Poltica de Segurana

O que Poltica de Segurana da Informao?

Definio de Poltica
Poltica significa coisas diferentes para diferentes pessoas (Tom Peltier). Para nosso propsito, a melhor definio de Poltica a arte e cincia de cuidar dos negcios. Significando que a segurana s pode ser realizada se forem considerados todos os aspectos - no somente a elaborao da sua documentao.

Poltica de Segurana
Administrao Implementao Anlise Poltica

Situao atual

Poltica de Segurana
Modelo PDCA

Plan

Action

Do

Check

Informao
A informao um ativo que como qualquer outro ativo importante para os negcios, tem um valor para a organizao e consequentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversos tipos de ameaas para garantir:

a continuidade dos negcios, minimizar os danos aos negcios maximizar o retorno dos investimentos e as oportunidades de negcios.

Segurana da Informao
Preservao da confidencialidade, integridade e disponibilidade da informao.

Salvaguarda da exatido e completeza da Garantia de que os usurios Garantia de que o acesso informao e dos autorizados tenham informao seja obtido mtodos de acesso informao e aos somente por pessoas processamento. ativos correspondentes autorizadas. sempre que necessrio.

Ativo
Tudo que manipula informao, inclusive ela prpria.

Tecnologia Infra-estrutura Aplicaes Informaes Pessoas

Informao

As formas da informao

Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou atravs de meios eletrnicos Mostrada em filmes Falada em conversas

Poltica de segurana
importante para: Garantir a implementao de controles de segurana apropriado; Auxiliar na seleo de produtos e no desenvolvimento de processos; Disciplinar usurios sobre violaes de segurana; Documentar as preocupaes da alta direo sobre segurana; Transformar a segurana em um esforo comum.

Poltica de Segurana

o conjunto de critrios e solues para problemas tecnolgicos e humanos. o primeiro passo efetivo para resolver qualquer esforo de segurana da informao.

Existe para evitar problemas.

Problemas = Vulnerabilidades e Ameaas

Fazer Anlise de Risco

Deve se basear na anlise de risco e visa padronizao de ambientes e processo de modo a evitar as vulnerabilidades existentes.

Poltica de Segurana Modelo

Diretrizes Normas
para quem cuida para quem usa

ESTRATGICO

TTICO

Procedimentos e Instrues

OPERACIONAL

Diretriz (exemplo)

Somente ser permitido o uso de recursos homologados e autorizados pela empresa, desde que sejam identificados de forma individual, inventariados, com documentao atualizada e estando de acordo com as clusulas contratuais e a legislao em vigor.

Norma (exemplo)

Os seguintes servios TCP/IP so considerados recursos que podem ser disponibilizados:

HTTP, para acesso a Web sites externos SSL e HTTPS, para transaes seguras, com a utilizao de criptografia entre o browser e o servidor Web.

Procedimentos (exemplo)

Quem o responsvel

Instruo Ao corretiva de (que fazer) Trabalho Administrador Executar Firewall e Todo dia IT-IN -03 Acionar Power-on Roteador s 8hs. fornecedor de m anuteno de hardware Administrador Listar Firewall Todo dia IT-IN -04 LOG s 10hs Administrador Verificar sistem a Todo dia IT-IN -06 Encontrando incidentes de pela incidente, de segurana m anh executar segurana procedim ento PT-IN -04

O que ser feito

Em que local

Quando perodo

Ao corretiva (quem procurar) Sr. Fulano no telefone 2666666

Gerente de inform tica

Poltica de Segurana Complexidade

Procedimentos operacionais

Quem? O qu? Aonde? Quando? Por qu? Como?

Instruo (exemplo)

Selecione a opo Report/Logfile no menu localizado no alto da tela Neste ponto escolha qual report ser analisado Semanal Dirio Atual

Poltica de Segurana Documentao

Grande volume de trabalho para:

Elaborar Imprimir Distribuir Implementar

Ensinar
Atualizar

Desafio Integrao entre tecnologia e negcio

Tecnologia da Informao

Gesto

Negcio

Papel da Segurana

Eliminar as vulnerabilidade, minimizando os riscos e reduzindo os impactos no negcio.

SEGURANA Risco tendendo a zero

Uma poltica de segurana deve cobrir os seguintes aspectos:

Aspectos preliminares abrangncia e escopo de atuao da poltica; definies fundamentais; normas e regulamentos aos quais a poltica est subordinada; quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da poltica; meios de distribuio da poltica; como e com que freqncia a poltica revisada.

Aspectos (continua)

Poltica de senhas requisitos para formao de senhas; perodo de validade das senhas; normas para proteo de senhas; reuso de senhas; senhas default.

Aspectos (continua)
Direitos e responsabilidades dos usurios utilizao de contas de acesso; utilizao de softwares e informaes, incluindo questes de instalao, licenciamento e copyright; proteo e uso de informaes (sensveis ou no), como senhas, dados de configurao de sistemas e dados confidenciais da organizao; uso aceitvel de recursos como email, news e Web; direito privacidade, e condies nas quais esse direito pode ser violado pelo provedor dos recursos (a organizao); uso de antivrus.

Aspectos (Continua)
Direitos e responsabilidades do provedor dos recursos (organizao): backups; diretrizes para configurao e instalao de sistemas e equipamentos de rede; autoridade para conceder e revogar autorizaes de acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar endereos e nomes de sistemas e equipamentos; monitoramento de sistemas e equipamentos de rede; normas de segurana fsica.

Aspectos (Continua)

Aes previstas em caso de violao da poltica:

diretrizes para tratamento e resposta de incidentes de segurana; penalidades cabveis.

Fatores importantes para o sucesso de uma poltica de segurana

apoio por parte da administrao superior; a poltica deve ser ampla, cobrindo todos os aspectos que envolvem a segurana dos recursos computacionais e da informao sob responsabilidade da organizao; a poltica deve ser periodicamente atualizada de forma a refletir as mudanas na organizao; deve haver um indivduo ou grupo responsvel por verificar se a poltica est sendo respeitada;

sucesso (continua)

todos os usurios da organizao devem tomar conhecimento da poltica e manifestar a sua concordncia em submeter-se a ela antes de obter acesso aos recursos computacionais; a poltica deve estar disponvel em um local de fcil acesso aos usurios, tal como a intranet da organizao.

Fatores que levam a poltica de segurana ao fracasso

a poltica no deve ser demasiadamente detalhada ou restritiva; o excesso de detalhes na poltica pode causar confuso ou dificuldades na sua implementao; no devem ser abertas excees para indivduos ou grupos; a poltica no deve estar atrelada a softwares e/ou hardwares especficos.

Poltica de Segurana da Informao

Tem o propsito de elaborar critrios para o adequado manuseio, armazenamento, transporte e descarte das informaes atravs do desenvolvimento de Diretrizes, Normas, Procedimentos e Instrues destinadas respectivamente aos nveis estratgico, ttico e operacional.

Segurana da Informao
Gesto da segurana da informao

Conte-me, e eu vou esquecer.

Mostre-me, e eu vou lembrar.

Envolva-me, e eu vou entender. Confcio