Unidade II - Segurança Empresarial e
Política de Segurança
1. Administração da Segurança
- Segurança da Informação está inserida no contexto da
Segurança Empresarial.
- Parâmetros macro de segurança:
- segurança é responsabilidade de todos;
- a segregação de funções é componente
essencial do foco de segurança, no que se refere
ao dolo, erro, omissão, falha;
- segurança ocorre em todos os momentos
empresariais, em termos de:
- "eficiência" dos processos;
- "eficácia" dos resultados;
- sustentam a segurança:
- cultura formal de segurança, via normas
e legislação;
- cultura informal de segurança, via
treinamento e práticas profissionais.
1.1 Fases da Administração da
Segurança:
- A administração da segurança pode ser enfocada segundo
as 4 fases a seguir:
- Planejamento:
- definição de responsabilidades;
- definição de política de segurança;
- realização de análise de riscos;
- construção de normas e planos de
segurança;
- Operacionalização:
- análise e utilização dos planos de
segurança e de contingência vigentes;
- avaliação de fraquezas, ameaças,
vulnerabilidades, agentes agressores,
perímetro de proteção, medidas de
segurança;
- aplicação de normas e procedimentos de
segurança;
- novas discussões e elaboração de
medidas de segurança;
- execução do plano de treinamento em
segurança;
- Acompanhamento:
- análise de relatórios operacionais,
táticos e estratégicos de segurança;
- discussão das métricas (medidas) dos
Indicadores de Qualidade de segurança.
- Avaliação:
- através da comparação / confrontação
de resultados alcançados com objetivos
previamente definidos.
Detalhamento das Fases
- Fase de Planejamento:
- definição da política de segurança, da
seguinte forma:
- ter credibilidade e ser documentada;
- estabelecer padrões para as atividades
de segurança;
- conter definições claras;
- estabelecer formalmente as
responsabilidades do pessoal;
- estabelecer as relações entre as
atividades de segurança e as atividades
operacionais.
- elaboração da análise de riscos:
- identificação das ameaças e
vulnerabilidades dos ativos de
informática;
- quantificação do risco, através de
algoritmo matemático consagrado e
descrição / apresentação de
parâmetros de sensibilidade convincentes
/ sólidos.
- Fase de Operacionalização:
- desenvolver plano de contingência;
- avaliação constante das ameaças e
vulnerabilidades;
- analisar medidas de segurança viáveis em face
das vulnerabilidades identificadas;
- implantar as medidas de segurança;
- treinar os funcionários em segurança, inclusive
realizando reciclagens periódicas.
- Fase de Acompanhamento:
- registrar os eventos ocorridos:
- dando-lhes tratamento estatístico e
gráfico;
- efetuando correlações e
estratificações para facilitar a
análise e o entendimento dos fatos.
- Fase de Avaliação:
- comparar o efeito das medidas de segurança com
os objetivos definidos anteriormente;
- avaliar ocorrências de insegurança não
previstas;
- reavaliar objetivos e procedimentos de
segurança;
- acompanhar o desenvolvimento tecnológico de
segurança;
- efetuar alterações nas políticas de segurança
da organização.
2. Política de Segurança
- Política de Segurança é um conjunto de diretrizes
gerais destinadas a governar a proteção a ser dadas a
ativos da organização.
- As medidas que decorrem da implantação bem sucedida de
uma política de segurança podem ser classificadas em
três categorias:
- Redução da probabilidade de ocorrências
danosas (prevenção de riscos);
- Redução dos danos provocados por eventuais
ocorrências;
- Criação de procedimentos para se recuperar de
eventuais danos.
- As medidas de uma política de segurança devem ser,
antes de mais nada, de cunho preventivo. A prevenção
costuma ser mais barata que a restauração dos danos
provocados pela falta de segurança.
- Se, apesar das medidas preventivas, vier a acontecer
algum tipo de ocorrência danosa à segurança, os danos
resultantes devem ser reduzidos ao mínimo.
- Se, apesar de todas as precauções tomadas, vier a
acontecer uma ocorrência danosa, é necessário haver um
plano para recuperar os danos provocados pela
ocorrência. Geralmente, os procedimentos de
recuperação de danos confundem-se com o plano de
contingência. Os planos de contingência serão
analisados com maior profundidade na Unidade VI deste
curso.
2.1 O Que Deve Constar da Política de Segurança da
Informação
A política de segurança deve
conter diretrizes claras a respeito, pelo menos, dos seguintes
aspectos:
- Objetivo da segurança deve explicar de forma
rápida e sucinta a finalidade da política de
segurança.
- A quem se destina deve definir claramente quais as
estruturas organizacionais às quais a mesma se aplica.
- Propriedade dos recursos deve definir de forma
clara as regras que regerão os diversos aspectos
relacionados com a propriedade dos ativos de
informações.
- Responsabilidades deve definir de forma clara qual
tipo de responsabilidades envolvidas com o manuseio de
informações, a quem as mesmas devem ser atribuídas e
os mecanismos de transferência.
- Requisitos de acesso deve indicar de forma clara
quais os requisitos a serem atendidos para o acesso a
ativos de informações.
- Responsabilização deve indicar as medidas a
serem tomadas nos casos de infrigência às normas da
mesma.
- Generalidades nesta seção podem ser incluídos
os aspectos que não caibam nas demais. Pode-se incluir
uma definição dos conceitos envolvidos, um glossário e
uma indicação das normas acessórias.
2.2 Modelo Sugerido de Política de Segurança
O modelo de
política de segurança, proposto por Caruso & Stefen (1999,
p. 58) apresentado a seguir deve ser encarado apenas como uma
sugestão. Cada organização deve avaliar o modelo que melhor
atenda às suas necessidades.
Objetivos
A política de segurança de
informações de nossa organização visa atender aos seguintes
objetivos:
- Aparelhar a organização com um sistema capaz de
assegurar a inviolabilidade dos ativos de informações
- Assegurar a segregação de funções.
- Garantir a correta utilização do acervo de
informações.
- Garantir a correta utilização do ferramental de
tratamento de informações.
- Garantir a correta utilização do ferramental de
segurança.
Abrangência
Todas as estruturas organizacionais
que se utilizem dos recursos de informações são obrigadas a
seguir as diretrizes desta política, como forma de gerenciar
suas atividades.
Conceitos
Aplicam-se os conceitos abaixo no
que se refere à política de segurança:
- Política de segurança conjunto de diretrizes
destinadas a regulamentar o uso seguro dos ativos de
informações da organização.
- Ferramentas conjunto de equipamentos, programas,
procedimentos e demais recursos através dos quais se
aplica a política de segurança.
- Propriedade dos ativos os ativos de informações
da organização pertencem à mesma..
- Acesso a ativos a organização permite o acesso
de terceiros a seus ativos de informações para quem
precisar fazer uso dos mesmos no desenvolvimento de suas
atividades.
- Direito de propriedade dentro da organização,
define-se como proprietário de um ativo o seu criador ou
principal usuário.
- Custódia define-se a custódia como a
responsabilidade de se guardar um ativo para terceiros;
entretanto, a custódia não permite automaticamente o
acesso ao ativo, nem o direito de conceder acesso a
outros.
- Direito de acesso somente o proprietário do
ativo, ou pessoa por ele nomeada, pode autorizar acesso
ao mesmo.
- Validade do direito de acesso somente é válido
para os fins para os quais foi solicitado.
- Direito de acesso em função da posição funcional
está ligado à posição ocupada pela pessoa
dentro da organização, e não à pessoa que a ocupa.
- Controle de acesso é exercido pela
Administração de Segurança. As atribuições de
controle de acesso podem ser delegadas para
administrações setoriais e locais, para a
administração de determinado domínio organizacional ou
de recursos.
- Proteção dos ativos os ativos devem receber
classificação quanto ao grau de sensibilidade para os
negócios da organização. O meio de registro de um
ativo de informação deve receber a mesma
classificação de proteção dada ao ativo que contém.
- Responsabilidade é definida como as obrigações
e deveres da pessoa que ocupa determinada função em
relação ao acervo de informações.
Responsabilidades dos funcionários
Todos os
funcionários da organização são responsáveis pelas
informações de que fazem uso e pelo respectivo ferramental de
processamento de informações. As responsabilidades são
classificadas em função da posição hierárquica do
funcionário dentro da organização.
- Gerais
- Todos os funcionários que acessem ativos de informação
da organização são responsáveis pela integridade dos
mesmos.
- O cumprimento da política de segurança é obrigatório;
o não-cumprimento ou a recusa em fazê-lo implica em
sanções disciplinares ou trabalhistas cabíveis.
- Das chefias em Geral
- Gerenciar o cumprimento da política de segurança por
parte de seus subordinados.
- Identificar os desvios praticados e iniciar as medidas
corretivas apropriadas.
- Impedir o acesso de funcionários demitidos ou
demissionários aos ativos de informações.
- Pela política de segurança
- As diretrizes da política de segurança da organização
emanarão da (nome da área responsável) e o seu
desenvolvimento e implementação ficarão a cargo da
(nome da área responsável).
- Essa responsabilidade abrange a elaboração de
diretrizes e procedimentos subordinados a esta política
e a preparação e implementação de projetos que
envolvam aspectos de segurança.
- Cada área da organização é responsável pelos ativos
de informações que use em suas atividades.
- As áreas de informática central e/ ou departamentais
serão consideradas custodiantes dos ativos de
informações pertencentes a usuários que façam uso dos
recursos de informática como forma de processá-los.
- Todos os ativos de informações deverão ter
responsáveis pelo uso claramente definidos.
- Todos os ativos de computação da organização são
considerados como ativos desta e, portanto, devem receber
a proteção adequada conforme a importância para os
negócios.
- Todos os ativos de computação da organização devem
receber classificação quanto á preservação e
proteção.
Criptografia
Os
funcionários devem usar criptografia, tanto para transmissão
como para armazenamento de informações sensíveis. Consulte a
norma de classificação de informações para saber como
classificar o acervo de informações quanto aos graus de riscos
a que as mesmas estão sujeitas. Consulte a norma de criptografia
para obter informações de como usá-la para proteger
informações.
Chaves de acesso e senha
Os usuários
de ativos de informações somente poderão utilizá-los por meio
de chaves de acesso , autenticadas por meio de senhas secretas de
seu exclusivo conhecimento.
As senhas
são sigilosas, individuais e intransferíveis, não podendo ser
divulgadas em nenhuma hipótese. As operações realizadas sob o
uso de determinada senha são de responsabilidade exclusiva de
seu possuidor. Recomenda-se que as senhas não sejam anotadas em
papel ou outros meios de registro de fácil acesso.
3. Referências Bibliográficas
- CARUSO, Carlos A. A.; STEFFEN, Flávio D. Segurança
em Informática e de Informações. 2ª ed. rev. e
ampl. Senac, São Paulo, 1999.
- GIL, Antônio de L. Segurança em Informática.
2ª ed. Atlas, São Paulo, 1998.