Politicas 3

Graduação: Tecnologia em Segurança da
Informação
Políticas de Segurança da Informação

FATEC – São Caetano do Sul
Professor: Marcos A. Cabral
Fatec São Caetano do Sul - Graduação: Tecnologia em Segurança da Informação
Conteúdo
Módulo III
11. Assessment inicial

12. Alguns exemplos de PSI, normas e assuntos relacionados
13. Integração com RH e iniciativas de divulgação
14. Fatores de sucesso e erros comuns
15. Conformidade, métricas e revisões
Políticas de Segurança da Informação – Professor Marcos A. Cabral 2

Módulo III
Assessment inicial
Pesquisa inicial sobre a PSI
Muitas organizações já possuem uma estrutura adequada de Segurança da

Informação e Políticas bem desenvolvidas. Mas e se sua organização precisa começar
tudo isso?
Um bom começo é uma pesquisa de satisfação com os usuários sobre conhecimento

da sua PSI.
Questionário (cerca de 10 questões) com perguntas básicas.

1. Você tem pleno conhecimento da PSI interna da empresa?
2. Ao realizar alguma atividade sabe qual a norma aplicável?
3. Ao entrar na organização realizou treinamento ou assistiu palestra sobre a PSI?
4. Assinou documento sobre seus papéis e responsabilidades?

Módulo III
Assessment inicial
Aderência da PSI e a ISO 27001
A pesquisa inicial tem o objetivo de aderência da PSI com enfoque maior ao usuário final.
Lembre-se, o elo mais fraco é sempre o humano.
Já o trabalho de aderência em relação a ISO 27001 ou outros padrões possui um enfoque mais
estratégico, mais em linha com os objetivos de negócio da organização.
Escreva os requisitos da ISO 27001 e/ou outro padrão e compare com sua PSI.

Módulo III
Assessment inicial
Aderência da PSI e a ISO 27001

Módulo III
Assessment inicial
O que priorizar - Exemplos
Política de Segurança da Informação
Controle de Acesso
Classificação da Informação
Desenvolvimento de Sistemas
Processos de Mudança
Integração
Termos de responsabilidade

Módulo III
Alguns exemplos de PSI e normas
Controle de Acesso Físico

Controle de Acesso Lógico
Classificação das Informações
Uso de Equipamentos Portáteis
Uso de E-mails
Uso de Internet
Contratação de RH
Normas Gerais para Técnicos
Normas Gerais para Usuários
Gerenciamento de Segurança da Informação
Termo de Responsabilidade Funcional
Sanções Disciplinares
Etc .

Módulo III
Mais alguns exemplos de PSI e normas

de gerenciamento de senhas;
do processo de login;
de uso dos sistemas;
de combate a vírus de computador;
de gerenciamento de mudanças;
de uso de criptografia;
de uso da intranet;
de backup;
de acesso ao Data Center
de uso de dispositivos USB;
de utilização da rede wirelles;
de gerenciamento de configurações;
envolvendo serviços de terceiros;
Etc ..

Módulo III
Assuntos que devem ser contemplados

Assuntos para PSI - Computadores
Travas e cadeados em computadores
Não colocar dados sensíveis sem proteção adequada nos discos rígidos
Cabos de segurança para proteção de equipamentos – Laptops
Use travas nas portas dos escritórios
Delimitação das áreas das estações de trabalho
Controle de remoção de equipamentos das instalações
Gravar nos equipamentos a propriedade da companhia

Módulo III

Assuntos para PSI – Equipamentos portáteis
O uso de notebooks, celulares com tecnologias WIFI (rede sem fio), PDA`s (palm-tops),
smartphones, Tablets que direta ou indiretamente acessam a rede e/ou arquivos, deve ser
controlados, visando minimizar os riscos de vazamento de informações e acesso não autorizado
que possa comprometer a segurança lógica na empresa.

Módulo III

Assuntos para PSI – Segurança em equipamentos de comunicação
Equipamentos de comunicação, como cabos, pontos de acesso a rede, quadros de telefonia e
antenas devem ser protegidos contra acessos indevidos para minimizar o risco de ‘grampos’ ou
sabotagem.

Módulo III

Assuntos para PSI – Armazenamento de documentos
Os documentos se encontram armazenados em locais seguros?
Por exemplo:
• Trancados em armários
• Livres de ameaças ambientais como umidade, calor, poeira
Desafio: Qual norma

Pode ser escrita nesse caso?

Módulo III

Assuntos para PSI – Backups
Cópias de segurança devem ser realizadas periodicamente para garantir a disponibilidade do
documento (das informações que não estiverem na Rede Corporativa), caso alguma falha venha a
ocorrer, comprometendo a integridade do documento original.
Algumas práticas a serem adotadas:
CDs e DVDs
HDs externos
Smartphones e celulares
Pen Drives

Módulo III

Assuntos para PSI – Impressoras
É comum imprimir arquivos e por algum motivo, demorar ou até mesmo esquecer de retirá-los
da impressora, submetendo-os à acesso não autorizado.
Informações profissionais
Relatórios confidenciais
Campanhas
Informações de produtos
Informações financeiras
Emails
Informações pessoais
Extratos bancários
Cartões de crédito
Senhas
Assuntos íntimos

Módulo III

Assuntos para PSI – Descarte de informações
O descarte de informações confidenciais deve ser observado de maneira a diminuir o risco de
acessos indevidos. Para isso devem ser adotados alguns procedimentos para se certificar que a
informação foi destruída, como triturar ou rasgar papéis e formatar ou inutilizar mídias ( CDs,
disquetes, disco rígidos, pendrives, HDs externos, celulares, smartphones.
Uso de fragmentador nas áreas.
Doação de ativos.
Assunto para norma?
E aspectos de sustentabilidade?

Módulo III

Assuntos para PSI – Conversas
Evite conversar sobre assuntos sigilosos de particularidade da empresa em locais públicos, como
elevadores, hall de entrada, etc. Quando necessário, procure conversar em particular em um
ambiente “seguro”. Muitos “boatos” surgem nas empresas em função disso.
A mesma regra é válida para conversas por telefone. Evite abordar assuntos que requerem maior
confidencialidade por telefone e, se possível, aborde-os pessoalmente. O uso de “viva-voz” também
pode comprometer o sigilo da conversação.

Módulo III
Integração com RH e iniciativas de divulgação

Integração de novos funcionários
Aproveitar o evento de integração de novos colaboradores e apresentar a PSI, normas e dicas
gerais de segurança da informação.
Apresentar a equipe, missão da equipe, quando dever ser acionada a equipe, conceitos de
incidentes de segurança, engenharia social, conscientização, COPARTCIPAÇÂO e responsabilidade
de todos.

Módulo III

E não esquecer de falar da PSI...!!!
Apresentar o que é uma PSI
Quais as normas aplicáveis
O que você assinou quando foi contratado
Qual seu papel dentro do contexto de segurança

Módulo III

Material a ser entregue
Guia rápido com dicas sobre segurança da informação
Se possível 1 kit contendo (Mouse pad, caneta, crachá, jogo dos erros em SI e outros materiais)
Link da organização sobre 1 quiz de perguntas e 1 link sobre pesquisa a respeito da política
apresentada.
Entregar certificado de participação assinado pela área de segurança.
Escolher um facilitador por mês para cada área da organização. COPARTICIPAÇÃO

Módulo III
Fatores de Sucesso e Erros comuns

Requisitos de sucesso
Ter apoio da alta gerência executiva
Única para cada organização
Deve refletir a realidade da empresa
Deve ser Objetiva e ter Escopo definido
Deve ser precedida de uma avaliação de Risco


Módulo III

Relacionamentos internos
As políticas devem ser validadas pelas diversas áreas envolvidas antes de serem publicadas, não
devem ser tomadas decisões unilaterais para evitar desalinhamento ao Negócio e estruturas
vigentes.
Existem pontos que são imutáveis conceitualmente, mas podem ser discutidos em sua forma de
implementação.
Tudo que for feito em consenso terá maior probabilidade

de sucesso e aderência.

Módulo III

Outros fatores de sucesso
A política deve ser ampla, cobrindo todos os aspectos que envolvem a segurança dos recursos
computacionais e da informação sob responsabilidade da organização.
A política deve ser periodicamente atualizada de forma a refletir as mudanças na organização.
Deve haver um indivíduo ou grupo responsável por verificar se a política está sendo respeitada.
Todos os usuários da organização devem tomar conhecimento da política e manifestar a sua

concordância em submeter-se a ela antes de obter acesso aos recursos computacionais.
A política deve estar disponível em um local de fácil acesso aos usuários.

Módulo III

E o fracassos?
Ser demasiadamente detalhada ou restritiva.
Linguagem que possa causar confusão ou dificuldades na sua implementação.
Ser implementada com exceções para indivíduos ou grupos.
Ser atrelada a softwares e/ou hardwares específicos.

Módulo III

Os 10 principais erros
1. Falta de integração dos diversos aspectos de segurança.
2. Visão apenas no perímetro externo.
3. Escrita por uma única área.
4. Não ser uma necessidade do negócio.
5. Pouca preocupação com cumprimento.
6. Política de “prateleira”.
7. Política “desatualizada”.
8. Política “fantasiosa”.
9. Já temos “segurança total”.
10. Nossa equipe é competente para atender qualquer situação.

Módulo III

Lembretes importantes
Audite os seus Parceiros
Se tem conectividade com o Parceiro, certifique-se que ele possui o mesmo nível de
segurança, política e proteção do seu ambiente.
Segurança começa com a necessidade do Negócio.
Use padrões e benchmarks para balizar o caminho escolhido.
Tenha ferramentas e automatize o processo.
Gastar mais em Segurança não significa ter mais Segurança.

Módulo III
Conformidade, métricas e revisões

As Políticas de Segurança devem prever o uso de métricas e formas de registro tais como logs,
registros de operações e solicitações, monitoramento automático e/ou por amostragem, captura de
eventos e telas, testes de invasão, teste de validação de parâmetros, etc .
Para a realização e avaliação da efetividade das Políticas de Segurança devem ser criadas formas
de medição para identificar quão efetiva é a implementação da mesma e quais os pontos de
melhoria.
Toda Política dever ser aderente às normas vigentes do ramo de atividade da empresa. Ex: PCI.
Para ter credibilidade a PSI deve estar alinhada às principais normas, padrões e práticas
internacionais de proteção da informação.
Toda empresa muda e se adapta ao mercado, portanto a PSI deve sofre revisões periódicas, a
fim de não tornar-se obsoleta, deixando de refletir a necessidade de negócio da companhia.

Politicas 3

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Politicas 3

Enviado por

Direitos autorais:

Formatos disponíveis

Graduação: Tecnologia em Segurança da

Políticas de Segurança da Informação

11. Assessment inicial

Políticas de Segurança da Informação – Professor Marcos A. Cabral 2

Muitas organizações já possuem uma estrutura adequada de Segurança da

Um bom começo é uma pesquisa de satisfação com os usuários sobre conhecimento

Questionário (cerca de 10 questões) com perguntas básicas.

Políticas de Segurança da Informação – Professor Marcos A. Cabral 3

Políticas de Segurança da Informação – Professor Marcos A. Cabral 4

Políticas de Segurança da Informação – Professor Marcos A. Cabral 5

Políticas de Segurança da Informação – Professor Marcos A. Cabral 6

Alguns exemplos de PSI e normas

Controle de Acesso Físico

Políticas de Segurança da Informação – Professor Marcos A. Cabral 7

Mais alguns exemplos de PSI e normas

Políticas de Segurança da Informação – Professor Marcos A. Cabral 8

Assuntos que devem ser contemplados

Políticas de Segurança da Informação – Professor Marcos A. Cabral 9

Assuntos que devem ser contemplados

Políticas de Segurança da Informação – Professor Marcos A. Cabral 10

Assuntos que devem ser contemplados

Políticas de Segurança da Informação – Professor Marcos A. Cabral 11

Assuntos que devem ser contemplados

Desafio: Qual norma

Políticas de Segurança da Informação – Professor Marcos A. Cabral 12

Assuntos que devem ser contemplados

Algumas práticas a serem adotadas:

Políticas de Segurança da Informação – Professor Marcos A. Cabral 13

Assuntos que devem ser contemplados

Políticas de Segurança da Informação – Professor Marcos A. Cabral 14

Assuntos que devem ser contemplados

Uso de fragmentador nas áreas.

Assunto para norma?

Políticas de Segurança da Informação – Professor Marcos A. Cabral 15

Assuntos que devem ser contemplados

Políticas de Segurança da Informação – Professor Marcos A. Cabral 16

Integração com RH e iniciativas de divulgação

Políticas de Segurança da Informação – Professor Marcos A. Cabral 17

Integração com RH e iniciativas de divulgação

Quais as normas aplicáveis

O que você assinou quando foi contratado

Qual seu papel dentro do contexto de segurança

Políticas de Segurança da Informação – Professor Marcos A. Cabral 18

Integração com RH e iniciativas de divulgação

Entregar certificado de participação assinado pela área de segurança.

Escolher um facilitador por mês para cada área da organização. COPARTICIPAÇÃO

Políticas de Segurança da Informação – Professor Marcos A. Cabral 19

Fatores de Sucesso e Erros comuns

Ter apoio da alta gerência executiva

Políticas de Segurança da Informação – Professor Marcos A. Cabral 20

Fatores de Sucesso e Erros comuns

Tudo que for feito em consenso terá maior probabilidade

Políticas de Segurança da Informação – Professor Marcos A. Cabral 21

Fatores de Sucesso e Erros comuns

A política deve ser periodicamente atualizada de forma a refletir as mudanças na organização.

Todos os usuários da organização devem tomar conhecimento da política e manifestar a sua

A política deve estar disponível em um local de fácil acesso aos usuários.

Políticas de Segurança da Informação – Professor Marcos A. Cabral 22

Fatores de Sucesso e Erros comuns

Políticas de Segurança da Informação – Professor Marcos A. Cabral 23

Fatores de Sucesso e Erros comuns

Políticas de Segurança da Informação – Professor Marcos A. Cabral 24

Fatores de Sucesso e Erros comuns