Poltica de Segurana da Informao PSI

O que PSI?
[conjunto de] Documentos que descrevem quais os objetivos das atividades relacionadas a SegInf Quais os princpios (de SI) importantes devem estar presentes nas atividades

Por que importante?

Permite alinhamento das atividade de segurana com os objetivos do negcio Permite definio da estratgia de segurana Demonstram o comprometimento da organizao (alta direo) com a segurana Conformidade com a legislao Governana

Quem usar?
Todos! Principalmente os profissionais de tecnologia e segurana

Quando desenvolver?
Antes que os problemas graves ocorram?
Devido aos objetivos: preveno e resultados

Situaes que impelem o desenvolvimento

Reduo de riscos Conformidade

Como desenvolver?
A PSI permite viabilizar objetivos estratgicos da empresa
Ex: Proteo da imagem da empresa; Proteo de segredos corporativos ou industriais; Minimizar os problemas de indisponibilidade

Quais as prioridades?
Anlise e Avaliao de riscos (dividir para conquistar)

Equipe? Terceirizar?
6

Etapas
Identificar recursos crticos Analisar necessidades de segurana Elaborar proposta e promover discusso aberta Apresentar documento Aprovar e implementar Manter a poltica de segurana
7

Questes
O que proteger? Contra o qu ou quem? Quais as ameaas provveis? Qual a relevncia de cada recurso? Qual o grau de proteo necessrio? Quanto tempo, recursos e pessoal pretendese gastar Quais as expectativas?
8

O que deve ser protegido?

Identificar ativos mais relevantes Como?

Protegendo de quem?
Principais pontos de preocupao
Fraudes? Espionagem? Desastres naturais?

10

Pontos a serem abordados

Manuseio de informaes Licenciamento de softwares Backups Propriedade intelectual Resposta a incidentes Investigao e percia Acesso Internet Uso de e-mail
11

Responsabilidades
A PSI tem o objetivo de atribuir responsabilidades (definir e explicar) A PSI permite criar uma cultura de segurana e divulg-la na organizao

13

Alinhamento Estratgico
Alinhamento com requisitos do negcio
Tipo do Documento Nvel de atuao Diretriz Estratgico Norma Ttico Procedimentos e Instrues Operacional

14

Determinando os requisitos
5W1H (Who, What, When, Where, Why e How)
Requisitos Legais Requisitos de Negcio Anlise de Risco

Poltica de Segurana da Informao Controle

15

Diversificando as audincias
A PSI pode ser dividida em diversos documentos Audincia
Tcnicos: implementam os controles Usurios: usam os sistemas/manipulam as informaes sujeitos aos controles

16

Equipe
Principais
Security Officer Comit de Segurana da Informao Profissonais de SI Profissionais de TI

Opcionais
Jurdico RH Segurana Fsica e Patrimonial Auditoria Usurios

17

Estruturao

19

Exemplos
Diretriz: os funcionrios devem ter acesso fsico e lgico somente aos recursos e locais necessrios ao desempenho das atividades Norma tcnica:
Segurana lgica: Acesso remoto: O acesso remoto deve ser controlado e registrado em log

Norma de uso
Segurana lgica: acesso remoto: a liberao de uso de aplicaes remota somente aps aprovao do gestor da informao

Procedimentos
Detalhe (passo a passo) da execuo de uma tarefa

20

Outros documentos
Guia de recomendaes Frameworks
cobit ISO 27001 COSO

21

Recomendaes
Estilo Formal x Informal Clareza e Simplicidade Sentenas negativas Inserir apenas o necessrio

22

Manuteno
Conformidade e aplicao Monitoramento e mtricas Reviso peridica
Mudana Rotina Tecnologia Empresa Deve-se utilizar Procedimentos e instrues Normas (e procedimentos) Diretrizes (e normas e procedimentos) Frequencia Alta Mdia Baixa Volume Baixo Mdio Alto

23

ABNT NBR 27002:2005

ABNT NBR 27002:2005

Possui 11 sees Possui 39 categoria principais de segurana Contm uma seo introdutria sobre anlise/avaliao e tratamento de riscos

25

Contedo (captulos)
0 objetivo da norma 1 termos e definies 2 a estrutura da norma 3 anlise/avaliao e tratamento de riscos 4 seo introdutria

26

Contedo (captulos)
A partir do captulo 5, chama os restantes de sees (11 sees) Para cada seo, pelos menos 1 categoria de segurana (39 categorias ao todo) Cada categoria tm 1 objetivo de controle e um ou mais controles para serem aplicados visando atingir o objetivo de controle

27

Sees

28

Atividade B1
Segundo a NBR ISO/27002:2005, qual o objetivo de controle da PSI? Segundo a NBR ISO/27002:2005, quais as diretrizes para implementao da PSI?

29

Atividade B2
Voc foi encarregado de apresentar uma proposta de poltica de segurana para o servio de arquivos do IFAL. Quais os passos para concluir? Quem ir aprovar a proposta? Qual a atividade essencial aps a concluso e aprovao da poltica? Justifique sua resposta.
30

Atividade B3
Quantas e quais so as categorias principais de segurana da informao que constituem a norma NBR 27002:2005? Como est estruturado cada categoria de controle?

31

Atividade B4
Qual o objetivo da categoria 10.1 (procedimentos e responsabilidades operacionais)? Descreva o controle 6.1.2 (coordenao da segurana da informao)? Explique as diretrizes para implementao do controle 11.5.5 (limite de tempo por sesso)? Descreva as informaes adicionais para 15.1.5 (preveno de mau uso de recursos de processamento da informao).
32

Atividade B5
Qual a definio de
Ativo Segurana da informao Poltica

33

Leitura
ABNT NBR 27002:2005

34