Unidade II - Segurança Empresarial e Política de Segurança

1. Administração da Segurança

• Segurança da Informação está inserida no contexto da Segurança Empresarial.
• Parâmetros macro de segurança:
  • segurança é responsabilidade de todos;
  • a segregação de funções é componente essencial do foco de segurança, no que se refere ao dolo, erro, omissão, falha;
  • segurança ocorre em todos os momentos empresariais, em termos de:
    • "eficiência" dos processos;
    • "eficácia" dos resultados;
  • sustentam a segurança:
    • cultura formal de segurança, via normas e legislação;
    • cultura informal de segurança, via treinamento e práticas profissionais.

  1.1 Fases da Administração da Segurança:

• A administração da segurança pode ser enfocada segundo as 4 fases a seguir:
  • Planejamento:
    • definição de responsabilidades;
    • definição de política de segurança;
    • realização de análise de riscos;
    • construção de normas e planos de segurança;
  • Operacionalização:
    • análise e utilização dos planos de segurança e de contingência vigentes;
    • avaliação de fraquezas, ameaças, vulnerabilidades, agentes agressores, perímetro de proteção, medidas de segurança;
    • aplicação de normas e procedimentos de segurança;
    • novas discussões e elaboração de medidas de segurança;
    • execução do plano de treinamento em segurança;
  • Acompanhamento:
    • análise de relatórios operacionais, táticos e estratégicos de segurança;
    • discussão das métricas (medidas) dos Indicadores de Qualidade de segurança.
  • Avaliação:
    • através da comparação / confrontação de resultados alcançados com objetivos previamente definidos.

Detalhamento das Fases

• Fase de Planejamento:
  • definição da política de segurança, da seguinte forma:
    • ter credibilidade e ser documentada;
    • estabelecer padrões para as atividades de segurança;
    • conter definições claras;
    • estabelecer formalmente as responsabilidades do pessoal;
    • estabelecer as relações entre as atividades de segurança e as atividades operacionais.
  • elaboração da análise de riscos:
    • identificação das ameaças e vulnerabilidades dos ativos de informática;
    • quantificação do risco, através de algoritmo matemático consagrado e descrição / apresentação de parâmetros de sensibilidade convincentes / sólidos.
• Fase de Operacionalização:
  • desenvolver plano de contingência;
  • avaliação constante das ameaças e vulnerabilidades;
  • analisar medidas de segurança viáveis em face das vulnerabilidades identificadas;
  • implantar as medidas de segurança;
  • treinar os funcionários em segurança, inclusive realizando reciclagens periódicas.
• Fase de Acompanhamento:
  • registrar os eventos ocorridos:
    • dando-lhes tratamento estatístico e gráfico;
    • efetuando correlações e estratificações para facilitar a análise e o entendimento dos fatos.
• Fase de Avaliação:
  • comparar o efeito das medidas de segurança com os objetivos definidos anteriormente;
  • avaliar ocorrências de insegurança não previstas;
  • reavaliar objetivos e procedimentos de segurança;
  • acompanhar o desenvolvimento tecnológico de segurança;
  • efetuar alterações nas políticas de segurança da organização.

2. Política de Segurança

• Política de Segurança é um conjunto de diretrizes gerais destinadas a governar a proteção a ser dadas a ativos da organização.
• As medidas que decorrem da implantação bem sucedida de uma política de segurança podem ser classificadas em três categorias:

• • Redução da probabilidade de ocorrências danosas (prevenção de riscos);
  • Redução dos danos provocados por eventuais ocorrências;
  • Criação de procedimentos para se recuperar de eventuais danos.

• As medidas de uma política de segurança devem ser, antes de mais nada, de cunho preventivo. A prevenção costuma ser mais barata que a restauração dos danos provocados pela falta de segurança.
• Se, apesar das medidas preventivas, vier a acontecer algum tipo de ocorrência danosa à segurança, os danos resultantes devem ser reduzidos ao mínimo.
• Se, apesar de todas as precauções tomadas, vier a acontecer uma ocorrência danosa, é necessário haver um plano para recuperar os danos provocados pela ocorrência. Geralmente, os procedimentos de recuperação de danos confundem-se com o plano de contingência. Os planos de contingência serão analisados com maior profundidade na Unidade VI deste curso.

2.1 O Que Deve Constar da Política de Segurança da Informação

A política de segurança deve conter diretrizes claras a respeito, pelo menos, dos seguintes aspectos:

• Objetivo da segurança — deve explicar de forma rápida e sucinta a finalidade da política de segurança.
• A quem se destina — deve definir claramente quais as estruturas organizacionais às quais a mesma se aplica.
• Propriedade dos recursos — deve definir de forma clara as regras que regerão os diversos aspectos relacionados com a propriedade dos ativos de informações.
• Responsabilidades — deve definir de forma clara qual tipo de responsabilidades envolvidas com o manuseio de informações, a quem as mesmas devem ser atribuídas e os mecanismos de transferência.
• Requisitos de acesso — deve indicar de forma clara quais os requisitos a serem atendidos para o acesso a ativos de informações.
• Responsabilização — deve indicar as medidas a serem tomadas nos casos de infrigência às normas da mesma.
• Generalidades — nesta seção podem ser incluídos os aspectos que não caibam nas demais. Pode-se incluir uma definição dos conceitos envolvidos, um glossário e uma indicação das normas acessórias.

2.2 Modelo Sugerido de Política de Segurança

O modelo de política de segurança, proposto por Caruso & Stefen (1999, p. 58) apresentado a seguir deve ser encarado apenas como uma sugestão. Cada organização deve avaliar o modelo que melhor atenda às suas necessidades.

Objetivos

A política de segurança de informações de nossa organização visa atender aos seguintes objetivos:

1. Aparelhar a organização com um sistema capaz de assegurar a inviolabilidade dos ativos de informações
2. Assegurar a segregação de funções.
3. Garantir a correta utilização do acervo de informações.
4. Garantir a correta utilização do ferramental de tratamento de informações.
5. Garantir a correta utilização do ferramental de segurança.

Abrangência

Todas as estruturas organizacionais que se utilizem dos recursos de informações são obrigadas a seguir as diretrizes desta política, como forma de gerenciar suas atividades.

Conceitos

Aplicam-se os conceitos abaixo no que se refere à política de segurança:

1. Política de segurança — conjunto de diretrizes destinadas a regulamentar o uso seguro dos ativos de informações da organização.
2. Ferramentas — conjunto de equipamentos, programas, procedimentos e demais recursos através dos quais se aplica a política de segurança.
3. Propriedade dos ativos — os ativos de informações da organização pertencem à mesma..
4. Acesso a ativos — a organização permite o acesso de terceiros a seus ativos de informações para quem precisar fazer uso dos mesmos no desenvolvimento de suas atividades.
5. Direito de propriedade — dentro da organização, define-se como proprietário de um ativo o seu criador ou principal usuário.
6. Custódia — define-se a custódia como a responsabilidade de se guardar um ativo para terceiros; entretanto, a custódia não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros.
7. Direito de acesso — somente o proprietário do ativo, ou pessoa por ele nomeada, pode autorizar acesso ao mesmo.
8. Validade do direito de acesso — somente é válido para os fins para os quais foi solicitado.
9. Direito de acesso em função da posição funcional — está ligado à posição ocupada pela pessoa dentro da organização, e não à pessoa que a ocupa.
10. Controle de acesso — é exercido pela Administração de Segurança. As atribuições de controle de acesso podem ser delegadas para administrações setoriais e locais, para a administração de determinado domínio organizacional ou de recursos.
11. Proteção dos ativos — os ativos devem receber classificação quanto ao grau de sensibilidade para os negócios da organização. O meio de registro de um ativo de informação deve receber a mesma classificação de proteção dada ao ativo que contém.
12. Responsabilidade — é definida como as obrigações e deveres da pessoa que ocupa determinada função em relação ao acervo de informações.

Responsabilidades dos funcionários

Todos os funcionários da organização são responsáveis pelas informações de que fazem uso e pelo respectivo ferramental de processamento de informações. As responsabilidades são classificadas em função da posição hierárquica do funcionário dentro da organização.

1. Gerais

1. Todos os funcionários que acessem ativos de informação da organização são responsáveis pela integridade dos mesmos.
2. O cumprimento da política de segurança é obrigatório; o não-cumprimento ou a recusa em fazê-lo implica em sanções disciplinares ou trabalhistas cabíveis.

2. Das chefias em Geral

1. Gerenciar o cumprimento da política de segurança por parte de seus subordinados.
2. Identificar os desvios praticados e iniciar as medidas corretivas apropriadas.
3. Impedir o acesso de funcionários demitidos ou demissionários aos ativos de informações.

3. Pela política de segurança

1. As diretrizes da política de segurança da organização emanarão da (nome da área responsável) e o seu desenvolvimento e implementação ficarão a cargo da (nome da área responsável).
2. Essa responsabilidade abrange a elaboração de diretrizes e procedimentos subordinados a esta política e a preparação e implementação de projetos que envolvam aspectos de segurança.
3. Cada área da organização é responsável pelos ativos de informações que use em suas atividades.
4. As áreas de informática central e/ ou departamentais serão consideradas custodiantes dos ativos de informações pertencentes a usuários que façam uso dos recursos de informática como forma de processá-los.
5. Todos os ativos de informações deverão ter responsáveis pelo uso claramente definidos.
6. Todos os ativos de computação da organização são considerados como ativos desta e, portanto, devem receber a proteção adequada conforme a importância para os negócios.
7. Todos os ativos de computação da organização devem receber classificação quanto á preservação e proteção.

Criptografia

Os funcionários devem usar criptografia, tanto para transmissão como para armazenamento de informações sensíveis. Consulte a norma de classificação de informações para saber como classificar o acervo de informações quanto aos graus de riscos a que as mesmas estão sujeitas. Consulte a norma de criptografia para obter informações de como usá-la para proteger informações.

Chaves de acesso e senha

Os usuários de ativos de informações somente poderão utilizá-los por meio de chaves de acesso , autenticadas por meio de senhas secretas de seu exclusivo conhecimento.

As senhas são sigilosas, individuais e intransferíveis, não podendo ser divulgadas em nenhuma hipótese. As operações realizadas sob o uso de determinada senha são de responsabilidade exclusiva de seu possuidor. Recomenda-se que as senhas não sejam anotadas em papel ou outros meios de registro de fácil acesso.

3. Referências Bibliográficas

• CARUSO, Carlos A. A.; STEFFEN, Flávio D. Segurança em Informática e de Informações. 2ª ed. rev. e ampl. Senac, São Paulo, 1999.
• GIL, Antônio de L. Segurança em Informática. 2ª ed. Atlas, São Paulo, 1998.