segunda-feira, 26 de abril de 2010

Politica de Segurança da Informação

Com o atual crescimento e expansão do uso de recursos tecnológicos e computacionais, as corporações mostram a necessidade de um padrão definido por regras e procedimentos para o uso dos mesmos afim de manter o controle e o monitoramento, visando otimizar o investimento em tecnologia e evitar gastos desnecessários devido ao uso indevido dos ativos de TI e acesso a informações não permitidas. Detectar vulnerabilidades do ambiente tecnológico e criar ações para eliminá-las são alguns dos atuais desafios dos profissionais ligados à área de segurança da informação.

Neste artigo vou descrever como formular e implementar uma política de segurança da informação de forma simples e eficiente para mantermos o controle a um nível adequado visando proteger os recursos da corporação de forma a termos um ambiente menos vulnerável e consequentemente mais seguro e produtivo, mantendo os usuários informados sobre a politica de segurança da informação.

Disseminar a política de segurança da informação é essencial, pois através dela estabelecemos padrões, responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das informações. Cada política é personalizada para cada caso, pois temos ambientes, recursos, pessoas e ações diferentes para cada modelo de negócio.


Política de Segurança da Informação (PSI)

O que é "isso" e para que serve?

Esse é um tema bastante polêmico no cenário empresarial, onde temos corporações que independentes do tamanho e porte, utilizam cada vez mais os recursos tecnológicos como um diferencial para agilizarem e ganhar eficiência nos processos, mas que se não forem utilizados de maneira controlada, acarretam em desperdício de tempo, dinheiro, credibilidade e reputação no mercado devido à falta de um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção necessária de forma a garantir os três princípios básicos da segurança da informação: confidencialidade, integridade e disponibilidade, chamada de Política de Segurança da Informação (PSI).

Sua função básica consiste em estabelecer padrões, responsabilidades e critérios, para o correto funcionamento da rotina empresarial. É extremamente recomendável a criação da política antes da ocorrência do(s) primeiro(s) incidentes relacionados à segurança da informação. Ela pode ser usada para documentar o processo de controle de qualidade e também para evitar problemas legais com o mau uso dos recursos disponíveis.

Devido a sua abrangência ela é subdividida em três blocos designados: diretrizes, normas, procedimentos e instruções, sendo destinadas às áreas estratégica, tática e operacional. A importância de expressar o valor que a empresa atribui para suas informações e disseminação da cultura organizacional são partes das diretrizes, o que é algo bem estratégico, conforme mencionado anteriormente.

Quando entramos na subdivisão tática, estamos ligados diretamente às normas, detalhamento de ambientes, situações, processos e orientações para o uso adequado do que a empresa tem de maior valor, a informação. Para uma maior eficiência deve ser baseada na versão mais atual da BS 7799 ou ISO 27001. A parte de procedimentos e instruções deverá conter o maior número de situações possíveis com o a ação correta em determinada situação.

O tipo de política varia de acordo com o modelo de negócios e intenção do controle e punição no descumprimento da mesma. Podemos citar três tipos mais conhecidos:

Regulatória: É definida como se fosse uma série de especificações legais. É implementada devido ás necessidades legais que são impostas à organização.

Características básicas:
  • Prover conforto à organização na execução de suas atividades;
  • Assegurar que a organização está seguindo os procedimentos e normas padrões para o ramo em que ela atua.

Consultiva: Apenas sugere quais ações e métodos devem ser utilizados para a realização de uma determinada tarefa ou atividade.

Características básicas:
  • Falhas no processo de comunicação com a Alta Administração;
  • Perda de prazos de compromissos importantes;
  • Aumento da possibilidade de omissão de informações importantes para a tomada de decisões críticas.

Informativa: Possui caráter informativo. Nenhuma ação é desejada e não existem riscos, caso não seja cumprida.

Características básicas:
  • Pode contemplar observações importantes e advertências severas, o item mais importante da PSI é a especificação, que deve ser breve, vocabulário simples, e formalizar o que é esperado dos funcionários na utilização dos recursos tecnológicos. Deve ser bem completa e suficiente para saber se aplicáveis para eles ou não.

Agora que temos a definição básica da nossa PSI, precisamos saber o que proteger e até onde a política de segurança da informação tem a sua abrangência. Para isso precisamos levar em conta alguns elementos do nosso ambiente, como Hardware, Software, Informação, Acesso Físico e a Documentação do ambiente a ser coberto.

Podemos citar alguns:
  • Hardware: servidores, estações, switches, impressoras, roteadores
  • Software: sistemas operacionais, editores de texto, planilhas, mensageiros.
  • Informação: armazenamento, manuseio, descarte, backup, logs.
  • Acesso físico: entrada em ambientes críticos, câmeras, roletas, crachás.
  • Documentação: todos os itens anteriores e extras pertinentes à organização.

Com base no levantamento acima precisaremos saber de quem proteger estes elementos. Abaixo mostramos uma tabela simples e básica como exemplo:

Propriedade Intelectual - Atribuição de fontes de informação

A informação é um bem da empresa.

Armazenamento, salva e descarte de dados.

Salva: o quê, quando, como, frequência e periodicidade da revisão.

Armazenamento: on-site ou off-site?

Período? Recuperação?

Incidentes - Determinar de quem é a responsabilidade

Notificação a órgãos responsáveis e autoridades.

Penalização perante as leis e investigações de evidências (Forense).

Acima temos alguns itens nesse vasto levantamento que terá que ser criado.

Dificuldades na implementação

Em uma nova organização temos a noção de que a implementação ocorre de maneira simples e "silenciosa", pois novos funcionários assumirão estas responsabilidades e estarão cientes da política desde o primeiro dia de expediente tendo que assinar o Termo de Concordância das Condições de Uso dos Recursos Computacionais Corporativos, assim assumindo toda a responsabilidade sobre as regras a ele impostas.

Em organizações já existentes, onde após analisarmos e classificarmos como um ambiente "caótico", a implementação tende a ser mais complexa e "barulhenta", devido aos vícios, comodismos, e métodos incorretos de trabalho, o que acaba prejudicando a organização como um todo. A frase abaixo demonstra o item fundamental nessa implementação de modo a superar todas as barreiras que possam retardar ou desativar a implementação da PSI:

A política de segurança da informação deve contar como o total comprometimento da alta direção da organização, incluindo a assinatura do mais alto executivo da mesma, explicitando assim o seu total apoio à implementação da política.

Publicação e divulgação

Para conseguir a aderência da PSI de forma sincronizada entre os funcionários, é preciso utilizar os mais diversos meios de publicação e divulgação da PSI. Podemos sugerir a elaboração de materiais promocionais, palestras de conscientização, jornais e folhetos internos, disponibilizar um manual básico na intranet e internet em locais onde todos possuam acesso, mas que não possam modificar o conteúdo mantendo assim o conceito de integridade e disponibilidade.

Atualização e revisão da PSI

A política deve ser constantemente revisada e atualizada, de forma a cobrir o maior número possível de ativos na organização e objetos de valor ex: informação, hardware, software etc. A atualização torna-se importante caso uma norma seja descumprida, ela tem que ser a mais recente e refletir o atual cenário de trabalho da empresa. Costuma-se usar no final da política o controle da versão, autor (es) e data da última modificação.

Penalidades da violação das políticas de segurança da informação

O estabelecimento e aplicação das punições a todos os funcionários pelo descumprimento da PSI tornam-se necessário com o objetivo de dar respaldo jurídico a organização e como uma forma de incentivo para todos aderirem, isso é claro de acordo com a cultura de cada organização. A seguir temos um exemplo de implementação prática e um termo de aceitação da nossa PSI de forma a orientar ao leitor desse artigo e explorar sua criatividade na criação da mesma.

Esses documentos devem ser anexados a pasta de dados contratuais de cada funcionário.

Segue abaixo o modelo básico de uma PSI para uso na empresa. A mesma pode ser adaptada para o perfil da corporação em que a mesma for aplicada.

---

NOME OU LOGO DA EMPRESA XXX

Política de Uso do Acesso Corporativo à Internet
A informação contida neste documento é confidencial e de propriedade da Empresa XXX. Este documento não é para ser reproduzido ou distribuído fora da Empresa XXX.

1. OBJETIVO

Estabelecer regras para o uso apropriado da Internet na empresa XXX. O propósito da empresa em conceder o direito de acesso à Internet aos seus funcionários é, única e exclusivamente, permitir que os mesmos obtenham as informações necessárias ao desempenho das atividades corporativas de modo a atingir os objetivos de negócio da empresa.

2. ÂMBITO

Esta política abrange todos os funcionários autorizados a acessar a Internet através da rede corporativa da empresa XXX.

3. DEFINIÇÕES

Usuários - funcionários da Empresa XXX autorizados a acessar a Internet através da rede corporativa.
Internet - rede mundial de computadores.
Intranet - rede corporativa de computadores.
Acesso à Internet - inclui, mas não se limita, o acesso a web sites, o envio e recebimento de e-mails, a transmissão e o recebimento de arquivos e a execução de aplicativos de Internet, através de computadores da rede corporativa.

4. POLÍTICA

4.1 USO ACEITÁVEL

O acesso à Internet concedido pelo escritório aos seus funcionários tem como objetivo ser utilizado como ferramenta para auxiliar os usuários na realização das tarefas corporativas diárias e a obter vantagens competitivas relacionadas aos negócios da empresa.

A Empresa XXX tem o direito de monitorar e controlar o acesso à Internet a partir da sua rede corporativa. Os usuários não devem ter qualquer expectativa de privacidade no que diz respeito à informação transmitida e/ou recebida através do(s) acesso(s) e recursos corporativos disponibilizados pela organização.

Devido à existência na Internet de pessoas e/ou organizações com intenções hostis, os usuários devem estar cientes da importância e da obrigatoriedade do correto uso dos requisitos de segurança disponíveis nos recursos corporativos que utilizam.

4.2 USO INACEITÁVEL

Os usuários não podem usar seus privilégios de acesso à Internet para:
  • Envolver-se na observação ou na troca de materiais que tenham conteúdo de natureza odiosa, obscena, discriminatória, ofensiva ou visando assédio sexual;
  • Envolver-se em qualquer tipo de negócios privados para obter lucros ou ganhos pessoais;
  • Envolver-se em qualquer atividade ilegal, incluindo jogos de azar, carregar ou baixar softwares sem a permissão dos detentores de seus direitos de copyright e/ou softwares que estão sujeitos ao controle de exportação de seus países de origem;
  • Interferir intencionalmente nas operações normais dos equipamentos da rede corporativa com a Internet (gateway de Internet), ou de qualquer outro site;
  • Acessar materiais não relacionados aos negócios do escritório, tais como o acesso a rádios, a sites que distribuam imagens, áudio e/ou vídeo (streaming vídeo), diários eletrônicos (blogs) e etc.
  • Baixar materiais não relacionados ao desempenho das atividades corporativas, como arquivos de imagens, áudio e vídeo e/ou programas de uso pessoal, mesmo que gratuitos (freewares);
  • Tentar ganhar acesso não-autorizado a outros serviços disponíveis na Internet;
  • Enviar e/ou receber, mesmo que esporadicamente, e-mails excessivamente grandes ou mensagens de correntes eletrônicas;
  • Envolver-se em atividades que violem políticas de outras empresas e/ou que possam ser contrárias aos interesses do escritório;
  • Abrir ou baixar arquivos de sites da Internet, grupos de notícias (newsgroups), contas de e-mails externas ou de outras fontes, sem as devidas precauções para a detecção de vírus;
  • Revelar informações confidenciais ou de propriedade da organização para destinatários não autorizados, através de qualquer meio;
  • Transmitir informações confidenciais ou proprietárias para destinatários autorizados, localizados fora da rede corporativa, sem os devidos cuidados relativos à integridade das informações;
  • Usar o aplicativo de mensagem instantânea corporativo (Messenger), para divulgar informações confidenciais ou de propriedade da organização para destinatários que não sejam usuários da rede corporativa;
  • Divulgar contas, identificadores, senhas de acesso e/ou de usuário ou qualquer outro tipo de identificação corporativa pessoal, com pessoas ou programas localizados fora da rede corporativa.

5. SANÇÕES

Qualquer usuário que, comprovadamente, venha a violar a presente política corporativa estará sujeito, dependendo da gravidade da infração, a:
  • Ter seu acesso à Internet restringido ou mesmo cancelado;
  • Ter rescindido o seu contrato de trabalho ou de prestação de serviços;
  • Responder a processo criminal.

6. CONTROLE DE VERSÃO

Versão: 01
Data: 24/04/2010
Autor: PAULO MORAES / Rio de Janeiro

Termo de Concordância das Condições de Uso dos Recursos Computacionais Corporativos

A informação contida neste documento é confidencial e de propriedade da Empresa XXX. Este documento não é para ser reproduzido ou distribuído fora da Empresa XXX.

Declaro ter lido o documento
Política de Uso do Acesso Corporativo à Internet de 03/04/2007, disponíveis na rede interna e impresso, e atesto que:
  • Entendi e compreendi completamente o conteúdo das políticas;
  • Estou plenamente ciente de que, em caso de violação das referidas políticas, estarei sujeito a ações disciplinares e legais.

Data: __ / __ / 20____
Nome: ___________________________________
Assinatura: _____________________________

IMPORTANTE: Este documento deve ser anexado à pasta corporativa do funcionário.

---

Referências Bibliográficas

  • MARTINS, José Carlos Cordeiro - Gestão de Projetos de Segurança da Informação - Editora Brasport
  • FERREIRA, Fernando nicolau Freitas - Segurança da Informação
  • Websites - www.Modulo.com.br
Postado por às

Nenhum comentário :

Postar um comentário

Assinar: Postar comentários ( Atom )

Popular Posts

  • Computadores não acessam mais a Rede ou Servidor (SOLUÇÃO)
    Bom, vamos imaginar que alguns computadores que estão em uma Rede, ou fora de um Dominio, começaram apresentar a seguinte mensagem de erro \...
  • John The Ripper - Tutorial
    John the Ripper é um programa para descriptografar senhas.   Embora tenha muitos funções estaremos olhando para usá-lo como um decryper pa...
  • Entendendo as Permissões Basicas No Linux
    Entendo as permissões básicas no Linux Então, respire fundo e vamos seguir... :-) Cada arquivo ou pasta tem 3 permissões. (Usuário Do...
  • Acesso Remoto para Principiantes
    Introdução Acesso remoto é uma forma de você ter controle sobre outra máquina à distância. Por exemplo, acessar o PC da sua casa usando seu...
  • Criptografia de Disco
    Porque Criptografar o Disco ? Por que criptografar o disco? Quando falamos de segurança da informação, podemos usar várias técnic...
  • (nenhum título)
    Apostila Segurança da Informação (IMPORTANTE) Pessoal, hoje vou estar publicando uma apostila bem interessante sobre Segurança da Informaç...
  • (nenhum título)
    PenTest o que é ? O que pretendo discutir com os nossos colegas é quais são as ferramentas e métodos que utilizam para enumera...
  • LVM - Logical Volume Manager
    ===== LVM ===== https://group.lpi.org/publicwiki/bin/view/Examdev/LPIC-20x#204_3_Logical_Volume_Manager    O que é LVM e qual a vantagem ...
  • Diferenças entre Hacker e Cracker
    Cracker e Hacker : experts trabalhando em sentidos opostos Os termos hacker e cracker se parecem muito e são comumente confundidos por aquel...
  • Nessus
    Nessus como ferramenta para verificação de vulnerabilidades (Debian) 1- Introdução Neste tutorial vou descrever como criar uma solução de...

Blogger templates

Blogger news

Blogroll

Linux

Linux
Seja Livre use Linux

Contatos:

FB: facebook.com/henriqueinside

FB: facebook.com/backtrackbrasil

Texto Preferido.

O uso da palavra Hacker para se referir ao violador de segurança é uma conclusão que vem por parte dos meios de comunicação de massa.

Nós, hackers, nos recusamos a reconheçer este significado, e continuamos usando a palavra para indicar alguém que ama programar e que gosta de ser hábil e engenhoso.

By: Richard Stallman
Henrique Vieira. Tecnologia do Blogger.