SEGURANÇA DA INFORMAÇÃO

Política de Segurança da Informação

Gustavo G. Marchisotti
Gustavo.marchisotti@prof.infnet.edu.br

1
OBJETIVOS DA DISCIPLINA

• Conhecer os termos e conceitos de política de

segurança da informação

• Conhecer as etapas de elaboração de uma política de

segurança da informação

• Conhecer as etapas de implementação de uma política

de segurança da informação

• Conhecer as etapas de manutenção de uma política de

segurança da informação
2
AGENDA

• Visão Geral

• Elaborando, Implementando e Mantendo uma

Política de Segurança

• Alguns Exemplos

• Exercícios

3
 REFLEXÃO INICIAL
“LEIS QUE PEGAM E LEIS QUE NÃO PEGAM”
• “No Brasil, 128 mil leis são ‘inúteis’. Pesquisa da Casa Civil (2007) mostra que, de
181 mil normas legais, só 53 mil estão em vigor. A cada legislatura, número cresce.
Comissão quer eliminar leis obsoletas e inconstitucionais ”
• “(1921) Estão impedidos de entrar no País todo estrangeiro mutilado, aleijado, cego,
louco, mendigo, portador de moléstia ou de moléstia contagiosa grave”
• “Câmara dos vereadores de Sorocaba aprovou projeto de lei (1963) do então
prefeito Artidoro Mascarenhas que proibia o cidadão de abastecer piscinas com
água”
• “O Deputado Edson Portilho, do Rio Grande do Sul, teve a desventura de criar um
projeto de lei que permite que os animais sejam torturados e sacrificados em rituais
religiosos”
• “O vereador Rozendo de Oliveira propôs o ‘serviço de transporte por meio de
bicicletas acopladas sequencialmente, até o número de dez unidades’”
• “O ex-prefeito de Biritiba-Mirim (SP), Roberto Pereira da Silva, também conhecido
como Jacaré, baixou um decreto (2005) proibindo o povo de bater as botas”
4
REFLEXÃO INICIAL

A lei deve ser:

• Justa, razoável, útil e entendida por todos.
• Universal, aplicável a todos os seus destinatários.
• Fiscalizada com previsão de penalidades.
• Punir?
• Premiar?

5
VISÃO GERAL
• “Política significa coisas diferentes para diferentes pessoas”
• Existe uma história, contada mais ou menos assim:
• Um guarda de segurança que trabalha no turno da noite em uma fábrica vê um homem
baixinho sair do prédio, empurrando um carrinho de mão vazio. O guarda, com uma
suspeita repentina, pára o homem, que pergunta por que está sendo parado. “Apenas
quero ter certeza de que você não está roubando nada”, diz o guarda, de forma
grosseira. “Confira tudo o que quiser”, responde o homem, e o guarda procura, mas não
encontra nada suspeito e permite que o homem vá embora. Na noite seguinte, acontece
a mesma coisa. Isso se repete por algumas semanas e então o baixinho não aparece mais
no portão. Passam vinte anos e o guarda, já aposentado, está sentado em um bar, quando
o baixinho entra. Reconhecendo-o, o guarda aposentado se aproxima, explica quem é e
oferece pagar uma bebida, se o baixinho responder a uma pergunta. O homem concorda
e o guarda diz: “Tenho certeza de que você estava levando algo, mas nunca consegui
descobrir o que você estava roubando”. O baixinho pegou a bebida e, enquanto levava o
copo à boca, disse: ”Eu estava roubando carrinhos de mão”.
• Moral da história: as medidas de segurança nada representarão
se os “guardas” não souberem o que deverão proteger. 6
VISÃO GERAL (CONT.)
• CONTROLES DE SEGURANÇA DA INFORMAÇÃO

• Configuração • Controle de • Classificação • Treinamento

• Instalação Acesso da Informação • Campanha de
• CFTV • Cópia de Divulgação
Segurança

7
VISÃO GERAL (CONT.)

• CONTROLES DE SEGURANÇA DA INFORMAÇÃO

8
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

OBJETIVO CONFORME ABNT NBR ISO/IEC 27001

• A 5.1 Política de segurança da informação
“Prover a orientação e apoio da direção para a segurança da
informação da acordo com os requisitos de negócio e com as leis e
regulamentos relevantes.”

A 5.1.1 Documento da política de segurança da informação

A 5.1.2 Análise crítica da Política de Segurança da Informação

9
QUAL INFORMAÇÃO DEVE SER PROTEGIDA ?

10
PROTEGER A INFORMAÇÃO DE QUE ?

11
ANÁLISE DE RISCO X AUDITORIA

12
QUANDO ELABORAR UMA POLÍTICA?

https://www.youtube.com/watch?v=-KwdZjlw630
13
14
POR QUE É TÃO DIFÍCIL ?
Se uma boa política de segurança é o recurso mais importante que se pode
criar para tornar uma empresa menos vulnerável, por que a maioria das
empresas considera tão difícil criar uma política eficiente?
• Prioridade
• A política é importante, mas hoje à tarde é preciso que alguém coloque o servidor da
Web on-line. Se for necessário que as pessoas deixem de cuidar do que consideram
urgentes e usem o tempo para concordar com a política de segurança, será muito
difícil ter sucesso.
• Política Interna
• Em qualquer empresa, grande ou pequena, vários fatores internos afetam qualquer
decisão ou prática
• Propriedade
• Em algumas empresas existe uma briga entre vários grupos que desejam ser os donos
da política e, em outras empresas, a briga ocorre entre vários grupos que
explicitamente não querem ser os responsáveis pela política.
15
POR QUE É TÃO DIFÍCIL ?
• Dificuldade para escrever
• Uma boa política é um documento difícil de se organizar de maneira precisa,
principalmente quando é necessário que seja abrangente. Não é possível prever
todos os casos e todos os detalhes.
• Grande volume de trabalho para
• Elaborar, Imprimir, Distribuir, Implementar, Divulgar, Ensinar, Atualizar

16
DESAFIO - INTEGRAÇÃO ENTRE
TECNOLOGIA, NEGÓCIO E GESTÃO

17
ALGUNS PASSOS IMPORTANTES
• A criação de uma Política de Segurança precisa ser um esforço conjunto
entre o pessoal técnico e o pessoal responsável pelas decisões da
organização. É importante fazer uma avaliação dos riscos envolvidos para
se decidir o que realmente precisa ser protegido e a quantidade de
recursos que devem ser utilizados para minimização dos mesmos.
• Elaborar uma Política de Segurança é uma tarefa complexa. Seus custos
são aparentemente elevados, ela precisa ser constantemente monitorada,
revisada e atualizada e seus resultados só poderão ser notados a médio e
longo prazo.
• Por conta dessas “dificuldades”, normalmente, a implantação de uma
Política de Segurança é precedida pela criação de uma comissão composta
por profissionais dos diversos setores da empresa. E esta representação
deve ser a mais abrangente possível, pois assim os procedimentos a serem
adotados serão difundidos com maior facilidade entre todos os
funcionários da empresa. 18
QUESTÕES PARA SE PENSAR

• Uma boa política hoje é melhor do que uma excelente política no

próximo ano;
• Uma política fraca, mas bem-distribuída, é melhor do que uma
política forte que ninguém leu;
• Uma política simples e facilmente compreendida é melhor do que
uma política confusa e complicada que ninguém se dá o trabalho de
ler;
• Uma política cujos detalhes estão ligeiramente imprecisos é muito
melhor do que uma política sem quaisquer detalhes;
• Uma política dinâmica que é atualizada constantemente é melhor do
que uma política que se torna obsoleta com o passar do tempo.
19
FATORES IMPORTANTES PARA O SUCESSO
• Apoio por parte da alta administração;
• A política deve ser ampla, cobrindo todos os aspectos que envolvem a segurança
dos recursos computacionais e da informação sob responsabilidade da
organização (ex: Política de senhas, direitos e responsabilidades dos usuários,
direitos e responsabilidades do provedor dos recursos (organização), ações
previstas em caso de violação da política.
• A política deve ser periodicamente atualizada de forma a refletir as mudanças na
organização;
• Deve haver um indivíduo ou grupo responsável por verificar se a política está
sendo respeitada;
• Todos os usuários da organização devem tomar conhecimento da política e
manifestar a sua concordância em submeter-se a ela antes de obter acesso aos
recursos computacionais;
• A política deve estar disponível em um local de fácil acesso aos usuários, tal
como a intranet da organização.
20
FATORES QUE A POLÍTICA AO FRACASSO

• A política não deve ser demasiadamente detalhada ou

restritiva;
• O excesso de detalhes na política pode causar confusão ou
dificuldades na sua implementação;
• Falta de divulgação adequada na empresa
• A não aderência ao controles estabelecidos;
• Não devem ser abertas exceções para indivíduos ou grupos;
• A política não deve estar atrelada a softwares e/ou hardwares
específicos.

21
PROPÓSITO

• A política de segurança da informação tem o propósito de

elaborar critérios para o adequado manuseio,
armazenamento, transporte e descarte das informações
através do desenvolvimento de Diretrizes, Normas,
Procedimentos e Instruções destinadas respectivamente aos
níveis estratégico, tático e operacional.
• Desta forma podemos dizer que:
• O Estratégico é baseado nas diretrizes da organização
• O Tático é o elo de ligação onde são definidos as normas que irão
suportar as diretrizes e nortear o operacional
• Operacional é o dia-a-dia – os procedimentos

22
MODELO

23
CONJUNTO DE DOCUMENTOS DA POLÍTICA

24
COMO ORGANIZAR A POLÍTICA

• Existem várias formas de se estabelecer uma política em sua

empresa. Algumas não são perfeitas e nem sem riscos, mas se
conseguir administrá-la, você economizará muito tempo e
dificuldades. Uma sugestão seria o processo a seguir:
• Escreva diretrizes de segurança para sua empresa. Não inclua nada
específico. Afirme generalidades.
• Descubra três pessoas dispostas a fazer parte do “comitê de política de
segurança”. A tarefa dessas pessoas será criar regras e emendas para a
política, sem modificá-la.
• Crie um site interno sobre a política e inclua uma página para entrar em
contato com o comitê.
• Trate a política e as emendas como regras absolutas com força de lei. Não
faça nada que possa violar a política e não permita que ocorram violações.
• Programe um encontro regular para consolidar a política e as emendas.
25
ETAPAS NA ELABORAÇÃO DA POLÍTICA

• Reunião dos resultados das Análises de Riscos;

• Consolidação das Normas Legais aplicáveis;
• Lista dos requisitos de negócio;
• Organização dos documentos que compõem a Política;
• Itens a serem desenvolvidos nos documentos;
• Reunião das equipes de elaboração;
• Identificação, quando aplicável, da norma zero;
• Discussão dos itens a serem inseridos nos documentos;
• Elaboração da redação dos itens;
• Revisão do texto para aprovação;
• Deliberação dos documentos.

26
27
DIRETRIZ (EXEMPLO)

• Todos os usuários ao tomarem conhecimento de qualquer

incidente de segurança da informação devem notificar o fato,
imediatamente, à Gerência de Segurança da Informação –
GSI, através de e-mail (gsi@proderj.rj.gov.br) ou de CI.

• A Política deve ser conhecida e obedecida por todos os

usuários que utilizam os recursos de processamento da
informação de propriedade ou controlados pelo PRODERJ,
sendo de responsabilidade de cada um o seu cumprimento.A
Política está disponível na intranet do PRODERJ

Fonte: www.proderj.rj.gov.br/normas_politica_seg.asp
28
NORMA (EXEMPLO)

• É vedada a utilização do Correio Eletrônico, nas situações

abaixo:
• Envio de mensagens não autorizadas divulgando informações
sigilosas e/ou de propriedade do Governo;
• Acesso não autorizado à caixa postal de outro usuário;
• Acesso não autorizado ao Banco de Dados do Correio Eletrônico
de outro Órgão;
• Uso de contas particulares dos usuários, através dos serviços Post
Office Protocol - POP, Internet Message Access Protocol - IMAP e
Simple Mail Transfer Protocol - SMTP de provedores não
pertinentes ao domínio rj.gov.br

Fonte: www.proderj.rj.gov.br/normas_politica_seg.asp
29
NORMA (EXEMPLO PRÁTICO)
• Uma empresa tem filiais em 3 cidades brasileiras, e as redes desses três
locais são completamente distintas em funcionamento e padrões. Certa
vez foi necessário levantar um histórico de um projeto interno, e em uma
das filiais esse histórico não existia. Por que a diferença?
• Simples. Ninguém disse ao administrador do banco de dados daquela filial
que a cópia de segurança do banco precisava ser armazenada por 6
meses. O funcionário daquela filial achou que era suficiente guardar as
fitas durante 1 mês. Após esse período, as fitas eram reutilizadas para
novas cópias de segurança.
• Qual seria a norma?
• "As cópias de segurança de informações referentes a projetos devem permanecer
inalteradas durante o período de 6 meses após a sua criação."
• A palavra chave para o nível tático é padronização. Isso faz com que todos
os pontos da empresa tenham o mesmo nível de segurança e não
tenhamos um elo mais fraco na corrente.
30
Procedimentos (exemplo)

31
INSTRUÇÃO (EXEMPLO)
• Dê um clique no programa “SecureClient” da opção Check
Point VPN-1 SecureClient do menu Programas do sistema
operacional MicrosoftVista.

• Ao abrir a tela, acione a aba “Certificates”.

•Para criar o certificado, clique no

botão “Create Certificate ...”,
Conforme a figura ao lado.

32
Diretrizes (exercício)
• Elabore um parágrafo com uma diretriz de segurança da
informação a sua escolha

33
Normas (exercício)
• Elabore um parágrafo com uma norma de segurança da
informação, ligada a diretriz criada, a sua escolha.

34
Procedimento (exercício)
• Elabore um procedimento de segurança da informação, ligada
a norma criada, a sua escolha.

35
Instrução (exercício)
• Elabore um texto com um procedimento de segurança da
informação, ligada ao procedimento criado, a sua escolha.

36
CONTROLE DE DOCUMENTOS

• Aprovação da documentação;
• Revisão, atualização e re-aprovação dos documentos;
• Garantir que mudanças e que o status da versão dos
documentos seja identificada;
• Garantir que a última versão dos documentos relevantes estarão
disponíveis nos locais de uso;
• Garantir que os documentos sejam legíveis e prontamente
identificáveis;
• Garantir que os documentos de origem externa são
identificados;
• Garantir que a distribuição dos documentos seja controlada.
Fonte: Norma ABNT NBR ISO/IEC 27001 (4.3.2 – Controle de Documentos)
37
ETAPAS NA IMPLEMENTAÇÃO DA POLÍTICA

• Planejar a Campanha de Divulgação

• Criar o repositório dos documentos
• Relacionar as mídias utilizadas na divulgação
• Programar a Divulgação
• Executar a Campanha de Divulgação
• Medir a efetividade da Campanha

38
ETAPAS NA MANUTENÇÃO DA POLÍTICA
• Reunir os resultados da auditoria de SI
• Verificar novas normas legais vigentes
• Reunir os resultados das análises de riscos
• Atualizar os requisitos de negócio
• Verificar as especificidades
• Novas tecnologias
• Novas organizações
• Novo quadro funcional
• Novos dados pessoais
• Analisar os GAPs
• Revisar os textos
• Solicitar deliberação 39
FIM

40