Segurança multi-nível (A1)

Níveis de Segurança do “Livro Laranja”

• Divisão D– Protecção mínima

• Divisão C– Classe C1 - Separação limitada de utilizadores

e dados– Classe C2 - Controlo de acesso de utilizadores e

dados de maior granularidade

Níveis de Segurança do “Livro Laranja”

• Divisão B– Classe B1 - Informação etiquetada e controlo

de acesso mandatório sobre alguns utilizadores e os dados que manipulam

– Classe B2 - idem a todos os utilizadores– Classe B3 - idem mas com possibilidades de

registo de toda a actividade sobre os dados

Níveis de Segurança do “Livro Laranja”

• Divisão A– Classe A1 - idem a B3 mas as facilidades de

segurança tem de ser provadas por meios formais

Perfil Psicológico doTécnico de Segurança

• O Rigoroso

• O descuidado

• O “calado”

• O “gabarolas”

• O ex-hacker

Situações Especiais

• Entrada de novo funcionário

• Funcionário insatisfeito

• Funcionário com problemas pessoais– Financeiros– Familiares

• Recomendação: rodar o pessoal entre funções compatíveis

Pessoal

• Importância do treino inicial

• Importância do treino periódico

• Divulgação de casos exemplares

Auditoria Revisitada

• Auditoria aos procedimentos

• Auditoria aos incidentes

• Auditoria ao pessoal– Entrevistas individuais (a ameaça pendente)

• Revisão das políticas