Política de segurança de TI

A Política de Segurança descreve a filosofia e as regras básicas para o uso do recurso da

informação. Com a existência da política, fica explicitado o que cada pessoa da organização deve
cumprir no que se refere à proteção da informação.

Dessa forma, é importante que a PSI seja definida com base nos objetivos estratégicos da
empresa, garantindo que a informação seja preservada e isenta de riscos de divulgação indevida.
A PSI deve estar sempre alinhada aos intentos corporativos da organização, a partir dos quais são
definidos os objetivos da segurança da informação, que devem ter como principal aspecto a
continuidade de negócios em relação ao uso da informação.

A Política de Segurança da Informação possui um conjunto de regulamentos e normas destinados

a definir estratégias, regras, padrões e procedimentos, que constituem as ações a serem tomadas
pela empresa para atingir seus objetivos e proteger as informações do negócio.

fundamental que existam uma política principal em nível estratégico e outras políticas agregadas a
ela, bem como documentos ou normas subsidiárias direcionados a temas específicos, ligados ao
objetivo principal da organização. Todos esses documentos acabam criando um conjunto de
normas que deve:

1 informar e esclarecer regras;

2 definir princípios, responsabilidades, obrigações;
3 reforçar normas, procedimentos e processos;
4 refletir a cultura da empresa;

5 evitar que movimentos contrários impeçam as boas práticas de proteção;

6 permitir o uso em questões legais, em acordos e contratos, no dia a dia das pessoas que
participam da organização e nas negociações com o mercado;
7 definir padrões;
8 auxiliar na conscientização dos colaboradores.

Alinhamento com requisitos de negócio

Para que a segurança da informação tenha relevância e seja seguida e respeitada pela
organização, é necessário considerar alguns pontos importantes, a saber:

(1) Apoio e patrocínio explícito do nível executivo da organização:

É importante que a Política de Segurança da Informação seja assinada pelo presidente da

empresa, deixando claro para toda a organização que o líder mais importante da empresa dá o
exemplo e segue as normas, contando com que os demais colaboradores as sigam da mesma
forma. É importante destacar que não só o presidente como os demais executivos da empresa
devem apoiar as normas.
(2) Representação da realidade da organização:

A política deve expressar a verdade, ou seja, ser viável para implementação, para que o que
estiver definido em seu documento seja seguido não somente pelos funcionários, mas também
pelos líderes, como exemplo aos demais.

(3) Possibilidade real de implementação e de execução pelos usuários:

Não se podem definir, em uma política ou norma, requisitos impossíveis de serem atendidos. Após
a implementação da política, devem ser implementadas algumas ações que a levem ao
conhecimento dos usuários. Dessa forma, é necessário que:

- Exista uma divulgação ampla, geral e irrestrita para os usuários.

- O acesso a essa política pelos usuários seja fácil.

- Exista um processo que garanta que essa política e os demais regulamentos de segurança
estejam sempre atualizados.

No processo de elaboração da política, é necessário envolver as áreas de recursos humanos,

jurídica e administrativa, entre outras. Essa construção coletiva e o envolvimento de diferentes
atores contribuirão para que a política tome corpo e seja de conhecimento de todos na
companhia.

As áreas de negócios, juntamente com a área de TI, têm responsabilidades importantes na

implantação de um plano de segurança da informação, em que os papéis e as responsabilidades
devem ser difundidos e reforçados, a fim de que todos tenham plena consciência dos riscos
inerentes a que os ativos da empresa estão sujeitos.

Nesse sentido, as áreas de negócios devem apoiar a área de tecnologia na difusão da Política de
Segurança da Informação entre todos os seus grupos e equipes, com participações em eventos
de disseminação e conscientização para a divulgação de seu modelo. A área de TI é a res-
ponsável por criar as regras a serem aplicadas no âmbito da segurança aos ativos de TI, assim
como monitorar o seu cumprimento.

Conceitos de confidencialidade, integridade e disponibilidade das informações

Confidencialidade – é a necessidade de garantir que as informações sejam divulgadas somente

aos que estão autorizados a vê-las.

Integridade – é a necessidade de garantir que as informações não sejam alteradas

acidentalmente ou deliberadamente, e que estejam corretas e completas.

Disponibilidade – é a necessidade de garantir que os propósitos de um sistema possam ser

alcançados, e que ele esteja acessível àqueles que dele precisam.

Classificação das informações

Em geral, a classificação das informações é descrita em um documento próprio, ou seja, uma

norma definida que fará parte de um documento maior, um código de conduta, por exemplo.

Segue modelo, utilizado no Serpro, de classificação da informação:

Processo de desenvolvimento do plano de segurança de TI
O plano de segurança de TI pode ser implementado e mantido com esforço e recursos mínimos, sendo
que sua elaboração é o primeiro passo para eliminar a maior parte das vulnerabilidades que surgem
nas empresas e que podem gerar problemas, caso não sejam de conheci-mento dos colaboradores.
Para desenvolver um plano de segurança de TI adequado, são necessárias as orientações descritas a
seguir.

1. Faça um inventário de seus ativos físicos e de informação.

2. Realize uma avaliação de risco para determinar o nível necessário de segurança para proteger seus
ativos.

3. Crie uma lista de verificação para tornar todos conscientes dos pontos fortes e fracos de segurança.

4. Realize uma avaliação, analise suas conclusões e discuta recomendações para corrigir as
deficiências e/ou melhorar a segurança com a administração departamental e a equipe de TI.

5. Desenvolva o seu plano de segurança, criando um projeto para implementação com prazos
definidos.

6. Atribua responsabilidades e prazos para o plano.

7. Em seguida, monitore o progresso, relatando as melhorias nas práticas de segurança e as iniciativas
a serem tomadas.

O objetivo do plano é viabilizar a definição de um nível adequado de segurança e de organizá-lo para a

proteção dos ativos de TI da empresa. No quadro 1, estão descritas as razões para se planejar a
segurança da TI.

Papéis e responsabilidades

As responsabilidades para elaborar um plano de segurança de TI são relevantes e requerem a

participação de vários profissionais que desempenham diferentes papéis e responsabilidades. O
principal objetivo da Gestão da Segurança da Informação é proteger os ativos com base nos seus
riscos. Dessa forma, onde houver risco de acesso indevido à informação, deve haver um controle
para evitá-lo. Conforme apresentado no quadro 2, o nível estratégico deve ser o responsável por
definir as diretrizes do que deve ser feito em relação aos riscos e as tratativas para a proteção dos
ativos da empresa, e de como fazê-lo.
Cultura organizacional de segurança

A cultura organizacional de segurança da informação não surge somente desse conjunto de

normas, políticas, procedimentos e evidências presentes no dia a dia da empresa e que deve ser
seguido por todos os níveis operacionais.

Algumas empresas buscam o desenvolvimento individual, outras preferem trabalhar em grupo ou,
ainda, aprender a partir de uma ferramenta de autoaprendizado, sempre com base em políticas,
normas e procedimentos criados para sustentar a cultura organizacional, conforme sistematizado
na figura 1.

Toda a empresa deve seguir esses parâmetros, cabendo aos líde-res serem os patrocinadores da
mudança de cultura pelo exemplo, evitando descumprir as regras voltadas à proteção das
informações de negócio.

Requisitos de negócios: legais e regulatórios

Os requisitos de negócios podem advir do âmbito legal ou regulatório e baseiam-se nas

necessidades dos clientes em geral, seja por questão de qualidade, seja por garantia da
segurança no processo de tratamento da informação. Nesse sentido, no quadro 3, são
apresentados outros motivos para planejar a segurança da informação em uma empresa.
Políticas e procedimentos de segurança

As políticas, as normas e os procedimentos são os regulamentos que suportam e dão validade ao

processo de segurança da informação e aos controles definidos que vão ser aplicados para:

a. garantir o acesso à informação;

b. classificar a informação;
c. enfrentar situações de contingência;
d. garantir resiliência operacional;
e. proteger o ambiente físico e de infraestrutura;
f. desenvolver aplicações;
g. tratar incidentes de segurança;
h. garantir evidências para investigações;
i. proteger recursos de tecnologia;
j. conscientizar e treinar os usuários;
k. definir área organizacional da segurança da informação;
l. evitar fraudes pela tecnologia.

A política e os procedimentos de segurança da informação detêm importante função no âmbito da

organização e da governança de TI, pois são os responsáveis por ditar as diretrizes a serem
seguidas por elas.
Conceitos de gestão de ativos

É preciso identificar todos os ativos, os quais podem estar dispostos em várias formas, como
segue:

a. Ativos de informação: são dados e arquivos, contratos e acordos, documentações de sistemas,

informações referentes a pesquisas, manuais de usuário, material de capacitação, procedimentos
de operação e de suporte, planos de contingência do negócio, procedimentos de recuperação de
desastres, evidências de auditoria e muitas outras informações.

b. Ativos de software: ferramentas de desenvolvimento, utilitários, aplicativos, sistemas.

c. Ativos físicos: equipamentos informáticos, equipamentos de telecomunicação, mídias

removíveis, como CD e pendrive e outros equipamentos.

d. Serviços de computação e comunicações e utilidades gerais, como aquecimento, iluminação,

eletricidade e refrigeração.

e. Pessoas e suas qualificações.

f. Intangíveis, tais como a imagem da organização.

A partir desse ponto é necessário, com vistas a priorizar os ativos de maior valor, estabelecer uma
estratégia para a implementação de controles para sua proteção.

Comunicação e treinamento

A comunicação e o treinamento têm função importante no planejamento de segurança de TI, pois

não apenas é necessário treinar frequentemente todos os usuários nos mais recentes conceitos
de segurança da informação, como também garantir que todos os colaboradores recebam esses
conhecimentos.
Essas atividades de comunicação são fundamentais para informar a definição de uma nova
norma ou procedimento, bem como para cons-cientizar sobre os riscos a que a organização está
sujeita, caso essas normas e procedimentos não sejam seguidos.

Já o treinamento é o responsável por desenvolver os usuários no conhecimento dos conceitos de

segurança da informação, a fim de que entendam para que servem as normas e as políticas
criadas e, fundamentalmente, para que saibam qual é o seu papel e quais são suas
responsabilidades em cada caso.

Definição de incidente de segurança

Um incidente de segurança é uma interrupção não planejada ou a redução da qualidade de um

serviço de TI. A falha no funcionamento de qualquer item, seja software ou hardware, utilizado no
suporte de um sistema que ainda não tenha afetado um serviço, também é considerada um
incidente.

Desde o momento em que ocorre, o incidente é reportado de forma on-line, depois é classificado e
investigado por meio da coleta de dados e, em seguida, é apresentada uma solução; uma vez
aprovada, a solução é testada e implementada. No fim do processo, são produzidos relatórios
para acompanhamento das áreas envolvidas, e indicadores podem ser gerados para que a
diretoria esteja ciente dos problemas que ocorrem na infraestrutura de tecnologia da empresa.

No processo de gestão de incidentes, alguns papéis são determinan-tes. Dessa forma, é

importante que haja a separação de papéis, para que as responsabilidades sejam aceitas e
compreendidas. O quadro 2, a seguir, apresenta esses papéis e descreve suas responsabilidades.

Acordo de nível de serviço

Em uma descrição simples, o acordo de nível de serviço, também conhecido como Service Level
Agreement (SLA), é definido como o prazo máximo em que a TI deve resolver e encerrar um
incidente, destacando que esse prazo é definido em negociação com as áreas usuárias.

Um SLA é um contrato entre provedores de serviços ou entre um provedor de serviços e um

cliente que especifica, usualmente em unidades de medida, os seus termos, quais serviços o
provedor de serviços oferecerá e quais penalidades serão cobradas e pagas no caso do não
cumprimento das metas estabelecidas. O SLA guia o provedor na entrega de seus serviços,
inclusive aumentando o nível de confiança no cliente em termos de gerenciamento confiável e
capacidades de monitoramento.

Notificação de eventos de SI

De acordo com os padrões do ITIL®, a maioria das organizações mantém a responsabilidade da

gestão dos incidentes na área de service desk, ou help desk. Como responsável pelo atendimento
aos incidentes, esta área deve garantir que um incidente seja escalado, quando for necessário,
para promover agilidade na resolução do caso.

Notificação da escalação

Sempre que um caso é escalado, a notificação é distribuída para vários indivíduos ou grupos,
dependendo da prioridade do incidente. Seguindo regras básicas para notificações, pode-se
afirmar que:

- O mecanismo-padrão para notificação poderá ser o e-mail, que, em geral, é gerenciado por uma
ferramenta que faz todo o controle do tempo de escalação previamente configurado;

- O e-mail também serve para escalar para outros níveis que, normalmente, não fazem parte do
fluxo comum de escalonamento, e são evitados justamente pelo potencial alto fluxo de e-mails
gerados;

- A escalação ou notificação por telefone é a mais indicada. Todos os números de contatos das
pessoas-chave na resolução do incidente devem ser registrados em uma tabela ou planilha para o
conhecimento e acesso de todos, em caso de necessidade;

- O contato da diretoria ou de gerentes em nível sênior deve incluir o CIO (Chief Information
Officer), o CTO (Chief Technology Officer) e todos os gerentes funcionais. A escalação de um caso
não retira a responsabilidade individual do encarregado pela resolução do incidente. Quando
outras pessoas são envolvidas, elas são adicionadas como partes interessadas.
A qualquer tempo, um caso pode ser escalado, e o registro será atualizado para que se saiba quais
pessoas estão cientes do incidente, sendo que as notificações serão realizadas pelo service desk.
Quanto às notificações, podemos classificá-las em três tipos:

• Clientes recebem, por e-mail, uma comunicação-padrão de esca-lação informando o fato.

• A pessoa que tem a atribuição de resolução do problema será notificada.

• O gerente funcional do responsável para resolver o incidente é notificado.

Identificação, avaliação e resposta aos incidentes de SI

Para identificação, avaliação e resposta a um incidente, há um relatório que examina a quanto à

possibilidade ou não de se tratar de um incidente real. É necessário analisar todos os incidentes, a
partir dos quais podem-se encontrar vários falso positivos. O processo básico de gerenciamento
de incidentes consiste em nove passos, que são fundamentais para a correta transição durante o
ciclo de vida do incidente:
Lições aprendidas

O processo de análise pós-incidente ou de lições aprendidas começa após a resolução ou o

encerramento do incidente. Todas as ações devem ser registradas em um relatório de resposta a
incidente, que servirá de base de dados para que cada ocorrência receba o devido tratamento e
para que haja melhoria nos processos e na gestão dos incidentes.

Coleta de evidências

A coleta de evidências é feita por meio de ferramentas usadas para examinar essas informações e
fornecer relatórios capazes de auxiliar no monitoramento e na análise dos incidentes. As
evidências devem ser coletadas de acordo com os procedimentos que atendam integralmente às
leis e aos regulamentos aplicáveis, sempre com o apoio da área jurídica. Sempre que uma
evidência é transferida de pessoa para pessoa, há uma cadeia de custódia. Deve-se ter um
registro detalhado a ser mantido para todos, destacando cada passo dessa evidência, se seu fim
for para uso legal.

Monitoração e indicadores

As medidas ou os indicadores de desempenho são adequados ao monitoramento, e seus

números ajudam a equipe de gestão a tomar decisões para melhorar o relacionamento e o
atendimento ao cliente, bem como para reforçar a qualidade ou mesmo para usá-los como
métricas da área de atendimento ou aprendizagem da equipe técnica.

ISO/IEC 18044 provê um relatório técnico denominado Gestão de incidentes de segurança da

informação, utilizado como uma estrutura para os indicadores de desempenho e desenvolvimento
de propostas de melhoria do processo. Esse relatório descreve a resposta a inciden-tes em quatro
fases, conforme sistematizado no quadro 5.

Gestão de ativos

Todos os ativos devem ser claramente identificados, e um inventário dos mais importantes deverá
ser compilado e mantido. Consideram-se, para esse controle, as seguintes ações:

• Identificação de todos os ativos e documentação da importância de cada um.

 • Criação e manutenção de um inventário de ativos, de acordo com as políticas e os
procedimentos de gestão de ativos; esse inventário deve incluir todas as informações
necessárias para dar suporte à sua recuperação na ocorrência de um desastre
• Garantia de que todas as informações necessárias para apoiar os requisitos na gestão de
vulnerabilidades técnicas estejam incluídas no inventário de ativos.
• Garantia de que os bens adquiridos são inventariados na chegada (entrega física dos
ativos na empresa), de acordo com as melhores práticas, políticas e procedimentos de
gestão de ativos.
• Garantia de que não haja duplicação de informações no inventário, mantendo seu
conteúdo sempre atualizado.
• Determinação de que as propriedades dos ativos, bem como a sua classificação, estejam
acordadas entre as partes interessadas da organização e formalmente documentadas.
• Implementação de um nível de proteção para o ativo, que seja compatível com a sua
importância, seu valor comercial e sua classificação de segurança, conforme determinado
durante o processo de avaliação e análise de impacto de negócios.

O proprietário do ativo será aquele a quem se atribuirá a responsabilidade por sua proteção,
devendo efetuar as seguintes ações:

• Garantir que as informações processadas e associadas aos ativos sejam devidamente

classificadas.
• Definir a periodicidade da revisão das restrições de acesso e classificações, considerando
as políticas aplicáveis que controlam o acesso ao ativo.

Uso aceitável e devolução de ativos

Todos os funcionários, fornecedores e terceiros devem seguir as regras para uso permitido de
ativos e informações de ativos associados aos recursos de processamento da informação. As
regras desenvolvidas para esse padrão são, basicamente:

• Solicitar a todos os funcionários, fornecedores e terceiros que sigam as regras para o uso
aceitável de recursos de informação e informações associadas a instalações de
processamento, incluindo:
• Regras de uso de correio eletrônico e de internet;
• Diretrizes para o uso de dispositivos móveis, especialmente para o uso fora das
instalações da organização;
• Regras ou orientações específicas relevantes, fornecidas pela administração.

A devolução de ativos deve ser feita por todos os funcionários, fornecedores e terceiros após o
encerramento de suas atividades, do contrato ou do acordo. Em geral, as empresas fazem com
que os usuários assinem um termo de responsabilidade, com referências à política de segurança
da informação, reforçando a importância do uso correto e da responsabilidade de devolver o
equipamento com as devidas condições após o uso do ativo.

Política de desenvolvimento seguro

Toda empresa que tem algum tipo de processo de desenvolvimento na sua estrutura deve definir e
implementar uma política de desenvolvimento seguro. Nesse sentido, alguns requisitos devem ser
considerados:

• Acordo documentado sobre os níveis de acesso, ou seja, quais as permissões de acesso

para cada função, como de usuário final, privilegiada, administrativa, etc., além dos
requisitos de autorização correspondentes.
• Submissão de solicitações de mudanças apenas a partir de usuários autorizados.
 • Comentários para garantir controles de integridade, a fim de que estes não sejam
comprometidos por mudanças.
• Identificação de todos os softwares, informações, entidades de banco de dados e
hardware envolvidos ou afetados por mudanças.
• Revisão de segurança para minimizar a probabilidade da ocorrência de falhas.
• Aprovação formal antes do início dos trabalhos.
• Aceitação dos usuários autorizados antes da implementação.
• Atualizações da documentação do sistema.
• Controle de versões para todas as atualizações de software.
• Trilhas de auditoria de todas as solicitações de mudanças.
• Procedimentos operacionais de documentação.

Controle de mudanças em sistemas

Os projetos de desenvolvimento devem ser orientados para os resultados. Cada equipe deve ter
flexibilidade suficiente para adotar ferramentas e práticas que possam melhorar a sua capacidade
de entrega enquanto os resultados satisfazem os critérios de governança e seguem o processo
global de desenvolvimento.

A figura 2 mostra a estrutura, as entradas, as saídas e as atividades de cada fase de

desenvolvimento.

Gestão de patches

O processo de gerenciamento de patch é contínuo, importante para garantir que as

vulnerabilidades sejam corrigidas, considerando que estas podem ocorrer diariamente, em alguns
casos.
Desenvolver e automatizar um processo de gerenciamento de patches inclui os seguintes passos,
conforme proposto pela NBR ISO/ IEC 27500 e sistematizado na figura 3.
Separação dos ambientes de desenvolvimento, homologação e produção

Em alguns setores, como o de serviços financeiros, pelas políticas de segurança e de auditoria,

exige-se a separação de ambientes em: (1) desenvolvimento, (2) teste e (3) produção.

A segregação de ambientes mantém alterações de código não testados seguros, evitando

corromper dados de produção e mantendo a adequada restrição de acesso a desenvolvedores de
sistemas nos ambientes de teste e de produção.