Escolar Documentos
Profissional Documentos
Cultura Documentos
Introduo.............................................................................................................................................2 Mas o que informao?......................................................................................................................2 A base da Segurana da Informao.....................................................................................................3 Outras definies importantes em Segurana da Informao..............................................................3 Gesto de ris o.....................................................................................................................................! A"a#iando o ris o..................................................................................................................................$ A"a#iao quantitati"a % qua#itati"a.....................................................................................................& 'ratamento do ris o..............................................................................................................................( Mtodos de proteo.............................................................................................................................( )stratgias de proteo.......................................................................................................................*+ Monitoramento...................................................................................................................................** ,o#-ti as de Segurana........................................................................................................................** .efinindo um ,o#-ti a de Segurana de Informaes.........................................................................** /omo e#aborar uma po#iti a de segurana..........................................................................................*3 .i"ises da ,o#-ti a............................................................................................................................*0 'e%to em n-"e# estratgi o.............................................................................................................*0 'e%to em n-"e# t1ti o......................................................................................................................*0 'e%to em n-"e# opera iona#............................................................................................................*2 /onte3do da ,o#-ti a...........................................................................................................................*2 Mtodos de ,roteo......................................................................................................................*2 4esponsabi#idades..........................................................................................................................*! 5so Adequado................................................................................................................................*$ /onseq67n ias...............................................................................................................................*$ ,ena#idades....................................................................................................................................*$ 8uais as atitudes que de"em ser e"itadas na 1rea de inform1ti a......................................................*&
Introduo
9os dias de :o;e< as empresas e =rgos go"ernamentais dependem ada "e> mais dos sistemas de informao e da Internet para fa>er neg= ios e umprir suas misses< no podendo dar?se ao #u%o de sofrer interrupes em suas operaes. 5m in idente de segurana pode impa tar direta e negati"amente as re eitas de uma orporao< a onfiana de seus #ientes e na sua imagem perante a so iedade. 5m in idente de segurana est1 diretamente re#a ionado om pre;u->os finan eiros< se;am e#es de"idos @ parada de um sistema por onta de um "-rus< ao furto de uma informao onfiden ia#< perda de uma informao importante ou pro essos ;udi iais por danos ausados por "a>amento ou e%posio de dados. )stima?se que Aorms e "-rus que atingiram grandes propores de propagao omo< por e%emp#o< MB.oom< S#ammer< 9imda tendo o asionado pre;u->os da ordem de bi#:es de d=#ares no mundo. )m 3#tima instCn ia< um in idente pode impedir< direta ou indiretamente< a organi>ao de umprir sua misso. )ssa perspe ti"a tra> a segurana da informao para um patamar no"o< no apenas re#a ionada om a esfera da te no#ogia e das ferramentas ne ess1rias para proteger a informao< mas tambm omo um dos pi#ares de suporte @ estratgia de neg= io de uma orporao. A gesto da segurana assume< ento< um no"o signifi ado< pois passa a #e"ar em onsiderao os e#ementos estratgi os de uma organi>ao e e"o#ui para a e%tenso da pr1ti a de gesto de ris os do neg= io.
AntInio 3 ,retos )#a pode no signifi ar nada< a no ser um monte de dados que no nos forne e informao< mas se o#o armos t-tu#os nessas o#unas a- teremosF 9ome Gos ,edro Idade 0 2 O#:os Herdes A>uis
AntInio 3 ,retos Agora sim temos informao< pois sabemos que Gos tem 0 anos de idade e seus o#:os so "erdes.
Cracker2 Indi"-duo om on:e imentos e#e"ados de omputao e segurana< que os uti#i>a para fins riminosos< destruio de dados ou interrupo de sistemas. 'ambm pode se referir a programas uti#i>ados para quebrar sen:as K)%. Password CrackerL. En*en4aria SocialF ' ni a uti#i>ada por hackers e ra Oers para obter informaes interagindo diretamente om as pessoas. ExploitF ,rogramas uti#i>ados por hackers e ra Oers para e%p#orar "u#nerabi#idades em determinados sistemas< onseguindo assim< a essos om maior pri"i#gio. FirewallF )quipamento eJou softAare uti#i>ado para ontro#ar as one%es Kque entram ou saemL de uma rede. )#es podem simp#esmente fi#trar os pa otes baseados em regras simp#es< omo tambm forne er outras funes tais omoF 9A'< pro%B< et . FloodF Sobre arga Kem gera#< de pa otesL ausada por e"entos no esperados que ausam #entido da rede. HackerF Indi"-duo om on:e imentos e#e"ados de omputao e segurana< que os uti#i>a para fins de di"erso< interesse< emoo. )m gera#< hackers no destroem dados< possuem um =digo de ti a e no bus am gan:os finan eiros. O termo hacker atua#mente adotado pe#a m-dia de forma indis riminada< se referindo a ra Oers por e%emp#o. HackingF N o ato de :a Oear sistemas< no no sentido 3ni o de in"adir< mas prin ipa#mente de des obrir omo fun ionam< e se possuem fa#:as. HijackingF N o assa#to de uma sesso< gera#mente '/,JI,. O assa#to de sesso uma forma de obter o ontro#e de uma one%o ini iada por um usu1rio #eg-timo. Ao inter eptar esta one%o o PhackerP pode impedir o usu1rio #eg-timo de usar o sistema e tomar o seu #ugar. HoleF 5m bug ou uma "u#nerabi#idade. Intrusion Detection S5+tem ? IDS2 N um Sistema de .ete o de Intruso< um softAare respons1"e# por monitorar uma rede ou sistema e a#ertar sobre poss-"eis in"ases. In0a+6o2 /ara teri>a um ataque bem su edido. LammerF N uma pa#a"ra que os hackers uti#i>am para identifi ar os -ndi"iduos que se a :am hackers< mas esto ainda no est1gio ini ia# de aprendi>ado. !reakingF So os hackers de te#efonia< on"en iona# ou e#u#ar. "cannerF Qerramenta uti#i>ada por hackers ou espe ia#istas em segurana que ser"e para P"arrerP uma m1quina ou uma rede< em bus a de portas abertas< informaes ou ser"ios "u#ner1"eis. "cript #iddieF N o indi"-duo que saiu do est1gio de lammer mas que s= sabe usar as Pre eitas de bo#oP< programas prontos e ainda no entende muito bem o que est1 fa>endo. "ni$$erF Qerramenta uti#i>ada por hackers e espe ia#istas em segurana e de rede que ser"e para monitorar e gra"ar pa otes que trafegam pe#a rede. .ependendo do sniffer< poss-"e# ana#isar "1rios dados dos pa otes< ana#isar proto o#os< "er dados espe -fi os da amada de ap#i ao< sen:as< et . "poo$ing% N uma forma de manter uma one%o om uma m1quina se fa>endo passar por outra na qua# e#a onfie. 5m termo muito uti#i>ado o I, Spoofing< que signifi a o uso de "u#nerabi#idades do ,roto o#o '/,JI, que permitem a ao des rita a ima. 78r.+F So =digos ou programas que infe tam outros programas e se mu#tip#i am< na maioria das "e>es podem ausar danos aos sistemas infe tados. 7.lnera-ilidadeF )stado de um omponente de um sistema que ompromete a segurana de todo o sistema< uma "u#nerabi#idade e%iste sempre< at que se;a orrigida< e%istem "u#nerabi#idades que
so intr-nse as ao sistema. &are'F 9ome uti#i>ado por hackers para se referir a pirataria de softAare. &ormF 5m worm seme#:ante a um "-rus< mas difere pe#o fato de no ne essitar de um programa espe -fi o para se infe tar e reprodu>ir. Muitos "-rus< :o;e< possuem a ara ter-sti a de worms e "i e e "ersa. Agora que on:e emos a#guns termos e temos idia do que se;a a segurana da informao podemos partir para a pr=%ima questoF o que rea#mente de"e ser protegido dentro da instituio? )ste ponto ostuma disparar dis usses intermin1"eis sobre o que rea#mente importante. )nto pre isamos definir quem so estes e#ementos< onde esto e qua# o seu "a#or. O termos segurana nos remete a um estado no qua# estamos #i"res de perigos e in erte>as. )m uma instituio pro uramos forne er esta segurana aos e#ementos que t7m "a#or< o que :amaremos de A'IHOS. /#assifi ao dos Ati"os Ati0o 'ang-"eis E:em,lo ? Informaes impressas ou em m-dia ? )quipamentos ? M="eis ? Imagem de uma insatituio ? /onfiabi#idade da instituio ? Mar a de um produto E:em,lo ? .ados dentro do ser"idor ? Sistema )4, ? 4ede HoI, ? Mi ros ? Ser"idores ? Autom="eis ? )mpregados ? ,restadores de ser"io
Intang-"eis
Ati0o R=gi os
Q-si os
Sumanos
.a mesma forma que possu-mos ati"os ara ter-sti as diferentes< de"emos adotar medidas diferentes para tratar ada uma de#as< om por e%emp#oF Ati"o R=gi os Q-si os Sumanos Medida de segurana Sen:a Rogs QireAa## Qe :aduras /adeados ,ortas 9ormas ,ro edimentos
Os omponentes b1si os para se a"a#iar o quo seguro est1 este ati"o soF
7alorF 8ua# o "a#or de determinado ati"o para a instituio? )ste "a#or pode ser tang-"e# ou intang-"e#? Isso pode gerar d3"idas na :ora de a"a#i1?#o. )#e um equipamento orriqueiro? 5m espe ifi o impres ind-"e# na instituio? Ou a imagem da instituio frente a so iedade? 7.lnera-ilidade2 Aus7n ia de um me anismo de proteo ou fa#:a no me anismo e%istente. A "u#nerabi#idade por si s= no ausa pre;u->o. O pre;u->o ausado pe#a e%p#orao desta "u#nerabi#idade por a#gum e#emento no i"o. Amea<a2 )"ento que tem poten ia# em si pr=prio para ausar pre;u->o< um in endio ou roubo so e%emp#os de ameaa. Im,actoF 'aman:o do pre;u->o< que pode ser mensur1"e# ou abstrato< e "aria de a ordo om e"ento o orrido. 5m in 7ndio< norma#mente ausa mais pre;u->o que um roubo. Ri+coF N a probabi#idade de uma ameaa e%p#orar uma "u#nerabi#idade e ausar um determinado impa to< norma#mente fa>endo os ati"os perderem seu "a#or.
Gesto de risco
O ris o no um no"o prob#ema ou uma no"a termino#ogiaD os seres :umanos sempre ti"eram de enfrentar Kou en ararL os ris os no seu meio ambiente< embora seu signifi ado ten:a mudado< omo tem mudado a so iedade e o pr=prio meio onde "i"e. 9o passado< a grande preo upao esta"a entrada nos desastres naturais Kgeo#=gi os e #imato#=gi osL na forma de inundaes< se as< terremotos e tempestades. Ap=s a re"o#uo industria#< os ris os naturais foram substitu-dos por aque#es gerados pe#o pr=prio :omemD nos )stados 5nidos< os a identes originados dos perigos te no#=gi os< representam de *2 a 2+T da morta#idade :umana e tem u#trapassado signifi ati"amente daque#es naturais< em termos do impa to perante a so iedade< usto e importCn ia. 5ma das ferramentas mais poderosas no geren iamento de ris os o on:e imento. 9a era do on:e imento< onde a informao onsiderada um dos prin ipais patrimInios de grande parte das organi>aes< esta de"e ser tratada omo ta#< sendo protegida nos seus aspe tos de disponibi#idade< integridade< onfiden ia#idade e autenti idade< seguindo a #in:a adotada pe#o Go"erno Qedera#. 9este onte%to< o geren iamento de ris o indi a os amin:os e as informaes que de"em ser protegidas. 5ma e%pe tati"a de perda e%pressada omo a probabi#idade de que uma ameaa em parti u#ar poder1 e%p#orar uma "u#nerabi#idade om um poss-"e# pre;u->oD o 4is o pode se definido omo uma medida da in erte>a asso iada aos retornos esperados de in"estimentos. A Gesto de 4is o ser"e para definirmos o que rea#mente de"e ser protegido< qua# o n-"e# de proteo que de"emos adotar para ada ati"o e at mesmo se podemos assumir o ris o de no protegermos um ati"o e ter um pre;u->o. 'udo isso "ai depender de um pro;eto que a"a#ie minu iosamente ada ati"o< sua importCn ia dentro da instituio < seu "a#or abso#uto e re#ati"o e o impa to de um e"ento no dese;1"e# sobre este ati"o. 9a figura* podemos "isua#i>ar as "1rias re#aes poss-"eis entre um propriet1rios e seus ati"os. /abe aqui a ressa#"a de que nosso ob;eti"o proteger a informao< no somente o ati"o que a ontm. .e que adianta in"estir na proteo de um ser"idor de rede< por e%emp#o< que no arma>ena nen:uma informao r-ti a ao neg= io? Os esforos de"em ser on entrados no que rea#mente signifi ati"o para a instituio.
Qigura *
Identi)ica<6o da amea<aF Identifi ar ameaas rea#mente uma tarefa muito dif- i# e "ai depender do on:e imento t ni o e da riati"idade de quem esta identifi ando< porm< nesta fase tambm no podemos querer identifi ar todas as poss-"eis ameaas e%istentes pois poderia ser uma ati"idade quase intermin1"e#. A re omendao b1si a neste aso F Ana#ise de forma genri a< identifi ando as ameaas por grupos ou a#gum tipo de afinidadeD Qoque nas ameaas mais omuns e uti#i>e os grupos de dis usso para obter #istas prontas destas ameaas. E+timati0a da ,ro-a-ilidade de ocorr>ncia de e0ento+ n6o de+e?0el F Infe#i>mente no e%istem dados estat-sti os onfi1"eis sobre o orr7n ia desses e"entos. 8ua#quer que se;a o e"ento a"a#iado< as probabi#idades de o orr7n ia "o "ariar de pa-s pra pa-s e de instituio pra instituio. 9o"amente a a"a#iao destas probabi#idades fi aro por onta da e%peri7n ia do t ni o que esta a"a#iando. E+timar o im,acto do e0ento n6o de+e?0elF )stimar o impa to a"a#iar qua# a dimenso do dano nos neg= ios ou ati"idades da instituio. )stimar o impa to a"a#iar o "a#or do ati"o para a instituio< podendo ser o "a#or do pr=prio ati"oK"a#or abso#utoL ou o benef- io que e#e tra>K"a#or re#ati"oL. Identi)icar o+ ati0o+ de maior ri+co F 9este ponto definimos quais so os ati"os que tero prioridade no pro;eto. Apesar de entendermos que todos os ati"os identifi ados no es opo so importantes< aqui definimos quais so os mais r-ti os dentro do es opo< e so estes ati"os que de"em re eber toda a ateno e in"estimentos no in- io do pro;eto. A0aliar a+ mel4ore+ )orma+ de ,rote<6o F )sta a"a#iao pode estar diretamente #igada a disponibi#idade de "erba. A#gumas so#ues no tem usto a#gum< omo no aso de onfigurao do sistema< ou ustar mi#:ares de reais. 9este aso importante "erifi ar se o gasto om proteo no maior que o "a#or abso#uto eJou o "a#or re#ati"o deste ati"o. Outra obser"ao importante rea#i>ar #aborat=rio de teste para a"a#iar a efi 1 ia da so#uo es o#:ida. )%istem entenas de so#ues no mer ado< mas de"emos pro urar a que me#:or atenda nossas espe ifi aes t ni as om a me#:or re#ao usto x benef- io. Im,lementar a+ ,rote<@e+F Agora o momento de o#o ar as so#ues para fun ionar. )sta etapa a mais #onga e de#i ada< podendo demorar a#guns meses< e norma#mente so e#aborados pro;etos para o pro esso de imp#ementao de ada uma de#as. As duas 3#timas fases se en ai%am no pro esso de tratamento do ris o.
de * a ! de $ a *2 de *3 a 2$ Bai:a (x1) B * 2 3 " 2 0 ! A 3 ! ( B 2 0 ! B "Cdia (x2) " 0 & *2 A ! *2 *& B 3 ! ( Alta (x ) " ! *2 *& A ( *& 2$
!ratamento do risco
O tratamento a fase na qua# se#e ionamos e imp#ementamos as medidas de forma a redu>ir os ris os que foram identifi ados. )stas medidas tem omo ob;eti"o tra>er os ris os para patamares a eit1"eis pre"iamente definidos< ou definir omo sero tratados os ati"os ap=s um e"ento indese;1"e#< diminuindo o impa to nas ati"idades da instituio. )%iste uma srie de medidas para tratar os ris os< as mais omuns soF E0itar M Simp#esmente no se e%por ao ris oD Tran+)erir M Qa>er um seguro< transferindo o pre;u->o para a seguradoraD Reter M Qa>er um auto?seguro< preparando?se para um futuro pre;u->oD 4edu>ir M Imp#ementar so#ues que diminuam o ris oD "iti*ar M 'omar medidas para diminu-rem o impa to de um e"ento indese;1"e#.
Mtodos de proteo
Pre0enti0aF /omo se di> no ditado popu#ar ? pre"enir o me#:or remdio M mas a pre"eno de"er ser p#ane;ada para atender e%atamente o que se quer proteger. O des on:e imento da ferramenta usada pode dar uma fa#sa sensao de segurana. 5m e%emp#o a uti#i>ao do QireAa## na esperana de no sofrerem danos por "-rus< o que no funo desta ferramenta. De+encora?adora2 So me anismos que desestimu#am o ato no i"o< omo os a"isos de Cmeras de "igi#Cn ia< #u>es sobre portas de a esso ou qua#quer outra forma de intimidar a ao. LimitadoraF Me anismos ou t ni as que #imitam a ao no i"a. 5m e%emp#o bastante simp#es a uti#i>ao de fi#tro de #in:a nos omputadores. /aso :a;a uma a#terao muito "io#enta de orrente< o e#emento que sofre o dano o fi#tro e no o equipamento. "onitoradora2 Monitoram o estado ou fun ionamento dos ati"os. )ntre e#es podemos onsiderar omo e#ementos monitoradores os sensores de temperatura< softAares de monitoramento de tr1fego e #og de sistemas. Detectora2 .ete tam a o orr7n ia de um in idente. sensores de presena< fumaa ou a#or< a#armes et . Reati0aF 4eage a determinados in idente< omo por e%emp#o os sistemas de e%tino de in 7ndio ou i#uminao de emerg7n ia.
Correti0aF 8ua#quer sistema que ten:a apa idade de orrigir uma fa#:a e ontinuar fun ionando orretamente. Rec.,eradora2 8ua#quer sistema que possa re uperar um ati"o atingido por a#gum in idente. ,odemos dar omo e%emp#o o sistema 4AI.2 que pode re uperar dados de um determinado dis o a partir de partes dos dados e%istentes em outras unidades.
"stratgias de proteo
9o importa o que se dese;a proteger< importante es o#:er uma estratgia que atenda @que#a ne essidade espe -fi a. /ada aso pede uma abordagem diferente< porm as prin ipais soF Pri0ilC*io m8nimoF ,rati amente todos os prob#ema de segurana ini iam?se por prob#ema de e%posio< o#o ando a instituio a mer 7 de uma srie de ameaas. O on eito de pri"i#gio m-nimo prega que quanto menor o a esso ou a e%posio< maior ser1 a resist7n ia do sistema a ataques. )m um sistema de informao a maioria dos usu1rios no pre isam en%ergar todos os re ursos de uma rede< sendo assim #imitamos os direitos de a esso deste usu1rio para apenas o que for estritamente ne ess1rio. Ao insta#ar um ser"idor< omo por e%emp#o o Rinu%< e#e disponibi#i>a uma srie de ser"ios que podem no ter uti#idade para a min:a ap#i ao. Sendo assim eu desabi#ito todos os re ursos adi ionais< dei%ando ati"os apenas o impres ind-"e# para seu fun ionamento e manuteno< desta forma e#imino uma srie de poss-"eis "u#nerabi#idades que podem e%istir nestes re ursos e%tras. De)e+a em ,ro).ndidadeF 8uando entramos em um ondom-nio passamos por "1rios sistemas de ontro#eF uma portaria< o e#e"ador om Cmeras< o Vo#:o m1gi oW da porta do apartamento e at mesmo a pr=pria porta. )stes re urso forne em o que :amamos de .efesa em ,rofundidade. A idia que ten:amos uma srie de ontro#es que possam fa>er obertura uns aos outros. Se uma pessoa entrar pe#a garagem do prdio sem ser per ebida e#a ser1 ertamente fi#mada no e#e"ador< e mesmo que :egue a a#gum apartamento e#a ter1 que passar pe#a porta. O sistemas de segurana no so infa#-"eis e portanto no podemos onfiar em uma s= so#uo. ,or mais fant1sti o que se;a um sistema de segurana< e#e so>in:o menos seguro que dois re ursos om a metade de sua apa idade< porque se onseguirmos quebrar um sistema 3ni o de segurana teremos a esso irrestrito aos ati"os que queremos atingir< enquanto que em "1rios n-"eis teremos riado< no minimo< mais traba#:o ao ata ante Elo mai+ )racoF V O fora de uma orrente equi"a#ente a fora de seu e#o mais fra oW< ou se;a< se temos uma orrente de ao om um e#o de p#asti o< a resist7n ia ser1 igua# a do e#o de p#1sti o. )m um Sistema de Informao de"emos pro urar tratar o ambiente de forma assimtri a< pro urando proteger todos os pontos fra os do sistema< pois a "u#nerabi#idade de uma pequena parte pode omprometer todo o ambiente< assim omo o e#o de p#1sti o ompromete a resist7n ia da orrente de ao. Ponto de e+tran*.lamentoF O ob;eti"o do ponto de estrangu#amento riar um ponto 3ni o de ontro#e< omo a onte e em prdios omer iais< onde os "isitantes e fun ion1rios passam por uma mesma re epo no importando o seu destino. /om essa abordagem onseguimos fo ar o ontro#e e um ou dois pontos espe -fi os minimi>ando pontos de "u#nerabi#idade e ainda diminuir o gasto om equipamentos de ontro#e< ;1 que todos iro passar< obrigatoriamente< pe#o mesmo #o a#. Se*.ran<a atra0C+ da o-+c.ridadeF )ste on eito baseia?se na premissa de que quanto menos informao esti"er dispon-"e#< maior sera a difi u#dade do ata ante. Se em uma instituio pou as pessoas sabem onde fi am os ofres ou os dados estratgi os< menor ser1 a possibi#idade de um ata ante saber e%atamente onde e quando ata ar. ,orm esta estratgia de"e ser uti#i>ada ;untamente om outras formas de ontro#e.
Sim,licidadeF A simp#i idade o me#:or amin:o. 5m sistema muito omp#e%o pode dei%ar bre :as dif- eis de serem identifi adas. 5ma porta om um bom adeado tem sua "u#nerabi#idade f1 i# de ser identifi ada< enquanto um sistema de sensores e tra"as e#etrIni as pode ter fa#:as des on:e idas at mesmo para um t ni o< dei%ando o ati"o muito mais "u#ner1"e#.
Monitoramento
,or fim< temos o monitoramento. )sta fase ont-nua e de"e durar toda a "ida da so#uo definida. Muitos sistemas s= fun ionam adequadamente quando sua manuteno obser"ada. )sta manuteno tambm ser"ir1 para a"a#iar a efi 1 ia da so#uo adotada e omparar os resu#tados om os definidos no pro;eto.
#o $ticas de Segurana
)%iste uma antiga piada< ontada mais ou menos assimF 5m guarda de segurana que traba#:a no turno da noite em uma f1bri a "7 um :omem bai%in:o sair do prdio< empurrando um arrin:o de mo "a>io. O guarda< om uma suspeita repentina< p1ra o :omem< que pergunta por que est1 sendo parado. PApenas quero ter erte>a de que "o 7 no est1 roubando nadaP< di> o guarda< de forma grosseira. P/onfira tudo o que quiserP< responde o :omem< e o guarda pro ura< mas no en ontra nada suspeito e permite que o :omem "1 embora. 9a noite seguinte< a onte e @ mesma oisa. Isso se repete por a#gumas semanas e ento o bai%in:o no apare e mais no porto. ,assam "inte anos e o guarda< ;1 aposentado< est1 sentado em um bar< quando o bai%in:o entra. 4e on:e endo?o< o guarda aposentado se apro%ima< e%p#i a quem e ofere e pagar uma bebida< se o bai%in:o responder a uma pergunta. O :omem on orda e o guarda di>F P'en:o erte>a de que "o 7 esta"a #e"ando a#go< mas nun a onsegui des obrir o que "o 7 esta"a roubandoP. O bai%in:o pegou a bebida e< enquanto #e"a"a o opo @ bo a< disseF P)u esta"a roubando arrin:os de moP. A idia dessa piada sugere< #aro< que as medidas de segurana nada representaro se os guardas no souberem o que de"ero proteger. )%perimente perguntar ao e%e uti"o de uma empresa quais so os ob;eti"os das equipes de segurana e pro"a"e#mente re eber1 respostas pare idas om Pso e#es que nos mant7m seguros #1P. Se pressionadas< muitas pessoas podero ir um pou o adiante< des re"endo o #ado da segurana f-si aF no permitir a entrada de "isitas sem autori>ao< "erifi ar se esto tran adas as portas que de"em permane er tran adas e a;udar em qua#quer emerg7n ia. N bem pou o pro"1"e# que as mesmas pessoas ompreendam para que e%iste a equipe de segurana dos omputadores. 9a me#:or das :ip=teses< pro"a"e#mente "o 7 ou"ir1 Pmanter os hackers fora de nossa redeP. /abe @ equipe de segurana da rede partir dessa des rio "aga e mostrar que seu traba#:o mais amp#o< at o ponto em que possa fi%ar prioridades e mere er estar in #u-do nos oramentos. Se "o 7 perguntar a profissionais de segurana o que poder1 fa>er de mais importante para proteger sua rede< e#es respondero< sem :esitar< que es re"er uma boa po#-ti a de segurana.
)m um pa-s< temos a #egis#ao que de"e ser seguida para que ten:amos um padro de onduta onsiderado adequado @s ne essidades da nao para garantia de seu progresso e :armonia. 9o :a"ia omo ser diferente em uma empresa. 9esta< pre isamos definir padres de onduta para garantir o su esso do neg= io. 5ma po#-ti a de segurana atende a "1rios prop=sitosF .es re"e o que est1 sendo protegido e por qu7D .efine prioridades sobre o que pre isa ser protegido em primeiro #ugar e om qua# ustoD ,ermite estabe#e er um a ordo e%p#- ito om "1rias partes da empresa em re#ao ao "a#or da seguranaD Qorne e ao departamento de segurana um moti"o "1#ido para di>er PnoP quando ne ess1rioD ,ropor iona ao departamento de segurana a autoridade ne ess1ria para sustentar o PnoPD Impede que o departamento de segurana ten:a um desempen:o f3ti#.
A po#-ti a de segurana de informaes de"e estabe#e er prin -pios institu ionais de omo a organi>ao ir1 proteger< ontro#ar e monitorar seus re ursos omputa ionais e< onseq6entemente< as informaes por e#es manipu#adas. N importante que a po#-ti a estabe#ea ainda as responsabi#idades das funes re#a ionadas om a segurana e dis rimine as prin ipais ameaas< ris os e impa tos en"o#"idos. A po#-ti a de segurana< de"e ir a#m dos aspe tos re#a ionados om sistemas de informao ou re ursos omputa ionais< e#a de"e estar integrada om as po#-ti as institu ionais da empresa< metas de neg= io e ao p#ane;amento estratgi o da empresa. Se uma boa po#-ti a de segurana o re urso mais importante que se pode riar para tornar uma rede segura< por que a maioria das empresas onsidera to dif- i# riar uma po#-ti a efi iente? )%istem "1rias ra>es prin ipais. PrioridadeF A po#-ti a importante< mas :o;e @ tarde pre iso que a#gum o#oque o ser"idor da Xeb on?#ine. Se for ne ess1rio que as pessoas dei%em de uidar do que onsideram urgentes e usem o tempo para on ordar om a po#-ti a de segurana< ser1 muito dif- i# ter su esso. Pol8tica internaF )m qua#quer empresa< grande ou pequena< "1rios fatores internos afetam qua#quer de iso ou pr1ti a. Pro,riedadeF .e uma maneira bastante estran:a< em a#gumas empresas e%iste uma briga entre "1rios grupos que dese;am ser os donos da po#-ti a e< em outras empresas< a briga o orre entre "1rios grupos que e%p#i itamente no querem ser os respons1"eis pe#a po#-ti a. Di)ic.ldade ,ara e+cre0er2 5ma boa po#-ti a um do umento dif- i# de se organi>ar de maneira pre isa< prin ipa#mente quando ne ess1rio que se;a abrangente. 9o poss-"e# pre"er todos os asos e todos os deta#:es. Al*.ma+ +.*e+t@e+ ,ara a?.dar a +ol.cionar e++e+ ,ro-lema+2 5ma boa po#-ti a :o;e me#:or do que uma e% e#ente po#-ti a no pr=%imo anoD 5ma po#-ti a fra a< mas bem?distribu-da< me#:or do que uma po#-ti a forte que ningum #euD 5ma po#-ti a simp#es e fa i#mente ompreendida me#:or do que uma po#-ti a omp#i ada que ningum se d1 o traba#:o de #erD onfusa e
5ma po#-ti a u;os deta#:es esto #igeiramente errados muito me#:or do que uma po#-ti a sem
quaisquer deta#:esD 5ma po#-ti a dinCmi a que atua#i>ada onstantemente me#:or do que uma po#-ti a que se torna obso#eta om o passar do tempo.
%ivises da #o $tica
Texto em nvel estratgico
S1 situaes no dia?a?dia em que pre isamos tomar de ises. )< de "e> em quando< o bom senso a ferramenta usada pe#os profissionais para a tomada de uma de iso. Sim< porque se nun a ningum passou pe#a situao antes e no :1 nen:uma orientao da empresa para o que fa>er quando e#a a onte e< o ta#ento o respons1"e# pe#a definio entre a genia#idade da reso#uo do prob#ema ou a #ou ura de quem tomou a de iso errada. 7amo+ a .m e:em,lo2 PA segurana da informao de"e ser estabe#e ida desde que no in"iabi#i>e o neg= io da instituioP. A frase no disse muito para aque#es que esto pro urando Ppo< poD quei;o< quei;oP< mas< em ompensao< disse tudo para aque#e indi"-duo que se en ontra na seguinte situaoF O te#efone to aF ? ,re iso que "o 7 #ibere uma regra do fireAa## para que eu possa rea#i>ar uma operao. Se e#e #iberar o a esso ao equipamento< pode ser punido porque tomou uma de iso que< para todos< ob"iamente errada. 'odos sabem que #iberar aque#e a esso abrir uma "u#nerabi#idade no sistema< mas< se e#e no #iberar esse a esso< a empresa dei%ar1 de e%e utar uma operao ru ia# para a ontinuidade de um pro;eto que pre isa ne essariamente ser terminado :o;e. O que fa>er ? Rendo a frase es rita a ima< o fun ion1rio pode tomar sua de iso K#iberar o a esso< apesar de e%por momentaneamente a empresaL om a ons i7n ia #impa< sabendo que ser1 parabeni>ado pe#a sua ompet7n ia e a#in:amento om os "a#ores da empresa. )nto< :egamos @ pa#a"ra :a"e quando fa#amos em n-"e# estratgi oF "a#ores< ou se;a< um 45MO a ser seguido.
&onte'do da #o $tica
A#gumas questes u;a in #uso em uma po#-ti a de segurana de"er1 ser #e"ada em onsideraoF O que estamos protegendo ? PSe no souber o que e por que est1 defendendo< no ser1 poss-"e# defend7?#oP PSaber que est1 sendo ata ado representa mais da metade da bata#:aP. .es re"a de forma ra>oa"e#mente deta#:ada os tipos de n-"eis de segurana esperados para sua empresa. ,or e%emp#o< ara teri>e as m1quinas da rede da seguinte maneiraF !ermelho ? /ontm informaes e%tremamente onfiden iais ou forne e ser"ios essen iaisD "marelo ? /ontm informaes sens-"eis ou forne e ser"ios importantesD !erde ? /apa> de ter a esso @s m1quinas "erme#:as ou amare#as< mas no arma>ena informaes sens-"eis nem e%e uta funes ru iais de uma maneira direta. #ranco ? Sem a esso aos sistemas "erme#:o< amare#o ou "erde e no pode ser a essado e%ternamente. Sem funes ou informaes sens-"eis. Preto ? A ess-"e# e%ternamente. Sem a esso aos sistemas "erme#:o< amare#o< "erde ou bran o. 4eunindo essas informaes< "o 7 agora ter1 um "o abu#1rio para des re"er todas as m1quinas e%istentes na rede e o n-"e# de segurana a ser atribu-do a ada m1quina. As mesma nomen #atura permitir1 des re"er as redes< a#m de e%igir< por e%emp#o< que as m1quinas "erme#:as este;am one tadas @s redes "erme#:as e assim por diante.
Mtodos de Proteo
.es re"er as prioridades para a proteo da rede. ,or e%emp#o< as prioridades organi>a ionais
podero ser as seguintesF Sa3de e segurana :umanaD /onformidade om a #egis#ao ap#i 1"e# #o a#< estadua# e federa#D ,reser"ao dos interesses da empresaD ,reser"ao dos interesses dos par eiros da empresaD .isseminao gratuita e aberta de informaes no?sens-"eis.
.es re"er qua#quer po#-ti a de ar1ter gera# para o a esso de ada ategoria do sistema< e ainda riar um i #o de qua#ifi ao que ir1 des re"er om que freq67n ia uma m1quina de determinado tipo de usu1rio de"er1 ser e%aminada para "erifi ar se ainda est1 onfigurada orretamente de a ordo om seu status de segurana.
Responsabilidades
.es re"er as responsabi#idades Ke< em a#guns asos< os pri"i#giosL de ada #asse de usu1rios do sistema. Gera# /on:e imento dessa po#-ti aD 'odas as aes de a ordo om essa po#-ti aD Informar @ segurana qua#quer "io#ao on:e ida a essa po#-ti aD Informar @ segurana qua#quer suspeita de prob#emas om essa po#-ti a.
Administrador de sistema J Operaes 'odas as informaes sobre os usu1rios sero tratadas omo onfiden iaisD 9o ser1 permitido a esso no?autori>ado a informaes onfiden iaisD Assegurar todas as aes onsistentes om o =digo de onduta de um administrador de sistemas. Mais a#to n-"e# de onduta ti aD Assegurar todas as aes onsistentes om o =digo de onduta de um respons1"e# pe#a seguranaD
/ontratado A esso a m1quinas espe ifi amente autori>adas na forma espe ifi amente autori>adaD So#i itar1 autori>ao pr"ia por es rito para qua#quer ao que possa ser interpretada omo uma questo de segurana.
/on"idado
9en:um a esso a re ursos de omputao< a menos que :a;a notifi ao pr"ia por es rito @ segurana.
Uso Adequado
/omo os fun ion1rios de"ero ou no usar a rede. Gera# 5so pessoa# m-nimo durante o :or1rio omer ia# norma#D 9en:uma uti#i>ao da rede para ati"idades omer iais e%ternasD A esso a re ursos de Internet onsistentes om as po#-ti as de 4S.
Administrador de sistemas A esso respons1"e# a informaes sens-"eis ou pessoais na redeD 'odo a esso espe ia# de"e ser ;ustifi ado..
)quipe de Segurana A esso respons1"e# a informaes sens-"eis ou pessoais na redeD 'odo a esso espe ia# de"e ser ;ustifi adoD 5so de ferramentas de segurana apenas para ob;eti"os #eg-timos.
/ontratado 9en:um a esso pessoa# a qua#quer tempoD 5so m-nimo da rede e apenas por moti"os espe -fi os re#ati"os a determinados ontratos.
onseq!"ncias
.es re"er omo determinada a importCn ia de uma "io#ao da po#-ti a e as ategorias de onseq67n ias.
Penalidades
.es re"er quais as pena#idades de a ordo om o n-"e# do des umprimento de um item da po#-ti a de segurana.
/r-ti a Sria 4e omendao para demissoD 4e omendao para des onto de sa#1rio. 4e omendao para demissoD 4e omendao para abertura de ao #ega#.
Rimitada 4e omendao para des onto de sa#1rioD 4epreenso forma# por es ritoD Suspenso no?remunerada.