Escolar Documentos
Profissional Documentos
Cultura Documentos
Aula 12 SRC Final
Aula 12 SRC Final
AULA 12
POLTICA DE SEGURANA E PLANEJAMENTO ESTRATGICO DE TI
Pr-requisitos
Conhecimentos bsicos de segurana da informao e da norma ISO/IEC 27001.
1.
definio nos leva concluso de que um ativo pode ser desde um hardware, um software at
mesmo as prprias pessoas com seu conhecimento acumulado. Neste contexto, a informao
o ativo de maior valor para a empresa, devendo ser adequadamente utilizada e protegida
contra ameaas externas e internas. A adoo de polticas que definam procedimentos para
garantir a segurana da informao deve ser prioridade constante na organizao. Somente
assim, sero reduzidos riscos de falhas, danos ou prejuzos que possam comprometer os
objetivos e metas da instituio.
A informao pode ser armazenada ou transportada atravs de diversos meios, tais como
redes de computadores, bancos de dados, arquivos eletrnicos, mensagens de correio
eletrnico, formato impresso, verbalmente, mdias de udio e vdeo etc. Da a necessidade de
se determinar procedimentos para o seu uso, manipulao e descarte. Tais procedimentos
devem ser determinados em um documento formal que chamamos de Poltica de Segurana
da Informao.
Porm, devemos ressaltar que dentro do contexto moderno de Governana de TI, toda
poltica deve ser resultado de diretrizes estratgicas da organizao. Em regra, as polticas
devem ser desdobramentos das metas e diretrizes do Planejamento Estratgico de TI (PETI). O
PETI o documento da TI que define quais so as suas prioridades, metas e objetivos de curto
mdio e longo prazo dentro da organizao. Toda poltica, inclusive a Poltica de Segurana da
Informao, resultado da anlise do Plano Estratgico de TI.
Seguindo a filosofia central definda pela idia de Governana em TI, o Plano Estratgico de
TI deve ter suas metas e objetivos derivados das metas e objetivos da prpria empresa. Isso
quer dizer que, ao lermos uma meta no PETI, ela deve ter um elo direto com alguma meta da
organizao. Podemos dizer que se uma empresa no possui um Plano Estratgico sua
estrutura de planejamento estar comprometida, pois os planejamentos de suas reas de
negcio (entre elas a TI) no se sustentam em metas da empresa.
Incio da Caixa de Ateno
A Poltica de Segurana da Informao deve estar alinhada ao Plano Estratgico de TI; este,
por sua vez, deve estar alinhado ao Plano Estratgico da Empresa.
Fim da Caixa de Ateno
portflios, quando atua em diferentes reas de negcio. Do mesmo modo, uma determinada
rea da empresa pode ter o seu prprio portflio. No caso da TI, seu portflio rene todos os
seus programas, projetos e processos em andamento, ou seja, tudo o que a TI faz.
Fim da Caixa de Verbete
Digramao favor utilizar a imagem como modelo para representar a mesma idia.
Gerenciamento de Valor da TI
A TI deve trabalhar com a direo do negcio para assegurar que haja
Plano Estratgico de TI
Obviamente, um dos objetivos do planejamento estratgico da TI criar um
Planos Tticos de TI
Um objetivo que consequncia do anterior a criao dos Planos Tticos de
Este objetivo visa estabelecer processos de comunicao que sejam bidirecionais e que ajudem a envolver no planejamento estratgico as outras reas
de negcio e a TI. As necessidades imperativas da empresa e da TI precisam ser
mediadas para serem mutuamente aceitas. O valor do portflio da TI deve ser
aumentado atravs da escolha dos projetos certos para serem conduzidos. Isso
significa que projetos que no estejam alinhados aos interesses da organizao
devem ser cancelados (ou melhor, nunca serem iniciados).
Figura 12.2: Indicadores, mesmo que simples, so essenciais para controlar e melhorar o fornecimento
de servios de TI e atingir o SLA.
Incio da Atividade
Atividade 01 - Objetivo 01
A sua empresa deseja definir diretrizes de Goverana em TI com o objetivo principal de
promover o alinhamento estratgico entre as aes de TI e os objetivos de negcio. A diretoria
executiva envolvida nas discusses define que o primeiro passo seria a construo da Poltica
de Segurana da Informao. A sua opinio, como membro da rea tcnica, solicitada. Que
informaes novas voc poderia trazer discusso?
Quantidade de Linhas: deixar 08 linhas.
Resposta
A primeira questo importante a ser ressaltada o fato de que a Poltica de Segurana
deve ser um subproduto do Plano Estratgico de TI. Portanto, neste caso, o primeiro passo a
ser tomado seria o de construir o PETI, caso a empresa no tenha um. Alm disso, o prprio
Plano Estratgico de TI resultado do planejamento estratgico organizacional. Portanto, a
empresa deve pensar, em primeiro lugar, na elaborao do seu prprio Plano Estratgico
Empresarial, caso ele ainda no exista. Por ltimo, caso j existam estes planos estratgicos, a
diretoria deve ser alertada de que a Segurana da Informao uma das reas vitais da TI, mas
no deve ser vista como a nica. Conhecer e aplicar modelos de controle como o COBIT
ajudaria muito a orientar e direcionar as decises da alta gesto neste caso e a focar no que
mais importante.
Fim da Atividade
Uso da Internet
Neste item o usurio deve ser alertado sob a existncia de regras de
acesso a sites, monitoramento das atividades e possibilidade de
responsabilizao pelo uso indevido dos recursos da internet.
Atualmente tem sido muito comum esta parte da poltica tratar
tambm de outros meios de acesso internet a partir das instalaes da
empresa (celulares, modens, etc.). A determinao sobre o que permitido ou
no, obviamente, cabe organizao e varia caso a caso.
Seguem exemplos de diretrizes que costumam aparecer nesta seo:
o
Dentre outras.
Figura 12.3: A Poltica de Segurana deve tratar especificamente do uso das redes sem fio na
organizao. Adaptado de: http://www.efetividade.net/2009/06/24/wireless-maior-alcance-para-suarede-sem-fio-com-um-repetidor-wi-fi/
Digramao, favor, usar a imagem somente como modelo.
Dentre outras.
Figura 12.4: A Poltica de Segurana deve tratar da padronizao dos nomes de usurios e da criao,
uso e manuteno das suas respectivas senhas. Fonte: http://gorpaki.blogspot.com/2010/10/solucoespara-quem-perdeu-senha-de.html.
Figura 12.5: muito importante que a Poltica de Segurana trate do uso do correio eletrnico na
empresa. Fonte: http://polemikos.com/?p=83.
Digramao, favor, manter a imagem a us-la como modelo para representar a mesma idia.
Classificao da Informao
A Poltica de Segurana deve definir as diretrizes para a classificao da
informao verbal e impressa e para o seu tratamento de acordo com esta
classificao.
Figura 12.6: A Poltica de Segurana deve definir as diretrizes para a classificao e tratamento da
informao.
Digramao, favor, criar uma figura usando papis, pastas etc. com carimbos de Ostensivo,
Reservado, Confidencial e Secreto.
Dentre outras.
4.5. Referncias
Muitas vezes a organizao se baseia na legislao vigente ou mesmo em normas e
regulamentos internos da empresa para redigir a sua Poltica de Segurana. Nestes
casos importante listar os documentos de referncia que do embasamento ao
contedo descrito na poltica.
Vale ressaltar que todas as partes interessadas (funcionrios, parceiros, terceiros etc.)
devem entender que planos estratgicos e polticas no so feitos para serem imutveis.
Muitas diretrizes que so adequadas em um contexto no sero adequadas em outro. Alm
Incio da Atividade
Atividade 02 - Objetivo 02
Voc foi contratado por uma empresa por causa de seu conhecimento tcnico na rea
de Segurana da Informao. Sua tarefa inicial comear a registrar todos os incidentes
relacionados violao da poltica. Ao comear o trabalho voc percebe que nem todos na
empresa conhecem a Poltica de Segurana da empresa. Alm disso, ela nunca foi revisada
desde a sua elaborao, h aproximadamente um ano. Por onde voc comearia a resolver
esta situao?
Quantidade de Linhas: deixar 10 linhas.
Resposta
Este contexto deixa claro que a empresa no v a Poltica de Segurana como algo que
deve ser tratado dentro de um processo contnuo. Logo, o primeiro passo seria definir um
processo para criar, revisar e comunicar as diretrizes da poltica. Esta reviso deve ser
peridica e as principais atividades do processo devem ser documentadas (por exemplo,
atravs de fluxogramas etc.). O passo seguinte seria atualizar a poltica existente com base no
Plano Diretor de TI. Caso no haja um PDTI, deve ficar claro que a Poltica de Segurana ficar
restrita interpretao direta das metas estratgicas da organizao, mas que isso no o
ideal. Depois, todos na organizao devem ser comunicados sobre a existncia de uma Poltica
de Segurana e devem ter todas as suas dvidas esclarecidas. Somente depois disso que os
incidentes podero comear a ser registrados e as devidas providncias tomadas.
Fim da Atividade
Informao possam causar a paralisao dos negcios de uma empresa, o objetivo da Poltica
de Segurana diferente do objetivo do Plano de Continuidade dos Negcios.
Segundo a norma ISO/IEC 27001:2005, o objetivo do processo de elaborao de uma
Poltica de Segurana na empresa o de no permitir a interrupo das atividades do negcio
e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar
a sua retomada em tempo hbil, se for o caso.
Na verdade, como vimos nas aulas 10 e 11, esta norma trata a questo do Plano de
Continuidade em uma das 11 sees em que se dividem os controles do Sistema de Gesto da
Segurana. H cinco controles nesta seo, conforme veremos a seguir nos itens 5.1 a 5.5.
Note que o texto fala de efeitos de falhas ou desastres significativos. Ou seja, um evento
que causa decontinuidade aquele que afeta no apenas um grupo de usurios, mas todos
eles; ou aqule que tira no somente um servio do ar, mas vrios servidores de uma vez; etc.
Figura 7: A elaborao do Plano de Continuidade fortalece as bases que sustentam o negcio. Fonte:
http://tudo-dbom.blogspot.com/2011/05/super-castelo-de-cartas.html
Aes de Continuidade
A seo que trata das aes de continuidade envolve todas as aes
tomadas proativamente pela organizao com o objetivo de evitar eventos
que causem impacto considervel s operaes ou, pelo menos,
minimizem os seus efeitos. Por exemplo, se a empresa determina que ela
no pode ficar mais do que oito horas sem um servio, devem ser
realizados testes, ensaios etc. visando a garantir que possvel
restabelec-lo em menos de oito horas em caso de catstrofe. Estes
testes, ensaios etc., obviamente, devem acontecer antes que o evento
ocorra, por isso so vistos como aes preventivas dentro do
Aes de Contingncia
Aes de contingncia so eminentemente reativas. Ou seja, so aes
pensadas e documentadas a priori, mas que s acontecero em caso de
descontinuidade. A empresa deve determinar o que caracteriza seu modo
de operao contingencial estabelecendo, por exemplo, quais servios
sero restabelecidos primeiro em caso de descotinuidade. Pode-se, por
exemplo, definir que em no mximo 24 horas aps o evento de
descontinuidade determinados servios mnimos e determinados usurios
principais devero estar sendo atendidos at o restabelecimento completo
das operaes. Este modo chamado de operao contingencial. As aes
tomadas para colocar a empresa em modo de contingncia dentro do
perodo pr-estabelecido so chamadas aes de contingncia.
Aes de Recuperao
A recuperao acontece quando a empresa volta a operar da mesma
forma que operava antes do evento que deu origem descontinuidade
dos servios. Ou seja, se o evento aconteceu no dia D, a recuperao
acontece quando tudo volta a funcionar como no dia D-1. As aes de
recuperao tambm so reativas (no faz sentido execut-las se no
houve nenhum problema grave na empresa). Alm disso, elas
normalmente so executadas aps as aes de contingncia. Ou seja, a
prioridade inicial reiniciar a operao, mesmo que em modo de
contingncia; depois, realizar a recuperao total.
Segurana da Informao
Nem sempre o Plano de Continuidade algo feito pela rea de Tecnologia
da Informao. Em algumas empresas, h vrios setores cujas operaes
podem causar descontinuidade ao negcio. Porm, como a rea de TI
cada vez mais importante nas organizaes, tem sido muito comum que o
Incio da Atividade
Atividade 03 - Objetivo 03
Uma equipe na sua empresa foi designada para revisar o contedo da Poltica de
Segurana e est em dvida sobre onde inserir as questes relativas continuidade do
negcio. Alguns dizem que este assunto tambm deve ser tratado na Poltica de Segurana;
outros dizem que isso deve ser um assunto parte tratado no Plano de Continuidade. Qual
seria a interpretao correta neste caso?
Quantidade de Linhas: deixar 08 linhas.
Resposta
Os objetivos da Poltica de Segurana e do Plano de Continuidade so totalmente
distintos. Embora haja eventos de Segurana da Informao que possam causar
descontinuidade no negcio, o Plano de Continuidade deve tratar de vrias outras questes
que tambm podem ocasionar descontinuidade, tais como eventos de fora maior (terremoto,
enchentes etc.). Alm disso, o Plano de Continuidade define aes reativas a serem executadas
em caso de descontinuidade, algo que no objetivo da Poltica de Segurana.
Fim da Atividade
6. Maturidade do Processo
Em toda esta aula ns falamos de planos e polticas. Voc deve ter notado que sempre
ressaltamos que em todos os casos os planos ou polticas devem ser construdos e mantidos
atravs de processos. Com isso queremos dizer que as polticas e planos ficaro melhores na
medida em que o processo de construir e mant-la amadurecem.
Figura 12. 8: O processo de construo de planos e polticas precisa amadurecer na organizao. Fonte:
http://www.efagundes.com/Artigos/CMM.htm
6.6.Nvel 5 - Otimizado
Neste nvel a empresa atinge o ponto mximo de amadurecimento em seus
processos, porm, a melhoria continua acontecendo atravs de aes de automao
dos processos, pesquisas de mercado, comparao como processos de outras
empresas visando melhoria interna etc. Os planos e polticas da empresa refletem as
suas reais necessidades de fato agregam o valor defido s operaes. Comparaes
com normas confiveis e bem conhecidas do mercado so realizadas e integradas ao
processo de formulao de estratgias (benchmarking).
Incio da Atividade
Atividade 04 - Objetivo 04
Uma empresa apresenta o seguinte cenrio com relao ao desenvolvimento de sua
Poltica de Segurana: H uma clara definio de quando e como a poltica revisada. A
construo da poltica segue uma abordagem estruturada e todas as atividades do processo
esto claramente documentadas. As diretrizes da poltica so comunicadas dentro da
organizao e a outras partes interessadas. Porm, no existem procedimentos para auditar e
examinar a aplicao do processo, ou seja, a aplico fica a critrio dos responsveis pela
poltica. Em que nvel de maturidade se encontra este processo na empresa?
Quantidade de Linhas: deixar 08 linhas.
Resposta
Como o processo est inteiramente documentado, podemos dizer que, no mnimo,
este processo atingiu o nvel de maturidade definido. Porm, o fato de no haver uma
auditoria que permite garantir o cumprimento do processo sempre, ele ainda no atingiu o
nvel de maturidade gerenciado. Perceba que o fato de se ter um processo pronto e
documentado no garantia de que ele ser usado dentro da empresa. Por isso preciso
haver procedimentos que garantam isso. Esta a diferena que separa o nvel 3 (definido) do
nvel 4 (gerenciado).
Fim da Atividade
7. Concluso
Nesta aula terminamos o nosso curso com um contedo menos tcnico. importante
ressaltar que o tema Poltica de Segurana no pode ser estudado em separado do
planejamento estratgico de TI e do Plano de Continuidade de Negcios devido confuso que
estes termos tm causado no mercado.
Vimos tambm que a primeira preocupao da empresa, antes mesmo da confeco de
um Plano Estratgico de TI, a construo do seu prprio Plano Estratgico Empresarial. Ou
seja, no h como a TI saber quais so as suas direes se a prpria empresa no sabe.
Lembre-se e que tudo o que a TI faz dentro de uma empresa deve ter uma justificativa
razovel de negciopara ser realizado. Isso alinhamento.
Antes de falar em Poltica de Segurana, a empresa precisa definir um Plano Estratgico de
TI. Somente a partir dele que se poder definir diretrizes de segurana. Por exemplo, muito
que pode ser escrita dentro da Poltica de Segurana pode implicar a necessidade de gastos
adicionais na rea de TI. At que ponto estes gastos esto alinhados aos rumos que a empresa
deseja tomar no curto, mdio e longo prazos?
Por ltimo, vimos que o Plano de Continuidade deve ser realizado como um trabalho
parte daquele realizado para definir uma Poltica de Segurana. Embora estes documentos
tenham muita coisa a ver um com o outro, seus objetivos so distintos.
Resumo
A Poltica de Segurana da Informao deve estar alinhada ao Plano Estratgico de TI.
O Plano Estratgico de TI deve ser construdo a partir do Plano Estratgico Empresarial
de forma que toda meta de TI tenha uma relao com alguma meta de negcio.
A Poltica de Segurana deve ser formalizada em um documento escrito disponvel
para todas as partes envolvidas e a sua construo, execuo e evoluo devem
acontecer na forma de um processo contnuo na organizao.
O Plano de Continuidade de Negcios documenta tanto aes proativas quanto aes
reativas que devem ser tomadas em caso de evento com impacto significativo para os
negcios.
Aes de contingncia so as aes tomadas para colocar a empresa em modo de
contingncia o mais rapidamente possvel. O que caracteriza o modo de
contingncia e o que significa o mais rapidamente possvel deve ser algo explcito e
documentado a priori no Plano de Continuidade.
representada na figura das pessoas que compem a alta gesto, que deve patrocinar
os itens da Poltica de Segurana.
4) A afirmao [91] verdadeira. Conforme visto na teoria. A afirmao [92] falsa. O
texto da Poltica de Segurana nunca deve ser muito especfico, pois ele um
documento mais estratgico. Especificar demais poderia dificultar a sua operao.
5) A afirmao verdadeira, conforme vimos na teoria.
Referncias
COBIT 4.1 Control Objectives for Information and Related Technology. Illinois: IT
Governance Institute, 2007.
ABNT NBR ISO/IEC 27001:2006 - Tecnologia da informao - Tcnicas de segurana
Requisitos do sistema de gesto de segurana da informao. Brasil, 2006. 34 p.
ABNT NBR ISO/IEC 27002:2005 - Tecnologia da informao - Tcnicas de segurana
Cdigo de prticas para a gesto da segurana da informao. Brasil: 2005. 120 p.