Escolar Documentos
Profissional Documentos
Cultura Documentos
Informação
Política de
Segurança da Informação (SI)
é a documentação das
decisões de SI
Política de SI
ou
Políticas de SI ?
Tipos de políticas
1. Programa de Política (organizacional)
Diretrizes da diretoria para criar um “programa”
de segurança, estabelecer os seus objetivos e
atribuir responsabilidades
2. Políticas temáticas (sobre algum assunto)
Questões específicas de interesse da
organização
Decisões administrativas sobre
Política de privacidade de e-mail
Política de acesso à Internet, etc
3. Políticas de sistemas
Regras de segurança específicas para proteger
sistemas (redes, máquinas, software) específicos
Implementação de Políticas
Padrões
Uniformidade de uso de tecnologias, parâmetros
ou procedimentos, para beneficiar a organização
Ex: Uso de Windows versão xxx
Diretrizes
Em alguns casos, a aplicação de padrões não é
possível, conveniente ou acessível (custos)
Ex: auxílio no desenvolvimento de procedimentos
Procedimentos
Passos detalhados para serem seguidos pelos
funcionários
Ex: Cuidados na criação de contas de e-mail
NBR/ISO 27002
Política de Segurança
Cláusula de controle (área)
5. Política de segurança da informação
Sub-cláusula: 5.1. Política de segurança da
informação
Sub-sub-cláusula: 5.1.1. Documento da Política de
SI
Sub-sub-cláusula: 5.1.2. Análise crítica e avaliação
Objetivo de controle (da sub-cláusula 5.1)
Prover à direção uma orientação e apoio à SI
Comentários adicionais (da sub-cláusula 5.1)
Convém que a direção estabeleça uma política
clara e demonstre apoio e comprometimento com a
SI através da emissão e manutenção de uma
NBR/ISO 27002
Política de Segurança
Sub-sub-cláusula 5.1.1
Documento da Política de SI
Convém que um documento da política seja
aprovado pela direção, publicado e comunicado,
de forma adequada para todos os funcionários
Convém que este expresse as preocupações da
direção e estabeleça as linhas-mestras para a
gestão da segurança da informação
No mínimo, convém que as seguintes orientações
sejam incluídas:
NBR/ISO 27002
Política de Segurança
1. Definição da SI, resumo das metas e escopo e a
importância da segurança como um mecanismo que
habilita o compartilhamento da informação
2. Declaração do comprometimento da alta direção,
apoiando as metas e os princípios da SI
3. Breve explanação das políticas, princípios, padrões e
requisitos de conformidade de importância específica
para a organização
Conformidade com a legislação e cláusulas contratuais
Requisitos na educação de segurança
Prevenção e detecção de vírus e software maliciosos
Consequências das violações na política de SI
NBR/ISO 27002
Política de Segurança
4. Definição das responsabilidades gerais e específicas
na gestão da SI, incluindo os registros de incidentes de
segurança
5. Referências à documentação que possam apoiar a
política, por exemplo, políticas e procedimentos de
segurança mais detalhados de sistemas de informação
específicos ou regras que convém que os usuários
sigam
6. Convém que esta política seja comunicada através de
toda a organização para os usuários na forma que seja
relevante, acessível e compreensível para o leitor
NBR/ISO 27002
Política de Segurança
Sub-sub-cláusula 5.1.2
Análise crítica e avaliação
Convém que a política tenha um gestor que seja
responsável por sua manutenção e análise crítica,
de acordo com um processo definido
Convém que este processo garanta que a análise
crítica ocorra como decorrência de qualquer
mudança que venha a afetar a avaliação de risco
original, como
Um incidente de segurança significativo
Novas vulnerabilidades
Mudanças organizacionais ou na infra-estrutura técnica
Convém que sejam agendadas as seguintes
análises críticas periódicas:
NBR/ISO 27002
Política de Segurança
1. Efetividade da política, demonstrada pelo
tipo, volume e impacto dos incidentes de
segurança registrados
2. Custo e impacto dos controles na eficiência
do negócio
3. Efeitos das mudanças na tecnologia
Política: componentes
Objetivo
Por que a política?
Escopo
Toda a organização ou parte dela?
Responsabilidades
Quem são as pessoas? Estrutura formal?
Conformidade
Como fiscalizar”?
O que acontece para quem não cumprir?
Intencional, não-intencional (falta de treinamento?)
Políticas temáticas
Abrangem a organização inteira e tratam de assuntos
específicos de interesse da organização
Deve ser “bancada” por alguma gerência sênior
Quanto mais controverso o tema, mais importante deve ser a
pessoa que “banca” a política
O aparecimento de novas tecnologias e ameaças requer
novas políticas temáticas
Exemplos
Planos de contingência
Gerenciamento de riscos
Acesso à Internet (só nos horários rígidos de trabalho?)
Uso de e-mail (é permitido arquivo anexo?)
Uso de programas de mensagens instantâneas
Uso de software não oficial
Políticas temáticas:
componentes
Enunciado da política
Posição oficial da organização sobre a política
Aplicabilidade
Onde, como, quando, quem?
Papéis e responsabilidades
Conformidade
Pontos de contato
Informações adicionais
Políticas de sistemas
Programa de política e políticas temáticas
tratam questões abrangentes para toda a
organização
Não dizem quais ações devem ser tomadas,
como devem ser feitas as configurações, etc.
Políticas de sistemas tratam de problemas
específicos, para segurança de sistemas
específicos
Modelo de políticas de sistemas
Objetivos de segurança
Regras operacionais de segurança
Implementação da política
Políticas de sistemas
Objetivos de segurança
Requer análise da necessidade de
integridade, confidencialidade e
disponibilidade
Deve ser concreto e bem definido
Série de declarações que descrevem ações
significativas sobre recursos específicos
Devem ser baseados nos requisitos de
missão ou função do sistema
Devem garantir que a política seja aplicável
Restrições devem ser consideradas
Políticas de sistemas
Regras operacionais
Regras de operação devem ser definidas
Quem pode ter acesso físico ao sistema?
Quem pode consultar, alterar, remover as informações mantidas
pelo sistema?
Quem pode ligar/desligar equipamentos?
Nível de formalidade
Políticas formais são mais facilmente seguidas
Grau de detalhamento
Alto: facilita a detecção de violação, mas pode inviabilizar a sua
implementação
Nem todos os sistemas precisam do mesmo grau de detalhes
Exemplos de sistemas com detalhamento alto
Controle de acesso, uso aceitável, consequências da violação
Políticas de sistemas
Implementação
A tecnologia desempenha um papel importante nas
políticas de sistemas, mas não “único”
Questões não tecnológicas não devem ser desprezadas
Ex: Documentos confidenciais somente podem ser impressos na
impressora XYZ
Como garantir que pessoas não autorizadas tenham acesso físico à
impressora? (ou seja, elas podem não ter acesso aos arquivos, mas
também devem ser mantidas longe do papel)
Exemplos
Proibir telefones de ligar para certos números
Uso de ferramentas* para auxílio da detecção de intrusões
Configurar PCs para não dar boot por unidade externa (pen-
drive, CD/DVD, HD externo)
Proibir (ou limitar) o uso de modems nas máquinas
Políticas de Sistemas
Componentes
Objetivo
Escopo
Política
Pontos específicos que devem ser seguidos
Imposição e conformidade
Glossário / definições
Histórico de revisões
Exemplo: SANS Institute
Política para roteador
Objetivo
Este documento descreve uma configuração
mínima de segurança para todos os roteadores e
switches conectados na rede de produção da
<organização>
Escopo
Todos os roteadores e switches conectados na
rede de produção da <organização> são afetados
Roteadores em laboratórios internos/seguros são
excluídos
Roteadores dentro da DMZ (Demilitarized Zone)
Exemplo: SANS Institute
Política para roteador (CISCO)
Política: padrões de configuração
1. Contas locais não devem ser configuradas nos roteadores.
Roteadores devem usar TACACS+ (AAA) para todas as
autenticações de usuários
2. A senha de “enable” deve ser criptografada
3. Deve ser desabilitado
Broadcast IP direcionado (sub-redes que o host não está)
Recepção de pacotes com endereços inválidos (ex: RFC1918)
Serviços “pequenos” TCP e UDP (echo, chargen, daytime, discard)
Roteamento pela fonte (source routing)
Serviços web rodando no roteador
4. Não usar comunidade SNMP public (criar padrões)
5. Regras de acesso devem ser definidas pela necessidade
6. ...
Exemplo: SANS Institute
Política para roteador (CISCO)
Imposição / Conformidade
Qualquer funcionário que violar esta política e for
descoberto deve ser repreendido, incluindo, em
casos graves, a demissão
CISCO: senha de “enable”
Problema de segurança em roteadores CISCO: pessoal não se preocupa
em criptografar as senhas armazenadas nas configurações do roteador
Logando em um roteador e digitando a senha de "enable", eu dou o
comando "show running-config" (mostra as configurações)
line con 0
password gamkCiSC0rout3r
login
transport input none
stopbits 1
line vty 0 4
password telnetRtC1sco
login
Senha de telnet = telnetRtC1sco; senha do console = gamkCiSC0rout3r
Exemplo: SANS Institute
Diretrizes
para anti-vírus
Sempre usar o anti-vírus padrão da organização
NUNCA abrir arquivos ou macros anexados a um email de alguém
desconhecido ou suspeito
Remover spam, correntes, etc, sem encaminhar
Nunca transferir arquivos de fontes desconhecidas ou suspeitas
Evitar compartilhamento de disco com permissão de leitura/escrita a
não ser que haja um requisito explícito do negócio para fazer isso
Sempre escanear pen-drives de fontes desconhecidas (ou
conhecidas) antes de usá-los
Fazer cópias de segurança das configurações do sistema
regularmente e armazenar em local seguro
Se algum teste entrar em conflito com o anti-vírus, desabilitar
momentaneamente e depois retornar
Atualizar constantemente a base de dados do programa anti-vírus
corporativo
Política de Segurança de TI
Universidade
Introdução
da Califórnia
Política
Papéis e Responsabilidades
Gerentes administrativos
Provedores de serviços (qualquer um que faça serviço)
Usuários
Principais elementos de segurança
Segurança lógica
Segurança física
Privacidade e Confidencialidade
Conformidade com a Lei e com a Política
Recursos
Contatos
Recursos
Política de Segurança de TI
Universidade da Califórnia
Política de Segurança de TI
Universidade da Califórnia
Introdução
Para cumprir a sua missão de ensino, pesquisa e
serviço público, o campus está comprometido com
a oferta de uma rede segura, mas aberta, que
protege a integridade e confidencialidade da
informação ao mesmo tempo que mantém a sua
acessibilidade
Política de Segurança de TI
Universidade da Califórnia
Política
Cada membro da comunidade do campus é
responsável pela segurança e proteção dos
recursos de informação eletrônica sobre os quais
tem controle
Recursos a serem protegidos incluem redes,
computadores, software e dados
A integridade física e lógica desses recursos deve
ser protegida contra ameaças como intrusões não
autorizadas, uso malicioso ou transgressão
inadvertida
Atividades terceirizadas para entidades de fora do
campus devem ser compatíveis com os mesmos
requisitos de segurança
Política de Segurança de TI
Universidade da Califórnia
Papéis e Responsabilidades - Administradores
Identificar os recursos de informação eletrônica dentro das sua
áreas de controle
Definir o propósito e função dos recursos e assegurar que o
treinamento e documentação necessários são oferecidos
conforme a necessidade
Estabelecer níveis aceitáveis de riscos de segurança para os
recursos, avaliando fatores como
Sensibilidade dos dados (pesquisas, etc)
Nível de criticidade para a operação das atividades do campus
...
Para sistemas que suportam a administração de negócios,
assegurar a conformidade com as provisões de “Segurança da
Informação Eletrônica”
Assegurar que medidas de segurança necessárias são
implementadas para os recursos
Política de Segurança de TI
Universidade da Califórnia
Conformidade com a Lei e a Política
Os departamentos, unidades e grupos do campus
deveriam estabelecer diretrizes, padrões ou
procedimentos de segurança que refinam as
provisões desta Política para atividades
específicas dentro da sua área, in conformidade
com esta Política e outras políticas e leis aplicáveis
Políticas que são aplicáveis a todos os recursos do
segurança do campus incluem
Política de Comunicações Eletrônicas
Política de Uso de Computadores
Política de Segurança de TI
Universidade da Califórnia
Conformidade com a Lei e a Política
As seguintes atividades são proibidas por esta
Política
Interferir, alterar ou interromper a operação de recursos
Transmitir intencionalmente qualquer vírus, verme ou
outro software malicioso
Tentar acessar, acessar ou usar recursos sem
autorização
Conscientemente conceder níveis de acesso ou uso
inapropriado a outras pessoas
Transferir arquivos sensíveis ou confidenciais para
computadores que não estão adequadamente
configurados para protegê-los de acesso não
Política de Segurança de TI
Universidade da Califórnia
Conformidade com a Lei e a Política
Além das sanções legais cabíveis, os violadores
desta Política podem estar sujeitos a ações
disciplinares incluindo demissão ou expulsão, de
acordo com
Políticas do Campus de Berkeley
Acordos de negociação coletiva
Códigos de conduta, ou
Outro instrumento que governa a relação indivicual
com a Universidade
Política de Segurança da UFABC
Resolução ConsUni nº 12 - 09/10/08
Aprova as Normas de Uso e Políticas Gerais de
Segurança da UFABC
http://www.ufabc.edu.br/index.php?option=com_content&view=article&id
=1085:resolucao-consuni-no12-091008&catid=226:consuni-
resolucoes&Itemid=21
http://www.ufabc.edu.br/images/stories/comunicare/boletimdeservico/bol
etim_servico_ufabc_273.pdf
Ferramentas de Políticas de SI
SANS
Projeto de Políticas de Segurança
www.sans.org/resources/policies