Escolar Documentos
Profissional Documentos
Cultura Documentos
Definio de Poltica
Poltica significa coisas diferentes para diferentes pessoas (Tom Peltier). Para nosso propsito, a melhor definio de Poltica a arte e cincia de cuidar dos negcios. Significando que a segurana s pode ser realizada se forem considerados todos os aspectos - no somente a elaborao da sua documentao.
Poltica de Segurana
Administrao Implementao Anlise Poltica
Situao atual
Poltica de Segurana
Modelo PDCA
Plan
Action
Do
Check
Informao
A informao um ativo que como qualquer outro ativo importante para os negcios, tem um valor para a organizao e consequentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversos tipos de ameaas para garantir:
a continuidade dos negcios, minimizar os danos aos negcios maximizar o retorno dos investimentos e as oportunidades de negcios.
Segurana da Informao
Preservao da confidencialidade, integridade e disponibilidade da informao.
Salvaguarda da exatido e completeza da Garantia de que os usurios Garantia de que o acesso informao e dos autorizados tenham informao seja obtido mtodos de acesso informao e aos somente por pessoas processamento. ativos correspondentes autorizadas. sempre que necessrio.
Ativo
Tudo que manipula informao, inclusive ela prpria.
Informao
As formas da informao
Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou atravs de meios eletrnicos Mostrada em filmes Falada em conversas
Poltica de segurana
importante para: Garantir a implementao de controles de segurana apropriado; Auxiliar na seleo de produtos e no desenvolvimento de processos; Disciplinar usurios sobre violaes de segurana; Documentar as preocupaes da alta direo sobre segurana; Transformar a segurana em um esforo comum.
Poltica de Segurana
o conjunto de critrios e solues para problemas tecnolgicos e humanos. o primeiro passo efetivo para resolver qualquer esforo de segurana da informao.
Deve se basear na anlise de risco e visa padronizao de ambientes e processo de modo a evitar as vulnerabilidades existentes.
Diretrizes Normas
para quem cuida para quem usa
ESTRATGICO
TTICO
Procedimentos e Instrues
OPERACIONAL
Diretriz (exemplo)
Somente ser permitido o uso de recursos homologados e autorizados pela empresa, desde que sejam identificados de forma individual, inventariados, com documentao atualizada e estando de acordo com as clusulas contratuais e a legislao em vigor.
Norma (exemplo)
HTTP, para acesso a Web sites externos SSL e HTTPS, para transaes seguras, com a utilizao de criptografia entre o browser e o servidor Web.
Procedimentos (exemplo)
Quem o responsvel
Instruo Ao corretiva de (que fazer) Trabalho Administrador Executar Firewall e Todo dia IT-IN -03 Acionar Power-on Roteador s 8hs. fornecedor de m anuteno de hardware Administrador Listar Firewall Todo dia IT-IN -04 LOG s 10hs Administrador Verificar sistem a Todo dia IT-IN -06 Encontrando incidentes de pela incidente, de segurana m anh executar segurana procedim ento PT-IN -04
Em que local
Quando perodo
Procedimentos operacionais
Instruo (exemplo)
Selecione a opo Report/Logfile no menu localizado no alto da tela Neste ponto escolha qual report ser analisado Semanal Dirio Atual
Ensinar
Atualizar
Tecnologia da Informao
Gesto
Negcio
Papel da Segurana
Aspectos preliminares abrangncia e escopo de atuao da poltica; definies fundamentais; normas e regulamentos aos quais a poltica est subordinada; quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da poltica; meios de distribuio da poltica; como e com que freqncia a poltica revisada.
Aspectos (continua)
Poltica de senhas requisitos para formao de senhas; perodo de validade das senhas; normas para proteo de senhas; reuso de senhas; senhas default.
Aspectos (continua)
Direitos e responsabilidades dos usurios utilizao de contas de acesso; utilizao de softwares e informaes, incluindo questes de instalao, licenciamento e copyright; proteo e uso de informaes (sensveis ou no), como senhas, dados de configurao de sistemas e dados confidenciais da organizao; uso aceitvel de recursos como email, news e Web; direito privacidade, e condies nas quais esse direito pode ser violado pelo provedor dos recursos (a organizao); uso de antivrus.
Aspectos (Continua)
Direitos e responsabilidades do provedor dos recursos (organizao): backups; diretrizes para configurao e instalao de sistemas e equipamentos de rede; autoridade para conceder e revogar autorizaes de acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar endereos e nomes de sistemas e equipamentos; monitoramento de sistemas e equipamentos de rede; normas de segurana fsica.
Aspectos (Continua)
apoio por parte da administrao superior; a poltica deve ser ampla, cobrindo todos os aspectos que envolvem a segurana dos recursos computacionais e da informao sob responsabilidade da organizao; a poltica deve ser periodicamente atualizada de forma a refletir as mudanas na organizao; deve haver um indivduo ou grupo responsvel por verificar se a poltica est sendo respeitada;
sucesso (continua)
todos os usurios da organizao devem tomar conhecimento da poltica e manifestar a sua concordncia em submeter-se a ela antes de obter acesso aos recursos computacionais; a poltica deve estar disponvel em um local de fcil acesso aos usurios, tal como a intranet da organizao.
a poltica no deve ser demasiadamente detalhada ou restritiva; o excesso de detalhes na poltica pode causar confuso ou dificuldades na sua implementao; no devem ser abertas excees para indivduos ou grupos; a poltica no deve estar atrelada a softwares e/ou hardwares especficos.
Segurana da Informao
Gesto da segurana da informao