POLÍTICA DE SEGURANÇA

AULA 3
Introdução
 A Política de Segurança da Informação de uma
organização é um conjunto de documentos que
descrevem quais são os objetivos que todas as
atividades ligadas a SI na organização devem
trabalhar para atingir.
 As políticas servem como linha mestra de todas as
atividades de SI que são desempenhadas em uma
organização e são de extrema importância pois é
através delas que a estratégia de Si é montada e
passada para todas as áreas envolvidas.
 Quem fará uso da Política
 Colaboradores
 Gerência
 Técnicos
 Profissionais de Segurança
 Quando devem ser desenvolvidas
 Antes que um problema de segurança ocorra
 Outros casos
◼ Redução de Riscos – desenvolver políticas é uma forma de conhecer esses
riscos e trazê-los para dentro de patamares aceitavéis.
◼ Conformidade – o processo de conformidade com marcos legais e
regultatórios pode muitas vezes exigir o desenvolvimento de políticas.
 Como devem ser desenvolvidas
 Comece pelo mais importante: os objetivos!
 Determine quais são os pontos prioritários
◼ Análise de Risco
 Defina a força de trabalho
◼ Interna, externa ou mista
◼ Montar com comitê com pelo menos uma pessoa de cada área
(pessoas chave) que irão disseminar as informações na
corporação.
A política de segurança trabalha como viabilizador estratégico para objetivos maiores
que estão alinhados as necessidades de negócio de cada organização. Descobrir quais
são estes objetivos e desenvolver o documento tendo em mente que eles devem ser
atingidos e perseguidos é a melhor forma de desenvolver a políticas de forma eficaz.
Necessidades
 O primeiro passo para montar uma política de
sucesso é, uma vez identificados os seus objetivos,
proceder também com a identificação dos ativos
mais relevantes ao alcance desses objetivos.
 O que deve ser protegido?
 Hardware
 Software

 Infraestrutura

 Pessoas

 Outros ativos
 De quem estamos protegendo?
 Agentes Internos
◼ Colaboradores descontentes
◼ Fraudes

 Agentes Externos
◼ Crackers
◼ Espionagem

 Bugs e erros
 Eventos Naturais
◼ Tempestades, raios, etc..
 Pontos a serem contemplados
 Manuseio de informações
 Licenciamento de software

 Backups

 Propriedade Intelectual

 Resposta a incidente

 Investigação e perícia

 Acesso a Internet

 Uso de correio eletrônico

 Requisitos Legais e regulatórios
 Legais – Leis que tentam preservar a segurança
◼ Novo Código Civil
◼ Lei das S/A´s
◼ Sarbanes-Oxley
 Regulatórios
◼ Agências reguladoras (International Organization for Standardization, ou
Organização Internacional para Padronização)
◼ Banco Central
◼ CVM
 Responsabilidades
 Direção
 Donos das Informações
 Área de segurança
 Usuários
 Os documentos da política são basicamente,
quebrados em três categorias
 Diretrizes – São as regras de alto nível que representam os princípios
básicos que a organização resolveu incorporar a sua gestão de acordo com a
visão estratégica de alta gerência. Servem como base para que as normas e
procedimentos seja criados e detalhados da forma como as áreas responsáveis
(Segurança e Tecnologia) acharem mais adequada e eficaz.
 Normas – Especificam no plano tático, por assim dizer, as escolhas
tecnológicas e os controles que deverão ser implementados para alcançar a
estratégia definida nas diretrizes.
 Instruções e Procedimentos – Detalham, no plano operacional, as
configurações de um determinado produto ou funcionalidade que devem ser
feitas para implementar os controles e tecnologias estabelecidos nas normas.
Vários níveis

(University Of California, 2018)

“Pra quê isso?”
 Uma Política de Segurança é imprescindível para
garantir a integridade dos seus sistemas, pois além de
garantir a segurança estabelece o comportamento e
os controles necessários à execução das definições
estratégicas da empresa.

 Garante conformidade com ISOs;

 ISO/IEC 17799, ISO/IEC 27000 e ISO/IEC27002,
entre outras.
 Auditorias;
 Maior credibilidade no mercado.
 Ter ISO é TOP!

Existem diversas ISOs para diversas áreas do mercado!

Exemplo
 Norma de Uso
1 – Segurança Lógica
1. – Acesso Remoto
1.1– A liberação do uso de
aplicações remotas e transmissões de dados, só
será efetivada após a aprovação do Gestor da
Informação, com prévio conhecimento da Diretoria
de Informática.

 Política de Segurança Santander - pdf

Ciclo de vida das políticas

Aprovação da direção e início do projeto

Levantamento de escopo, requisitos básicos e montagem do
Inicio cronograma
Montagem da equipe
Análise de Risco
Elaboração do Rascunho Inicial
Elaboração
Revisão
Finalização
Publicação
Conscientização Periódica
Manutenção Manutenção Periódica
Exercício
 Pesquisar e trazer na próxima aula manuais de
política de segurança de alguma empresa ou
instituição;

 Apresentar à turma na aula que vem o manual

escolhido e pontos que acharam interessante;

 Em dupla ou no máximo trio;

 Entregar .pdf na próxima aula.