Unidade II - Segurança Empresarial e Política de Segurança


1. Administração da Segurança

Detalhamento das Fases


2. Política de Segurança

2.1 O Que Deve Constar da Política de Segurança da Informação

A política de segurança deve conter diretrizes claras a respeito, pelo menos, dos seguintes aspectos:

2.2 Modelo Sugerido de Política de Segurança

O modelo de política de segurança, proposto por Caruso & Stefen (1999, p. 58) apresentado a seguir deve ser encarado apenas como uma sugestão. Cada organização deve avaliar o modelo que melhor atenda às suas necessidades.

Objetivos

A política de segurança de informações de nossa organização visa atender aos seguintes objetivos:

  1. Aparelhar a organização com um sistema capaz de assegurar a inviolabilidade dos ativos de informações
  2. Assegurar a segregação de funções.
  3. Garantir a correta utilização do acervo de informações.
  4. Garantir a correta utilização do ferramental de tratamento de informações.
  5. Garantir a correta utilização do ferramental de segurança.

Abrangência

Todas as estruturas organizacionais que se utilizem dos recursos de informações são obrigadas a seguir as diretrizes desta política, como forma de gerenciar suas atividades.

Conceitos

Aplicam-se os conceitos abaixo no que se refere à política de segurança:

  1. Política de segurança — conjunto de diretrizes destinadas a regulamentar o uso seguro dos ativos de informações da organização.
  2. Ferramentas — conjunto de equipamentos, programas, procedimentos e demais recursos através dos quais se aplica a política de segurança.
  3. Propriedade dos ativos — os ativos de informações da organização pertencem à mesma..
  4. Acesso a ativos — a organização permite o acesso de terceiros a seus ativos de informações para quem precisar fazer uso dos mesmos no desenvolvimento de suas atividades.
  5. Direito de propriedade — dentro da organização, define-se como proprietário de um ativo o seu criador ou principal usuário.
  6. Custódia — define-se a custódia como a responsabilidade de se guardar um ativo para terceiros; entretanto, a custódia não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros.
  7. Direito de acesso — somente o proprietário do ativo, ou pessoa por ele nomeada, pode autorizar acesso ao mesmo.
  8. Validade do direito de acesso — somente é válido para os fins para os quais foi solicitado.
  9. Direito de acesso em função da posição funcional — está ligado à posição ocupada pela pessoa dentro da organização, e não à pessoa que a ocupa.
  10. Controle de acesso — é exercido pela Administração de Segurança. As atribuições de controle de acesso podem ser delegadas para administrações setoriais e locais, para a administração de determinado domínio organizacional ou de recursos.
  11. Proteção dos ativos — os ativos devem receber classificação quanto ao grau de sensibilidade para os negócios da organização. O meio de registro de um ativo de informação deve receber a mesma classificação de proteção dada ao ativo que contém.
  12. Responsabilidade — é definida como as obrigações e deveres da pessoa que ocupa determinada função em relação ao acervo de informações.

Responsabilidades dos funcionários

Todos os funcionários da organização são responsáveis pelas informações de que fazem uso e pelo respectivo ferramental de processamento de informações. As responsabilidades são classificadas em função da posição hierárquica do funcionário dentro da organização.


  1. Gerais


  1. Todos os funcionários que acessem ativos de informação da organização são responsáveis pela integridade dos mesmos.
  2. O cumprimento da política de segurança é obrigatório; o não-cumprimento ou a recusa em fazê-lo implica em sanções disciplinares ou trabalhistas cabíveis.


  1. Das chefias em Geral
  1. Gerenciar o cumprimento da política de segurança por parte de seus subordinados.
  2. Identificar os desvios praticados e iniciar as medidas corretivas apropriadas.
  3. Impedir o acesso de funcionários demitidos ou demissionários aos ativos de informações.


  1. Pela política de segurança
  1. As diretrizes da política de segurança da organização emanarão da (nome da área responsável) e o seu desenvolvimento e implementação ficarão a cargo da (nome da área responsável).
  2. Essa responsabilidade abrange a elaboração de diretrizes e procedimentos subordinados a esta política e a preparação e implementação de projetos que envolvam aspectos de segurança.
  3. Cada área da organização é responsável pelos ativos de informações que use em suas atividades.
  4. As áreas de informática central e/ ou departamentais serão consideradas custodiantes dos ativos de informações pertencentes a usuários que façam uso dos recursos de informática como forma de processá-los.
  5. Todos os ativos de informações deverão ter responsáveis pelo uso claramente definidos.
  6. Todos os ativos de computação da organização são considerados como ativos desta e, portanto, devem receber a proteção adequada conforme a importância para os negócios.
  7. Todos os ativos de computação da organização devem receber classificação quanto á preservação e proteção.

Criptografia

Os funcionários devem usar criptografia, tanto para transmissão como para armazenamento de informações sensíveis. Consulte a norma de classificação de informações para saber como classificar o acervo de informações quanto aos graus de riscos a que as mesmas estão sujeitas. Consulte a norma de criptografia para obter informações de como usá-la para proteger informações.

Chaves de acesso e senha

Os usuários de ativos de informações somente poderão utilizá-los por meio de chaves de acesso , autenticadas por meio de senhas secretas de seu exclusivo conhecimento.

As senhas são sigilosas, individuais e intransferíveis, não podendo ser divulgadas em nenhuma hipótese. As operações realizadas sob o uso de determinada senha são de responsabilidade exclusiva de seu possuidor. Recomenda-se que as senhas não sejam anotadas em papel ou outros meios de registro de fácil acesso.


3. Referências Bibliográficas

1