Você está na página 1de 7

23/3/2011

Política de Segurança de Informação: …

Política de Segurança de Informação: um modelo de como não fazer « Efetividade.net

Fonte:http://www.efetividade.net/2009/01/20/politica-de-seguranca-de-informacao-um-modelo-de-como-nao-fazer/

A política de segurança da sua organização é inexistente ou ineficaz, e ainda por cima dificulta que os

usuários possam usar os recursos de informática para realizar trabalho legítimo? Você não está sozinho, esta é uma fonte contínua de frustração para bastante gente.

Na verdade, e para ser justo, mesmo quando ela funciona bem, é provável que muitos usuários ocasionalmente sintam que ela é um entrave ao seu desempenho. Mas quando ela não funciona, o efeito é muito mais frustrante.

quando ela não funciona, o efeito é muito mais frustrante. Batendo na mesma tecla As causas

Batendo na mesma tecla

As causas são bem conhecidas, e não é necessário formação em TI para entender por que as coisas acontecem assim. E a listagem abaixo é justamente isso: uma lista do que deve ser feito se quisermos que a política de segurança de TI não funcione, acompanhada de ocasionais comentários em itálico explicando ou ampliando os itens. Mas a receita oposta (a do sucesso) seja bem mais difícil de definir ;-)

Os comentários em itálico são todos meus, mas a lista original foi publicada há 2 semanas no Internet Storm Center. Eu me esforcei menos para fazer uma tradução fiel, e mais para torná-la suficientemente compreensível para poder ser entendida (com menos jargões, especialmente) por todo mundo que tem interesse no avanço da segurança das informações em suas organizações, e na redução das proibições e restrições desnecessárias ou injustificadas.

Já vai longe o tempo em que eu era administrador de redes e lia diariamente sites como o Internet Storm

Center. Mas tanto naquela época como agora eu sempre acreditei que a organização só faz a política – quem faz a segurança são os usuários. E é suficientemente fácil encontrar exemplos de políticas de segurança de informação sendo mal-empregados e gerando mais prejuízos do que benefícios.

Portanto, se a lista abaixo provocar reflexões sobre a situação na sua organização, compartilhe conosco nos comentários!

Vamos à lista!

23/3/2011

Política de Segurança de Informação: …

Política de Segurança da Informação: checklist do que NÃO fazer

Práticas de segurança

Espere que os usuários, em prol da segurança, abram mão da conveniência. Abrir mão da conveniência é algo que geralmente se faz só por obrigação imposta, por Abrir mão da conveniência é algo que geralmente se faz só por obrigação imposta, por mais que se compreenda e apóie a política (e se deseje que “os outros” abram mão das suas conveniências), em especial quando as pessoas se percebem impedidas, pela própria organização, de realizar o trabalho que se espera delas.

Tranque tanto a infra-estrutura, que trabalhar se torne complicado demais. Complemento do comentário acima. E há um risco adicional: os usuários vão encontrar “jeitinhos”, como Complemento do comentário acima. E há um risco adicional: os usuários vão encontrar “jeitinhos”, como o uso de cópias locais, versões antigas e mídias não-autorizadas.

Diga “não” sempre que lhe solicitarem alguma aprovação. Assumindo que você tenha força suficiente para sustentar um comportamento deste tipo, aí quem vai Assumindo que você tenha força suficiente para sustentar um comportamento deste tipo, aí quem vai encontrar jeitinhos serão departamentos inteiros, filiais, e outros agregados.

serão departamentos inteiros, filiais, e outros agregados . Imponha requisitos de segurança sem as ferramentas e

Imponha requisitos de segurança sem as ferramentas e treinamento adequados. Vira letra morta, e ainda por cima custa caro. Segurança precisa ser praticada por todos, Vira letra morta, e ainda por cima custa caro. Segurança precisa ser praticada por todos, o que pressupõe ferramentas e educação.

Concentre-se em mecanismos preventivos, ignorando as tecnologias de detecção. Se você acreditar que suas barreiras são inexpugnáveis, corre o risco de perceber o inimigo Se você acreditar que suas barreiras são inexpugnáveis, corre o risco de perceber o inimigo já agindo livremente dentro delas, tarde demais

Não analise logs de sistemas, aplicações e segurança.o inimigo já agindo livremente dentro delas, tarde demais Não tenha tratamento especial e separação para

Não tenha tratamento especial e separação para seus servidores acessíveis via Internet. Se os seus servidores acessíveis via Internet ficarem na mesma rede que os demais computadores Se os seus servidores acessíveis via Internet ficarem na mesma rede que os demais computadores da organização, a tendência é que todos os demais computadores estejam bem mais expostos do

23/3/2011

que deveriam.

Política de Segurança de Informação: …

Assuma que seu gerenciamento de atualizações de sistemas funciona, sem verificá-lo. Basta haver um computador sem uma atualização crítica, para colocar por água abaixo todo o Basta haver um computador sem uma atualização crítica, para colocar por água abaixo todo o restante do esforço.

Apague logs porque eles ficaram grandes demais para ler. Configure-os de acordo, processe-os e leia! Ou arrume quem o faça, regularmente e com muita Configure-os de acordo, processe-os e leia! Ou arrume quem o faça, regularmente e com muita atenção.

Espere que o SSL resolva todas as questões de segurança de seus aplicativos web. SSL é só o mínimo necessário, e o “cadeadinho fechado” no rodapé do navegador não SSL é só o mínimo necessário, e o “cadeadinho fechado” no rodapé do navegador não protege contra as falhas na programação ou na arquitetura.

contra as falhas na programação ou na arquitetura . Proíba o uso de pen drives, sem

Proíba o uso de pen drives, sem delimitar o acesso à Internet. Os mesmos arquivos que podem entrar ou sair via pen-drive podem fazê-lo via uma grande Os mesmos arquivos que podem entrar ou sair via pen-drive podem fazê-lo via uma grande variedade de sites na Internet. Pen drives são uma ferramenta, mas o que deve ser restrito é trazer ou levar os arquivos não autorizados que se queira impedir. Só proibir os pen drives é incômodo e ineficaz.

Aja como se fosse superior a seus pares nas demais áreas de TI. Cooperação é muito mais eficaz . Cooperação é muito mais eficaz.

Pare de aprender sobre tecnologias e ataques.demais áreas de TI. Cooperação é muito mais eficaz . Adote novas tecnologias antes que elas

Adote novas tecnologias antes que elas tenham maturidade suficiente. Folders, livretos, exposições e as conversas dos vendedores devem ser tomados em conjunto com doses Folders, livretos, exposições e as conversas dos vendedores devem ser tomados em conjunto com doses saudáveis de consideração.

Contrate alguém só porque ele tem um monte de certificações.tomados em conjunto com doses saudáveis de consideração . Não informe seus gestores sobre os problemas

Não informe seus gestores sobre os problemas de segurança que os seus esforços evitaram. Os seus custos e as dificuldades que você gera, eles vêem. Permita que vejam claramente Os seus custos e as dificuldades que você gera, eles vêem. Permita que vejam claramente os resultados também.

Não faça treinamento cruzado nas equipes de segurança e TI. Os desenvolvedores, equipes de suporte, operação e manutenção são essenciais na segurança. E os profissionais Os desenvolvedores, equipes de suporte, operação e manutenção são essenciais na segurança. E os profissionais da segurança precisam conhecer as tecnologias que estão protegendo ou restringindo.

Gestão de senhas

Exija que seus usuários troquem de senha com muita frequência. …e eles adotarão esquemas fáceis …e eles adotarão esquemas fáceis

23/3/2011

Política de Segurança de Informação: …

de lembrar (e quebrar), ou escreverão as senhas em algum lugar de fácil acesso.

Espere que seus usuários lembrem de senhas sem escrevê-las. …e eles nunca vão trocá-las, ou escolherão sempre senhas fáceis. …e eles nunca vão trocá-las, ou escolherão sempre senhas fáceis.

Imponha requisitos de seleção de senhas que exijam esforço demais. …e eles as esquecerão com freqüência e pedirão ajuda a terceiros na hora de trocá-las, …e eles as esquecerão com freqüência e pedirão ajuda a terceiros na hora de trocá-las, falando em voz alta a senha que tentaram e qual irão tentar agora.

Use a mesma senha em sistemas com níveis de risco diferentes.em voz alta a senha que tentaram e qual irão tentar agora . Deixe de considerar

Deixe de considerar a facilidade com que uma senha pode ser regerada ou zerada. Às vezes com um simples telefonema, sem verificação de identidade . Às vezes com um simples telefonema, sem verificação de identidade.

Política de segurança e adoção de padrões

Ignore requisitos legais. Não é razoável: proibir o que uma norma superior permite, permitir o que a lei Não é razoável: proibir o que uma norma superior permite, permitir o que a lei proíbe, atribuir a si mesmo o poder de realizar verificações ou praticar ações que potencialmente violem direitos alheios. Mesmo assim muita gente tenta, todos os dias, e se dá mal na hora de colocar em prática.

Assuma que os usuários irão ler a política de segurança porque você pediu a eles. Eles só o farão se precisarem muito. Publicar pode ser o suficiente para que eles Eles só o farão se precisarem muito. Publicar pode ser o suficiente para que eles venham a conhecer as linhas gerais, eventualmente distorcidas pela Rádio Corredor. Para que os usuários conheçam uma política detalhadamente, é preciso recorrer a outros meios de educação. Na prática, você não pode assumir nem mesmo que toda a equipe de TI, ou que a maioria dos executivos, vá ler a norma.

de TI, ou que a maioria dos executivos, vá ler a norma. Use modelos de documentos

Use modelos de documentos de segurança sem adaptá-los. E não vale adaptar só um pouquinho. E não vale adaptar só um pouquinho.

A não ser que a implantação vá ser para fins didáticos.

Pule direto para a adoção completa das normas ISO antes de estar pronto. Maturidade, de modo Maturidade, de modo

geral, implica em um plano de adoção em várias etapas sucessivas.

Crie políticas de segurança que você não poderá fazer cumprir. Uma norma cujo cumprimento não Uma norma cujo cumprimento não

é (ou não pode ser) exigido pode ser até mesmo pior do que a ausência de normatização, e

acaba servindo apenas para punir culpados depois que a porta já estiver arrombada e as vacas tiverem fugido do estábulo.

Faça cumprir políticas cuja aprovação formal é incompleta ou insuficiente. Especialmente caso exista possibilidade de o caso ir parar no judiciário (mesmo que seja o Especialmente caso exista possibilidade de o caso ir parar no judiciário (mesmo que seja o trabalhista, em caso de

23/3/2011

Política de Segurança de Informação: …

penalidade disciplinar), ou houver interações complexas entre departamentos ou áreas da organização.

Siga cegamente requisitos das normas, sem criar uma arquitetura de segurança completa.complexas entre departamentos ou áreas da organização. Crie sua política de segurança só para marcar um

Crie sua política de segurança só para marcar um ponto em uma checklist. Se for só para dizer que tem, aí o melhor é mesmo cumprir apenas os Se for só para dizer que tem, aí o melhor é mesmo cumprir apenas os requisitos mínimos e estar preparado para arcar com os resultados. Fazer pela metade sai mais caro, e pode ser tão ou mais ineficaz do que só fazer o mínimo que a norma exige.

Contrate alguém para escrever a sua política de segurança sem conhecer sua realidade.mais ineficaz do que só fazer o mínimo que a norma exige . Em um ambiente

Em um ambiente multi-idiomas, traduza a sua política sem manter significados consistentes em todas as traduções.a sua política de segurança sem conhecer sua realidade. Esconda dos funcionários a sua política. Divulgue

Esconda dos funcionários a sua política. Divulgue a todos, não restrinja a divulgação do que não for informação sensível, preocupe-se com Divulgue a todos, não restrinja a divulgação do que não for informação sensível, preocupe-se com a internalização e adoção na prática.

Assuma que se as políticas funcionaram para o ano passado, funcionarão para o próximo. Quantos prédios haviam sido atingidos intencionalmente por aviões de grande porte antes do 11 de Quantos prédios haviam sido atingidos intencionalmente por aviões de grande porte antes do 11 de setembro?

Assuma que atender as normas significa que você está seguro. Atender as normas é só o mínimo necessário. Atender as normas é só o mínimo necessário.

Assuma que as políticas não se aplicam aos executivos. Se houver exceções, elas devem constar na norma, e não podem comprometer sua eficácia. Pouco Se houver exceções, elas devem constar na norma, e não podem comprometer sua eficácia. Pouco adianta todo o restante do esforço se um gerente puder trazer um pen drive de casa para instalar um programa ou compartilhar um arquivo em uma máquina da rede local. Uma variante do mesmo erro: “Assuma que as políticas não se aplicam ao pessoal de TI”.

Esconda-se dos auditores. Se a prioridade é a segurança, não apenas você deve dar as boas vindas a Se a prioridade é a segurança, não apenas você deve dar as boas vindas a eles, como ainda se esforçar para oferecer a eles uma visão ampla, geral e irrestrita. Mas se a prioridade for apenas obter uma certificação ou atender a uma determinação da matriz, você nem precisaria estar lendo este material.

Ferramentas de segurança

Ative uma ferramenta de segurança como veio na caixa, sem configurá-la.estar lendo este material . Ferramentas de segurança Configure o IDS (sistema de detecção de intrusão)

Configure o IDS (sistema de detecção de intrusão) para ser sensível demais, ou de menos. Se ele gerar muitos falsos-positivos, você vai acabar ignorando os verdadeiros. Se ele for muito Se ele gerar muitos falsos-positivos, você vai acabar ignorando os verdadeiros. Se ele for muito permissivo, pode deixar de detectar alguma intrusão real.

Compre ferramentas de segurança sem considerar os custos de ativação e manutenção. Mesmo quando o contrato inclui a implantação e manutenção, há outros custos associados que precisam Mesmo quando o contrato inclui a implantação e manutenção, há outros custos associados que precisam ser considerados.

Dependa de anti-vírus e firewalls, sem controles adicionais.há outros custos associados que precisam ser considerados . efetividade.net/…/politica-de-seguran… 5/7

23/3/2011

Política de Segurança de Informação: …

23/3/2011 Política de Segurança de Informação: … Adote verificações regulares de vulnerabilidades, mas não

Adote verificações regulares de vulnerabilidades, mas não acompanhe com atenção os resultados.23/3/2011 Política de Segurança de Informação: … Deixe seu anti-vírus, IDS e outras ferramentas rodando no

Deixe seu anti-vírus, IDS e outras ferramentas rodando no piloto automático. O custo orçado destas ferramentas deve incluir o valor dos profissionais que precisarão acompanhá-las, gerenciá-las O custo orçado destas ferramentas deve incluir o valor dos profissionais que precisarão acompanhá-las, gerenciá-las e resolver as situações que elas apontarem, se possível antes que se tornem em comprometimentos.

Empregue múltiplas tecnologias de segurança sem entender quanto cada uma delas contribui.se possível antes que se tornem em comprometimentos. Se apresse para comprar produtos caros quando uma

Se apresse para comprar produtos caros quando uma correção simples e barata corrigiria sozinha 80% do problema. Corrigir só 80% do problema não é suficiente, mas se é simples e rápido fazê- Corrigir só 80% do problema não é suficiente, mas se é simples e rápido fazê- lo, o ideal é verificar se é possível colocar em prática e depois reavaliar a situação, para ver se a ferramenta cara é necessária para resolver os 20% restantes, ou se outros caminhos surgem.

Gestão de risco

Tente aplicar o mesmo rigor a todos os ativos de informação, independente do seu perfil de risco. Fica bem mais caro do que deveria, atrapalha processos sem necessidade, e prejudica bastante a Fica bem mais caro do que deveria, atrapalha processos sem necessidade, e prejudica bastante a adoção e internalização pelas pessoas envolvidas.

Dê a alguém o título de Gestor dos Riscos, mas não lhe dê o poder de tomada de decisões correspondente. Ele terá que optar entre se omitir, ou ser o chato que fica apontando riscos Ele terá que optar entre se omitir, ou ser o chato que fica apontando riscos nas atividades alheias podendo ser ignorado, ou ainda saber que está lá só para levar a culpa.

Ignore o quadro geral, e se concentre nas análises quantitativas. É mentalmente desafiante e muito interessante aplicar os modelos matemáticos de quantificação de riscos, mas É mentalmente desafiante e muito interessante aplicar os modelos matemáticos de quantificação de riscos, mas eles não podem substituir a visão do todo, e sim complementá-la.

Assuma que você não precisa se preocupar com segurança, porque sua organização é muito pequena ou insignificante.podem substituir a visão do todo, e sim complementá-la. Assuma que você está seguro porque não

Assuma que você está seguro porque não se tem notícia de que foi invadido recentemente. Será que você foi invadido e nem sabe? É mais comum do que muitos imaginam. Será que você foi invadido e nem sabe? É mais comum do que muitos imaginam.

Seja paranóico sem considerar o valor do recurso ou o seu fator de exposição. Admitindo que o comportamento paranóico tem seu lugar, mesmo assim é necessário empregá-lo com critério. Admitindo que o comportamento paranóico tem seu lugar, mesmo assim é necessário empregá-lo com critério.

Classifique todos os seus dados como “top secret”. Nivelar por cima, nesse caso, tem praticamente o mesmo efeito que nivelar por baixo. Nivelar por cima, nesse caso, tem praticamente o mesmo efeito que nivelar por baixo.

Leia também:

23/3/2011

Política de Segurança de Informação: …

How to Suck at Information Security, o artigo original de Lenny Zeltser. , o artigo original de Lenny Zeltser.

a discussão no Slashdot. .

Leia também:

de Lenny Zeltser. a discussão no Slashdot . Leia também: Entrevista de emprego: perguntas selecionadas

Entrevista de emprego: perguntas selecionadas