Escolar Documentos
Profissional Documentos
Cultura Documentos
Gustavo G. Marchisotti
Gustavo.marchisotti@prof.infnet.edu.br
1
OBJETIVOS DA DISCIPLINA
• Visão Geral
• Alguns Exemplos
• Exercícios
3
REFLEXÃO INICIAL
“LEIS QUE PEGAM E LEIS QUE NÃO PEGAM”
• “No Brasil, 128 mil leis são ‘inúteis’. Pesquisa da Casa Civil (2007) mostra que, de
181 mil normas legais, só 53 mil estão em vigor. A cada legislatura, número cresce.
Comissão quer eliminar leis obsoletas e inconstitucionais ”
• “(1921) Estão impedidos de entrar no País todo estrangeiro mutilado, aleijado, cego,
louco, mendigo, portador de moléstia ou de moléstia contagiosa grave”
• “Câmara dos vereadores de Sorocaba aprovou projeto de lei (1963) do então
prefeito Artidoro Mascarenhas que proibia o cidadão de abastecer piscinas com
água”
• “O Deputado Edson Portilho, do Rio Grande do Sul, teve a desventura de criar um
projeto de lei que permite que os animais sejam torturados e sacrificados em rituais
religiosos”
• “O vereador Rozendo de Oliveira propôs o ‘serviço de transporte por meio de
bicicletas acopladas sequencialmente, até o número de dez unidades’”
• “O ex-prefeito de Biritiba-Mirim (SP), Roberto Pereira da Silva, também conhecido
como Jacaré, baixou um decreto (2005) proibindo o povo de bater as botas”
4
REFLEXÃO INICIAL
5
VISÃO GERAL
• “Política significa coisas diferentes para diferentes pessoas”
• Existe uma história, contada mais ou menos assim:
• Um guarda de segurança que trabalha no turno da noite em uma fábrica vê um homem
baixinho sair do prédio, empurrando um carrinho de mão vazio. O guarda, com uma
suspeita repentina, pára o homem, que pergunta por que está sendo parado. “Apenas
quero ter certeza de que você não está roubando nada”, diz o guarda, de forma
grosseira. “Confira tudo o que quiser”, responde o homem, e o guarda procura, mas não
encontra nada suspeito e permite que o homem vá embora. Na noite seguinte, acontece
a mesma coisa. Isso se repete por algumas semanas e então o baixinho não aparece mais
no portão. Passam vinte anos e o guarda, já aposentado, está sentado em um bar, quando
o baixinho entra. Reconhecendo-o, o guarda aposentado se aproxima, explica quem é e
oferece pagar uma bebida, se o baixinho responder a uma pergunta. O homem concorda
e o guarda diz: “Tenho certeza de que você estava levando algo, mas nunca consegui
descobrir o que você estava roubando”. O baixinho pegou a bebida e, enquanto levava o
copo à boca, disse: ”Eu estava roubando carrinhos de mão”.
• Moral da história: as medidas de segurança nada representarão
se os “guardas” não souberem o que deverão proteger. 6
VISÃO GERAL (CONT.)
• CONTROLES DE SEGURANÇA DA INFORMAÇÃO
7
VISÃO GERAL (CONT.)
8
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
9
QUAL INFORMAÇÃO DEVE SER PROTEGIDA ?
10
PROTEGER A INFORMAÇÃO DE QUE ?
11
ANÁLISE DE RISCO X AUDITORIA
12
QUANDO ELABORAR UMA POLÍTICA?
https://www.youtube.com/watch?v=-KwdZjlw630
13
14
POR QUE É TÃO DIFÍCIL ?
Se uma boa política de segurança é o recurso mais importante que se pode
criar para tornar uma empresa menos vulnerável, por que a maioria das
empresas considera tão difícil criar uma política eficiente?
• Prioridade
• A política é importante, mas hoje à tarde é preciso que alguém coloque o servidor da
Web on-line. Se for necessário que as pessoas deixem de cuidar do que consideram
urgentes e usem o tempo para concordar com a política de segurança, será muito
difícil ter sucesso.
• Política Interna
• Em qualquer empresa, grande ou pequena, vários fatores internos afetam qualquer
decisão ou prática
• Propriedade
• Em algumas empresas existe uma briga entre vários grupos que desejam ser os donos
da política e, em outras empresas, a briga ocorre entre vários grupos que
explicitamente não querem ser os responsáveis pela política.
15
POR QUE É TÃO DIFÍCIL ?
• Dificuldade para escrever
• Uma boa política é um documento difícil de se organizar de maneira precisa,
principalmente quando é necessário que seja abrangente. Não é possível prever
todos os casos e todos os detalhes.
• Grande volume de trabalho para
• Elaborar, Imprimir, Distribuir, Implementar, Divulgar, Ensinar, Atualizar
16
DESAFIO - INTEGRAÇÃO ENTRE
TECNOLOGIA, NEGÓCIO E GESTÃO
17
ALGUNS PASSOS IMPORTANTES
• A criação de uma Política de Segurança precisa ser um esforço conjunto
entre o pessoal técnico e o pessoal responsável pelas decisões da
organização. É importante fazer uma avaliação dos riscos envolvidos para
se decidir o que realmente precisa ser protegido e a quantidade de
recursos que devem ser utilizados para minimização dos mesmos.
• Elaborar uma Política de Segurança é uma tarefa complexa. Seus custos
são aparentemente elevados, ela precisa ser constantemente monitorada,
revisada e atualizada e seus resultados só poderão ser notados a médio e
longo prazo.
• Por conta dessas “dificuldades”, normalmente, a implantação de uma
Política de Segurança é precedida pela criação de uma comissão composta
por profissionais dos diversos setores da empresa. E esta representação
deve ser a mais abrangente possível, pois assim os procedimentos a serem
adotados serão difundidos com maior facilidade entre todos os
funcionários da empresa. 18
QUESTÕES PARA SE PENSAR
21
PROPÓSITO
22
MODELO
23
CONJUNTO DE DOCUMENTOS DA POLÍTICA
24
COMO ORGANIZAR A POLÍTICA
26
27
DIRETRIZ (EXEMPLO)
Fonte: www.proderj.rj.gov.br/normas_politica_seg.asp
28
NORMA (EXEMPLO)
Fonte: www.proderj.rj.gov.br/normas_politica_seg.asp
29
NORMA (EXEMPLO PRÁTICO)
• Uma empresa tem filiais em 3 cidades brasileiras, e as redes desses três
locais são completamente distintas em funcionamento e padrões. Certa
vez foi necessário levantar um histórico de um projeto interno, e em uma
das filiais esse histórico não existia. Por que a diferença?
• Simples. Ninguém disse ao administrador do banco de dados daquela filial
que a cópia de segurança do banco precisava ser armazenada por 6
meses. O funcionário daquela filial achou que era suficiente guardar as
fitas durante 1 mês. Após esse período, as fitas eram reutilizadas para
novas cópias de segurança.
• Qual seria a norma?
• "As cópias de segurança de informações referentes a projetos devem permanecer
inalteradas durante o período de 6 meses após a sua criação."
• A palavra chave para o nível tático é padronização. Isso faz com que todos
os pontos da empresa tenham o mesmo nível de segurança e não
tenhamos um elo mais fraco na corrente.
30
Procedimentos (exemplo)
31
INSTRUÇÃO (EXEMPLO)
• Dê um clique no programa “SecureClient” da opção Check
Point VPN-1 SecureClient do menu Programas do sistema
operacional MicrosoftVista.
32
Diretrizes (exercício)
• Elabore um parágrafo com uma diretriz de segurança da
informação a sua escolha
33
Normas (exercício)
• Elabore um parágrafo com uma norma de segurança da
informação, ligada a diretriz criada, a sua escolha.
34
Procedimento (exercício)
• Elabore um procedimento de segurança da informação, ligada
a norma criada, a sua escolha.
35
Instrução (exercício)
• Elabore um texto com um procedimento de segurança da
informação, ligada ao procedimento criado, a sua escolha.
36
CONTROLE DE DOCUMENTOS
• Aprovação da documentação;
• Revisão, atualização e re-aprovação dos documentos;
• Garantir que mudanças e que o status da versão dos
documentos seja identificada;
• Garantir que a última versão dos documentos relevantes estarão
disponíveis nos locais de uso;
• Garantir que os documentos sejam legíveis e prontamente
identificáveis;
• Garantir que os documentos de origem externa são
identificados;
• Garantir que a distribuição dos documentos seja controlada.
Fonte: Norma ABNT NBR ISO/IEC 27001 (4.3.2 – Controle de Documentos)
37
ETAPAS NA IMPLEMENTAÇÃO DA POLÍTICA
38
ETAPAS NA MANUTENÇÃO DA POLÍTICA
• Reunir os resultados da auditoria de SI
• Verificar novas normas legais vigentes
• Reunir os resultados das análises de riscos
• Atualizar os requisitos de negócio
• Verificar as especificidades
• Novas tecnologias
• Novas organizações
• Novo quadro funcional
• Novos dados pessoais
• Analisar os GAPs
• Revisar os textos
• Solicitar deliberação 39
FIM
40