Este documento discute políticas de segurança da informação e sua importância para proteger os recursos de uma empresa. Ele explica que uma política de segurança formaliza as regras de acesso aos recursos tecnológicos e atribui responsabilidades. Uma boa política identifica os ativos a serem protegidos, as ameaças potenciais e medidas de proteção efetivas. Vários departamentos devem estar envolvidos em sua formulação e revisão periódica é importante.
2. O que é “política”?
• Deriva do grego politeía
• Indicava todos os procedimentos
relativos à pólis (cidade-Estado)
• Então o que é “Política de Segurança”?
2
3. O que é “Política de Segurança”?
+
“Política de segurança é a expressão formal das
regras pelas quais é fornecido acesso aos recursos
tecnológicos da empresa.”
3
5. Qual o propósito?
• Atribuir responsabilidades aos usuários, grupo e
gerentes
• Oferecer um ponto de partida para:
– Adquirir
– Configurar
– Auditar
5
6. Qual o propósito?
•
•
•
•
Identificar o que você está tentando proteger
Determinar do que você está tentando se proteger
Determinar o quanto provável são as ameaças
Implementar medidas de proteção aos recursos mais
importantes de maneira efetiva
• Revisar o processo continuamente
• Fazer melhorias quando uma vulnerabilidade é
encontrada
6
7. Os envolvidos na formulação
•
•
•
•
•
Administradores de segurança
Pessoal técnico de TI
Administradores de grandes grupos de usuários
Equipe de reação de incidentes de segurança
Representantes de grupos de usuários
7
11. Componentes da boa política
• Guia de compra de tecnologia computacional
Switch de camada 3 para averiguação de pacotes
• Expectativas razoáveis de privacidade
Monitoramento de e-mail? Log de atividades? Quem acessará o
arquivo X? Quem usará a impressora Y?
• Especificação de conduta para os usuários
Usuário pode acessar a internet? Pode acessar outros dispositivos
na rede? Pode instalar software?
• Especificação de conduta no caso de incidentes
Quem contatar? Que procedimento executar?
• Autenticação confiável
Que tipo de senha? Biometria? Reconhecimento de voz?
Reconhecimento facial? Cartão magnético?
11
12. Componentes da boa política
• Definição de disponibilidade de recursos
Qual a frequência do Backup? Quais os horários de
disponibilidade? Quais os horários de manutenção?
Como relatar uma falha?
• Manutenção
Quem faz a manutenção? Terceirizado? Atendimento
local ou remoto? Se remoto, como conectam?
• Relatório de violações
Que tipos de violações devem ser relatados? A quem?
• Conduta quanto a informações confidenciais
• Outras políticas da companhia
• Leis e regulamentações governamentais
12
13. Cuidados no desenvolvimento
• Revisão da política de segurança com assistência
jurídica antes de cada aprovação
• Criar um documento de ciência e comprometimento
• Revise periodicamente a política
• Escreva a política independe de arquitetura ou software
específico, torne-o flexível
13