Com o atual crescimento e expansão do uso de recursos tecnológicos e computacionais, as corporações mostram a necessidade de um padrão definido por regras e procedimentos para o uso dos mesmos afim de manter o controle e o monitoramento, visando otimizar o investimento em tecnologia e evitar gastos desnecessários devido ao uso indevido dos ativos de TI e acesso a informações não permitidas. Detectar vulnerabilidades do ambiente tecnológico e criar ações para eliminá-las são alguns dos atuais desafios dos profissionais ligados à área de segurança da informação.
Neste artigo vou descrever como formular e implementar uma política de segurança da informação de forma simples e eficiente para mantermos o controle a um nível adequado visando proteger os recursos da corporação de forma a termos um ambiente menos vulnerável e consequentemente mais seguro e produtivo, mantendo os usuários informados sobre a politica de segurança da informação.
Disseminar a política de segurança da informação é essencial, pois através dela estabelecemos padrões, responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das informações. Cada política é personalizada para cada caso, pois temos ambientes, recursos, pessoas e ações diferentes para cada modelo de negócio.
Esse é um tema bastante polêmico no cenário empresarial, onde temos corporações que independentes do tamanho e porte, utilizam cada vez mais os recursos tecnológicos como um diferencial para agilizarem e ganhar eficiência nos processos, mas que se não forem utilizados de maneira controlada, acarretam em desperdício de tempo, dinheiro, credibilidade e reputação no mercado devido à falta de um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção necessária de forma a garantir os três princípios básicos da segurança da informação: confidencialidade, integridade e disponibilidade, chamada de Política de Segurança da Informação (PSI).
Sua função básica consiste em estabelecer padrões, responsabilidades e critérios, para o correto funcionamento da rotina empresarial. É extremamente recomendável a criação da política antes da ocorrência do(s) primeiro(s) incidentes relacionados à segurança da informação. Ela pode ser usada para documentar o processo de controle de qualidade e também para evitar problemas legais com o mau uso dos recursos disponíveis.
Devido a sua abrangência ela é subdividida em três blocos designados: diretrizes, normas, procedimentos e instruções, sendo destinadas às áreas estratégica, tática e operacional. A importância de expressar o valor que a empresa atribui para suas informações e disseminação da cultura organizacional são partes das diretrizes, o que é algo bem estratégico, conforme mencionado anteriormente.
Quando entramos na subdivisão tática, estamos ligados diretamente às normas, detalhamento de ambientes, situações, processos e orientações para o uso adequado do que a empresa tem de maior valor, a informação. Para uma maior eficiência deve ser baseada na versão mais atual da BS 7799 ou ISO 27001. A parte de procedimentos e instruções deverá conter o maior número de situações possíveis com o a ação correta em determinada situação.
O tipo de política varia de acordo com o modelo de negócios e intenção do controle e punição no descumprimento da mesma. Podemos citar três tipos mais conhecidos:
Regulatória: É definida como se fosse uma série de especificações legais. É implementada devido ás necessidades legais que são impostas à organização.
Características básicas:
Consultiva: Apenas sugere quais ações e métodos devem ser utilizados para a realização de uma determinada tarefa ou atividade.
Características básicas:
Informativa: Possui caráter informativo. Nenhuma ação é desejada e não existem riscos, caso não seja cumprida.
Características básicas:
Agora que temos a definição básica da nossa PSI, precisamos saber o que proteger e até onde a política de segurança da informação tem a sua abrangência. Para isso precisamos levar em conta alguns elementos do nosso ambiente, como Hardware, Software, Informação, Acesso Físico e a Documentação do ambiente a ser coberto.
Podemos citar alguns:
Com base no levantamento acima precisaremos saber de quem proteger estes elementos. Abaixo mostramos uma tabela simples e básica como exemplo:
Armazenamento, salva e descarte de dados.
Salva: o quê, quando, como, frequência e periodicidade da revisão.
Armazenamento: on-site ou off-site?
Período? Recuperação?
Penalização perante as leis e investigações de evidências (Forense).
Acima temos alguns itens nesse vasto levantamento que terá que ser criado.
Em organizações já existentes, onde após analisarmos e classificarmos como um ambiente "caótico", a implementação tende a ser mais complexa e "barulhenta", devido aos vícios, comodismos, e métodos incorretos de trabalho, o que acaba prejudicando a organização como um todo. A frase abaixo demonstra o item fundamental nessa implementação de modo a superar todas as barreiras que possam retardar ou desativar a implementação da PSI:
A política de segurança da informação deve contar como o total comprometimento da alta direção da organização, incluindo a assinatura do mais alto executivo da mesma, explicitando assim o seu total apoio à implementação da política.
Esses documentos devem ser anexados a pasta de dados contratuais de cada funcionário.
Segue abaixo o modelo básico de uma PSI para uso na empresa. A mesma pode ser adaptada para o perfil da corporação em que a mesma for aplicada.
---
NOME OU LOGO DA EMPRESA XXX
Política de Uso do Acesso Corporativo à Internet
A informação contida neste documento é confidencial e de propriedade da Empresa XXX. Este documento não é para ser reproduzido ou distribuído fora da Empresa XXX.
1. OBJETIVO
Estabelecer regras para o uso apropriado da Internet na empresa XXX. O propósito da empresa em conceder o direito de acesso à Internet aos seus funcionários é, única e exclusivamente, permitir que os mesmos obtenham as informações necessárias ao desempenho das atividades corporativas de modo a atingir os objetivos de negócio da empresa.
2. ÂMBITO
Esta política abrange todos os funcionários autorizados a acessar a Internet através da rede corporativa da empresa XXX.
3. DEFINIÇÕES
Usuários - funcionários da Empresa XXX autorizados a acessar a Internet através da rede corporativa.
Internet - rede mundial de computadores.
Intranet - rede corporativa de computadores.
Acesso à Internet - inclui, mas não se limita, o acesso a web sites, o envio e recebimento de e-mails, a transmissão e o recebimento de arquivos e a execução de aplicativos de Internet, através de computadores da rede corporativa.
4. POLÍTICA
4.1 USO ACEITÁVEL
O acesso à Internet concedido pelo escritório aos seus funcionários tem como objetivo ser utilizado como ferramenta para auxiliar os usuários na realização das tarefas corporativas diárias e a obter vantagens competitivas relacionadas aos negócios da empresa.
A Empresa XXX tem o direito de monitorar e controlar o acesso à Internet a partir da sua rede corporativa. Os usuários não devem ter qualquer expectativa de privacidade no que diz respeito à informação transmitida e/ou recebida através do(s) acesso(s) e recursos corporativos disponibilizados pela organização.
Devido à existência na Internet de pessoas e/ou organizações com intenções hostis, os usuários devem estar cientes da importância e da obrigatoriedade do correto uso dos requisitos de segurança disponíveis nos recursos corporativos que utilizam.
4.2 USO INACEITÁVEL
Os usuários não podem usar seus privilégios de acesso à Internet para:
5. SANÇÕES
Qualquer usuário que, comprovadamente, venha a violar a presente política corporativa estará sujeito, dependendo da gravidade da infração, a:
6. CONTROLE DE VERSÃO
Versão: 01
Data: 24/04/2010
Autor: PAULO MORAES / Rio de Janeiro
Termo de Concordância das Condições de Uso dos Recursos Computacionais Corporativos
A informação contida neste documento é confidencial e de propriedade da Empresa XXX. Este documento não é para ser reproduzido ou distribuído fora da Empresa XXX.
Declaro ter lido o documento
Política de Uso do Acesso Corporativo à Internet de 03/04/2007, disponíveis na rede interna e impresso, e atesto que:
Data: __ / __ / 20____
Nome: ___________________________________
Assinatura: _____________________________
IMPORTANTE: Este documento deve ser anexado à pasta corporativa do funcionário.
---
Read more »
Neste artigo vou descrever como formular e implementar uma política de segurança da informação de forma simples e eficiente para mantermos o controle a um nível adequado visando proteger os recursos da corporação de forma a termos um ambiente menos vulnerável e consequentemente mais seguro e produtivo, mantendo os usuários informados sobre a politica de segurança da informação.
Disseminar a política de segurança da informação é essencial, pois através dela estabelecemos padrões, responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das informações. Cada política é personalizada para cada caso, pois temos ambientes, recursos, pessoas e ações diferentes para cada modelo de negócio.
Política de Segurança da Informação (PSI)
O que é "isso" e para que serve?Esse é um tema bastante polêmico no cenário empresarial, onde temos corporações que independentes do tamanho e porte, utilizam cada vez mais os recursos tecnológicos como um diferencial para agilizarem e ganhar eficiência nos processos, mas que se não forem utilizados de maneira controlada, acarretam em desperdício de tempo, dinheiro, credibilidade e reputação no mercado devido à falta de um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção necessária de forma a garantir os três princípios básicos da segurança da informação: confidencialidade, integridade e disponibilidade, chamada de Política de Segurança da Informação (PSI).
Sua função básica consiste em estabelecer padrões, responsabilidades e critérios, para o correto funcionamento da rotina empresarial. É extremamente recomendável a criação da política antes da ocorrência do(s) primeiro(s) incidentes relacionados à segurança da informação. Ela pode ser usada para documentar o processo de controle de qualidade e também para evitar problemas legais com o mau uso dos recursos disponíveis.
Devido a sua abrangência ela é subdividida em três blocos designados: diretrizes, normas, procedimentos e instruções, sendo destinadas às áreas estratégica, tática e operacional. A importância de expressar o valor que a empresa atribui para suas informações e disseminação da cultura organizacional são partes das diretrizes, o que é algo bem estratégico, conforme mencionado anteriormente.
Quando entramos na subdivisão tática, estamos ligados diretamente às normas, detalhamento de ambientes, situações, processos e orientações para o uso adequado do que a empresa tem de maior valor, a informação. Para uma maior eficiência deve ser baseada na versão mais atual da BS 7799 ou ISO 27001. A parte de procedimentos e instruções deverá conter o maior número de situações possíveis com o a ação correta em determinada situação.
O tipo de política varia de acordo com o modelo de negócios e intenção do controle e punição no descumprimento da mesma. Podemos citar três tipos mais conhecidos:
Regulatória: É definida como se fosse uma série de especificações legais. É implementada devido ás necessidades legais que são impostas à organização.
Características básicas:
- Prover conforto à organização na execução de suas atividades;
- Assegurar que a organização está seguindo os procedimentos e normas padrões para o ramo em que ela atua.
Consultiva: Apenas sugere quais ações e métodos devem ser utilizados para a realização de uma determinada tarefa ou atividade.
Características básicas:
- Falhas no processo de comunicação com a Alta Administração;
- Perda de prazos de compromissos importantes;
- Aumento da possibilidade de omissão de informações importantes para a tomada de decisões críticas.
Informativa: Possui caráter informativo. Nenhuma ação é desejada e não existem riscos, caso não seja cumprida.
Características básicas:
- Pode contemplar observações importantes e advertências severas, o item mais importante da PSI é a especificação, que deve ser breve, vocabulário simples, e formalizar o que é esperado dos funcionários na utilização dos recursos tecnológicos. Deve ser bem completa e suficiente para saber se aplicáveis para eles ou não.
Agora que temos a definição básica da nossa PSI, precisamos saber o que proteger e até onde a política de segurança da informação tem a sua abrangência. Para isso precisamos levar em conta alguns elementos do nosso ambiente, como Hardware, Software, Informação, Acesso Físico e a Documentação do ambiente a ser coberto.
Podemos citar alguns:
- Hardware: servidores, estações, switches, impressoras, roteadores
- Software: sistemas operacionais, editores de texto, planilhas, mensageiros.
- Informação: armazenamento, manuseio, descarte, backup, logs.
- Acesso físico: entrada em ambientes críticos, câmeras, roletas, crachás.
- Documentação: todos os itens anteriores e extras pertinentes à organização.
Com base no levantamento acima precisaremos saber de quem proteger estes elementos. Abaixo mostramos uma tabela simples e básica como exemplo:
Propriedade Intelectual - Atribuição de fontes de informação
A informação é um bem da empresa.Armazenamento, salva e descarte de dados.
Salva: o quê, quando, como, frequência e periodicidade da revisão.
Armazenamento: on-site ou off-site?
Período? Recuperação?
Incidentes - Determinar de quem é a responsabilidade
Notificação a órgãos responsáveis e autoridades.Penalização perante as leis e investigações de evidências (Forense).
Acima temos alguns itens nesse vasto levantamento que terá que ser criado.
Dificuldades na implementação
Em uma nova organização temos a noção de que a implementação ocorre de maneira simples e "silenciosa", pois novos funcionários assumirão estas responsabilidades e estarão cientes da política desde o primeiro dia de expediente tendo que assinar o Termo de Concordância das Condições de Uso dos Recursos Computacionais Corporativos, assim assumindo toda a responsabilidade sobre as regras a ele impostas.Em organizações já existentes, onde após analisarmos e classificarmos como um ambiente "caótico", a implementação tende a ser mais complexa e "barulhenta", devido aos vícios, comodismos, e métodos incorretos de trabalho, o que acaba prejudicando a organização como um todo. A frase abaixo demonstra o item fundamental nessa implementação de modo a superar todas as barreiras que possam retardar ou desativar a implementação da PSI:
A política de segurança da informação deve contar como o total comprometimento da alta direção da organização, incluindo a assinatura do mais alto executivo da mesma, explicitando assim o seu total apoio à implementação da política.
Publicação e divulgação
Para conseguir a aderência da PSI de forma sincronizada entre os funcionários, é preciso utilizar os mais diversos meios de publicação e divulgação da PSI. Podemos sugerir a elaboração de materiais promocionais, palestras de conscientização, jornais e folhetos internos, disponibilizar um manual básico na intranet e internet em locais onde todos possuam acesso, mas que não possam modificar o conteúdo mantendo assim o conceito de integridade e disponibilidade.Atualização e revisão da PSI
A política deve ser constantemente revisada e atualizada, de forma a cobrir o maior número possível de ativos na organização e objetos de valor ex: informação, hardware, software etc. A atualização torna-se importante caso uma norma seja descumprida, ela tem que ser a mais recente e refletir o atual cenário de trabalho da empresa. Costuma-se usar no final da política o controle da versão, autor (es) e data da última modificação.Penalidades da violação das políticas de segurança da informação
O estabelecimento e aplicação das punições a todos os funcionários pelo descumprimento da PSI tornam-se necessário com o objetivo de dar respaldo jurídico a organização e como uma forma de incentivo para todos aderirem, isso é claro de acordo com a cultura de cada organização. A seguir temos um exemplo de implementação prática e um termo de aceitação da nossa PSI de forma a orientar ao leitor desse artigo e explorar sua criatividade na criação da mesma.Esses documentos devem ser anexados a pasta de dados contratuais de cada funcionário.
Segue abaixo o modelo básico de uma PSI para uso na empresa. A mesma pode ser adaptada para o perfil da corporação em que a mesma for aplicada.
---
NOME OU LOGO DA EMPRESA XXX
Política de Uso do Acesso Corporativo à Internet
A informação contida neste documento é confidencial e de propriedade da Empresa XXX. Este documento não é para ser reproduzido ou distribuído fora da Empresa XXX.
1. OBJETIVO
Estabelecer regras para o uso apropriado da Internet na empresa XXX. O propósito da empresa em conceder o direito de acesso à Internet aos seus funcionários é, única e exclusivamente, permitir que os mesmos obtenham as informações necessárias ao desempenho das atividades corporativas de modo a atingir os objetivos de negócio da empresa.
2. ÂMBITO
Esta política abrange todos os funcionários autorizados a acessar a Internet através da rede corporativa da empresa XXX.
3. DEFINIÇÕES
Usuários - funcionários da Empresa XXX autorizados a acessar a Internet através da rede corporativa.
Internet - rede mundial de computadores.
Intranet - rede corporativa de computadores.
Acesso à Internet - inclui, mas não se limita, o acesso a web sites, o envio e recebimento de e-mails, a transmissão e o recebimento de arquivos e a execução de aplicativos de Internet, através de computadores da rede corporativa.
4. POLÍTICA
4.1 USO ACEITÁVEL
O acesso à Internet concedido pelo escritório aos seus funcionários tem como objetivo ser utilizado como ferramenta para auxiliar os usuários na realização das tarefas corporativas diárias e a obter vantagens competitivas relacionadas aos negócios da empresa.
A Empresa XXX tem o direito de monitorar e controlar o acesso à Internet a partir da sua rede corporativa. Os usuários não devem ter qualquer expectativa de privacidade no que diz respeito à informação transmitida e/ou recebida através do(s) acesso(s) e recursos corporativos disponibilizados pela organização.
Devido à existência na Internet de pessoas e/ou organizações com intenções hostis, os usuários devem estar cientes da importância e da obrigatoriedade do correto uso dos requisitos de segurança disponíveis nos recursos corporativos que utilizam.
4.2 USO INACEITÁVEL
Os usuários não podem usar seus privilégios de acesso à Internet para:
- Envolver-se na observação ou na troca de materiais que tenham conteúdo de natureza odiosa, obscena, discriminatória, ofensiva ou visando assédio sexual;
- Envolver-se em qualquer tipo de negócios privados para obter lucros ou ganhos pessoais;
- Envolver-se em qualquer atividade ilegal, incluindo jogos de azar, carregar ou baixar softwares sem a permissão dos detentores de seus direitos de copyright e/ou softwares que estão sujeitos ao controle de exportação de seus países de origem;
- Interferir intencionalmente nas operações normais dos equipamentos da rede corporativa com a Internet (gateway de Internet), ou de qualquer outro site;
- Acessar materiais não relacionados aos negócios do escritório, tais como o acesso a rádios, a sites que distribuam imagens, áudio e/ou vídeo (streaming vídeo), diários eletrônicos (blogs) e etc.
- Baixar materiais não relacionados ao desempenho das atividades corporativas, como arquivos de imagens, áudio e vídeo e/ou programas de uso pessoal, mesmo que gratuitos (freewares);
- Tentar ganhar acesso não-autorizado a outros serviços disponíveis na Internet;
- Enviar e/ou receber, mesmo que esporadicamente, e-mails excessivamente grandes ou mensagens de correntes eletrônicas;
- Envolver-se em atividades que violem políticas de outras empresas e/ou que possam ser contrárias aos interesses do escritório;
- Abrir ou baixar arquivos de sites da Internet, grupos de notícias (newsgroups), contas de e-mails externas ou de outras fontes, sem as devidas precauções para a detecção de vírus;
- Revelar informações confidenciais ou de propriedade da organização para destinatários não autorizados, através de qualquer meio;
- Transmitir informações confidenciais ou proprietárias para destinatários autorizados, localizados fora da rede corporativa, sem os devidos cuidados relativos à integridade das informações;
- Usar o aplicativo de mensagem instantânea corporativo (Messenger), para divulgar informações confidenciais ou de propriedade da organização para destinatários que não sejam usuários da rede corporativa;
- Divulgar contas, identificadores, senhas de acesso e/ou de usuário ou qualquer outro tipo de identificação corporativa pessoal, com pessoas ou programas localizados fora da rede corporativa.
5. SANÇÕES
Qualquer usuário que, comprovadamente, venha a violar a presente política corporativa estará sujeito, dependendo da gravidade da infração, a:
- Ter seu acesso à Internet restringido ou mesmo cancelado;
- Ter rescindido o seu contrato de trabalho ou de prestação de serviços;
- Responder a processo criminal.
6. CONTROLE DE VERSÃO
Versão: 01
Data: 24/04/2010
Autor: PAULO MORAES / Rio de Janeiro
Termo de Concordância das Condições de Uso dos Recursos Computacionais Corporativos
A informação contida neste documento é confidencial e de propriedade da Empresa XXX. Este documento não é para ser reproduzido ou distribuído fora da Empresa XXX.
Declaro ter lido o documento
Política de Uso do Acesso Corporativo à Internet de 03/04/2007, disponíveis na rede interna e impresso, e atesto que:
- Entendi e compreendi completamente o conteúdo das políticas;
- Estou plenamente ciente de que, em caso de violação das referidas políticas, estarei sujeito a ações disciplinares e legais.
Data: __ / __ / 20____
Nome: ___________________________________
Assinatura: _____________________________
IMPORTANTE: Este documento deve ser anexado à pasta corporativa do funcionário.
---
Referências Bibliográficas
- MARTINS, José Carlos Cordeiro - Gestão de Projetos de Segurança da Informação - Editora Brasport
- FERREIRA, Fernando nicolau Freitas - Segurança da Informação
- Websites - www.Modulo.com.br
