Política de Segurança O que é Política de Segurança da Informação?
Transcript of Política de Segurança O que é Política de Segurança da Informação?
Política de Segurança
O que é Política de Segurança da Informação?
Definição de Política
“Política significa coisas diferentes para diferentes pessoas” (Tom Peltier).
Para nosso propósito, a melhor definição de Política é a “arte e ciência de cuidar dos negócios”.
Significando que a segurança só pode ser realizada se forem considerados todos os aspectos - não somente a elaboração da sua documentação.
Política de Segurança
Situação atual
AnálisePolítica
Implementação
Administração
Política de Segurança
Modelo PDCA
Plan
Action Do
Check
Informação
A informação é um ativo que como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida.
A segurança da informação protege a informação de diversos tipos de ameaças para garantir:
• a continuidade dos negócios, • minimizar os danos aos negócios• maximizar o retorno dos investimentos e as oportunidades de negócios.
Segurança da InformaçãoPreservação da confidencialidade, integridade e disponibilidade da informação.
Garantia de que o acessoà informação seja obtido
somente por pessoas autorizadas.
Salvaguarda da exatidãoe completeza da
informação e dos métodos de
processamento.
Garantia de que os usuáriosautorizados tenham
acesso à informação e aos ativos correspondentes
sempre que necessário.
Ativo
Tudo que manipula informação,inclusive ela própria.
• Tecnologia• Infra-estrutura• Aplicações• Informações• Pessoas
Informação
As formas da informação
• Impressa ou escrita em papel• Armazenada eletronicamente• Transmitida pelo correio ou através de meios eletrônicos• Mostrada em filmes • Falada em conversas
Política de segurança
É importante para:• Garantir a implementação de controles de
segurança apropriado;• Auxiliar na seleção de produtos e no
desenvolvimento de processos;• Disciplinar usuários sobre violações de segurança;• Documentar as preocupações da alta direção sobre
segurança;• Transformar a segurança em um esforço comum.
• É o conjunto de critérios e soluções para problemas tecnológicos e humanos.
• É o primeiro passo efetivo para resolver qualquer esforço de segurança da informação.
• Existe para evitar problemas.
Política de Segurança
Fazer Análisede Risco
Problemas =
Vulnerabilidades e Ameaças
Deve se basear na análise de risco e visa à padronização de ambientes e processo de modo a evitar as vulnerabilidades existentes.
Diretrizes
Normaspara quem cuida para quem usa
Procedimentose Instruções
ESTRATÉGICO
TÁTICO
OPERACIONAL
Política de SegurançaModelo
Diretriz (exemplo)
Somente será permitido o uso de recursos homologados e autorizados pela empresa, desde que sejam identificados de forma individual, inventariados, com documentação atualizada e estando de acordo com as cláusulas contratuais e a legislação em vigor.
Norma (exemplo)
Os seguintes serviços TCP/IP são considerados recursos que podem ser disponibilizados:
• HTTP, para acesso a Web sites externos
• SSL e HTTPS, para transações seguras, com a utilização de criptografia entre o browser e o servidor Web.
Quem é oresponsável
O queserá feito
Em quelocal
Quandoperíodo
Instruçãode
Trabalho
Ação corretiva(que fazer)
Ação corretiva(quem procurar)
Administrador ExecutarPower-on
Firewall eRoteador
Todo diaàs 8hs.
IT-IN-03 Acionarfornecedor demanutençãode hardware
Sr. Fulano notelefone 266-6666
Administrador ListarLOG
Firewall Todo diaàs 10hs
IT-IN-04
Administrador Verificarincidentesdesegurança
sistemadesegurança
Todo diapelamanhã
IT-IN-06 Encontrandoincidente,executarprocedimentoPT-IN-04
Gerente deinformática
Procedimentos (exemplo)
Política de SegurançaComplexidade
Procedimentos operacionais (5w1H).
Quem? O quê?Aonde?Quando?Por quê?Como?
Instrução (exemplo)
• Selecione a opção Report/Logfile no menu localizado no alto da tela
• Neste ponto escolha qual report será analisadoSemanalDiárioAtual
Política de Segurança
Documentação
Grande volume de trabalho para:
• Elaborar
• Imprimir
• Distribuir
• Implementar
• Ensinar
• Atualizar
DesafioIntegração entre tecnologia e negócio
Tecnologia da Informação
Gestão Negócio
Papel da Segurança
Eliminar as vulnerabilidade,minimizando os riscos e reduzindo os impactos no negócio.
SEGURANÇARisco tendendo a zero
Uma política de segurança deve cobrir os seguintes aspectos:
Aspectos preliminares• abrangência e escopo de atuação da política;• definições fundamentais;• normas e regulamentos aos quais a política está
subordinada;• quem tem autoridade para sancionar, implementar
e fiscalizar o cumprimento da política;• meios de distribuição da política;• como e com que freqüência a política é revisada.
Aspectos (continua)
Política de senhas• requisitos para formação de senhas;• período de validade das senhas;• normas para proteção de senhas;• reuso de senhas;• senhas default.
Aspectos (continua)
Direitos e responsabilidades dos usuários • utilização de contas de acesso;• utilização de softwares e informações, incluindo
questões de instalação, licenciamento e copyright;• proteção e uso de informações (sensíveis ou não), como
senhas, dados de configuração de sistemas e dados confidenciais da organização;
• uso aceitável de recursos como email, news e Web;• direito à privacidade, e condições nas quais esse direito
pode ser violado pelo provedor dos recursos(a organização);
• uso de antivírus.
Aspectos (Continua)
Direitos e responsabilidades do provedor dos recursos (organização):
• backups;• diretrizes para configuração e instalação de sistemas e
equipamentos de rede;• autoridade para conceder e revogar autorizações de
acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar endereços e nomes de sistemas e equipamentos;
• monitoramento de sistemas e equipamentos de rede;• normas de segurança física.
Aspectos (Continua)
Ações previstas em caso de violação da política:
• diretrizes para tratamento e resposta de incidentes de segurança;
• penalidades cabíveis.
Fatores importantes para o sucesso de uma política de segurança
• apoio por parte da administração superior;• a política deve ser ampla, cobrindo todos os aspectos
que envolvem a segurança dos recursos computacionais e da informação sob responsabilidade da organização;
• a política deve ser periodicamente atualizada de forma a refletir as mudanças na organização;
• deve haver um indivíduo ou grupo responsável por verificar se a política está sendo respeitada;
sucesso (continua)
• todos os usuários da organização devem tomar conhecimento da política e manifestar a sua concordância em submeter-se a ela antes de obter acesso aos recursos computacionais;
• a política deve estar disponível em um local de fácil acesso aos usuários, tal como a intranet da organização.
Fatores que levam a políticade segurança ao fracasso
• a política não deve ser demasiadamente detalhada ou restritiva;
• o excesso de detalhes na política pode causar confusão ou dificuldades na sua implementação;
• não devem ser abertas exceções para indivíduos ou grupos;
• a política não deve estar atrelada a softwares e/ou hardwares específicos.
Política de Segurança da Informação
Tem o propósito de elaborar critérios para o adequado manuseio, armazenamento, transporte e descarte das informações através do desenvolvimento de Diretrizes, Normas, Procedimentos e Instruções destinadas respectivamente aos níveis estratégico, tático e operacional.
Segurança da Informação
Gestão da segurança da informação
“Conte-me, e eu vouesquecer.
Mostre-me, e eu voulembrar.
Envolva-me, e eu vouentender.”
Confúcio
Muito Obrigadopela atenção
João Carlos Soares de Alexandria(joca)
E-mail: [email protected]
Fone: (11) 3816-9142 - IPEN