Prévia do material em texto
Estrutura de uma política de segurança de informação Apresentação Para tudo o que é feito diariamente, exige-se um script, regra a ser seguida. Dentro das corporações, a necessidade de os usuários seguirem determinado script de boas práticas é fundamental. Este entra em um manual de políticas de segurança da informação e indicará formas seguras de lidar com informações, sem que vulnerabilidades sejam encontradas. Nesta Unidade de Aprendizagem, você vai compreender o que é uma política de segurança da informação e sua importância, bem como sua composição básica e modelos predefinidos. Bons estudos. Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados: Descrever o que é uma política de segurança de informação (PSI) e sua importância.• Explicar a composição básica de uma política de segurança da informação.• Definir modelos predefinidos para uma PSI.• Desafio A política de segurança da informação (PSI) é um documento que deve conter conjunto de normas, métodos e procedimentos o qual deve ser comunicado a todos os funcionários. Considerando isso, para este Desafio, imagine que você é funcionário de TI, de certa empresa X. Então, foi chamado para indicar o que poderia ser feito a fim de que as atitudes dos colaboradores fossem restringidas. Afinal, verificou-se, também, que inúmeros malwares e spywares foram baixados a partir das ações realizadas. Portanto, indique quais serão suas ações a fim de evitar que continuem sendo efetivadas tais práticas. Infográfico Ser apenas profissional da área de TI não é o suficiente para desenvolver uma política de segurança da informação. É preciso saber o que é PSI, como desenvolver e por onde começar. Na elaboração de uma PSI, deve-se levar em consideração a NBR ISO/IEC 27001:2005, norma em que são encontradas as melhores práticas a fim de iniciar, implementar, manter e melhorar a gestão de segurança da informação nas organizações. Desenvolver um manual de política de segurança da informação pode gerar dúvidas no caso de quem nunca o fez. Por isso, você verá algumas dicas sobre como iniciar esse material. Após, você até vai perceber que outros tópicos podem ser criados conforme a necessidade de cada empresa. Confira no Infográfico. Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar. https://statics-marketplace.plataforma.grupoa.education/sagah/b3d61bdc-9c13-4560-8fce-a9dcc47af723/96bb5baf-d93a-4f29-a082-dbd390483944.png As políticas de segurança da informação (PSI) são documentos estratégicos que definem as regras a serem observadas durante o uso da informação de determinada organização com objetivo de resguardar os pilares básicos da segurança da informação (confidencialidade, integridade e disponibilidade). Neste vídeo, você vai conhecer a estrutura de uma PSI e dicas de como criá-la. Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar. https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/5b22424c3f29909bd43f30171d5f0100 Conteúdo do livro Para assegurar que bons costumes sejam utilizados dentro da empresa em relação à segurança da informação, é imprescindível que haja um manual que indique quais são os bons hábitos a serem seguidos. No capítulo Estrutura de uma política de segurança de informação, da obra Segurança de sistemas da informação, você vai entender o que é a política de segurança da informação, como é composta e os modelos predefinidos existentes. Boa leitura. SEGURANÇA DE SISTEMAS DA INFORMAÇÃO Andressa Dellay Agra Estrutura de uma política de segurança de informação Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Descrever o que é uma política de segurança de informação (PSI) e sua importância. Explicar a composição básica para uma PSI. Definir modelos predefinidos para uma PSI. Introdução A segurança da informação está diretamente relacionada à proteção de um conjunto de informações, cuja necessidade de investimento não para de crescer. Para manter bons costumes e regras dentro de corporações, com a finalidade de manter seguras todas as suas informações, é preciso criar um manual de regras o qual usuários possam seguir. Esse manual contém o que chamamos de política de segurança da informação. Conceito de PSI e sua importância A política de segurança da informação impõe restrições sobre quais ações ou sujeitos em um sistema pode-se fazer a respeito de objetos desse sistema, a fi m de atingir objetivos específi cos de segurança. A política de segurança da informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, comunicado a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando de eventuais mudanças. E é o sistema de gestão de segurança da informação (SGSI) que garantirá a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funções dentro da empresa (FONTES, 2008). Para elaborar uma PSI, deve-se levar em consideração a NBR ISO/IEC 27001:2005, uma norma de códigos de práticas para a gestão de segurança da informação, na qual podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. A ISO 27001 é uma norma de gestão que define os requisitos para a empresa ter e administrar um SGSI certificado. Ela considera os ativos da companhia e as necessidades da área de negócio para definir a melhor maneira de administrar o sistema. Com isso, todas as responsabilidades são definidas e os objetivos estabelecidos, medidos, analisados e auditados internamente. Entre seus benefícios, estão: redução de risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos; oportunidade de identificar e corrigir pontos fracos; a segurança da informação passa a ser responsabilidade da alta gestão da companhia; permite uma revisão independente do sistema de gestão da segurança da informação; garante maior confiabilidade aos parceiros e clientes; aumenta a conscientização interna sobre segurança; combina recursos com outros sistemas de gestão; possibilita medir o sucesso do sistema. Fonte: Costa (2017, documento on-line). Basicamente, a PSI é um manual de procedimentos que descreve como os recursos de tecnologia da informação (TI) da empresa devem ser protegidos e utilizados, representando o pilar da eficácia da segurança da informação. Se não existirem regras preestabelecidas, a segurança desejada torna-se inconsis- tente e inúmeras vulnerabilidades podem surgir. A política tende a estabelecer regras e normas de conduta com o objetivo de diminuir a probabilidade da ocorrência de incidentes que provoquem a indisponibilidade do serviço, furto ou até mesmo a perda de informações. Em geral, as políticas de segurança são construídas a partir das necessidades do negócio e eventualmente aperfeiçoadas pela experiência do gestor. Segundo Freitas e Araujo (2008), o intervalo médio utilizado para a revisão da política é de 6 meses a 1 ano, porém deve-se realizar uma revisão sempre Estrutura de uma política de segurança de informação2 que forem identificados fatos novos, não previstos na versão atual capazes de impactar na segurança das informações da organização. A PSI deve estabelecer como serão acessadas as informações de todas as formas possíveis. A política deve especificar os mecanismos pelos quais esses requisitos podem ser alocados. Tem como objetivo manter os pilares da segurança da informação, como: confidencialidade — segundo a NBR ISSO/IED 27002:2005, é a ga- rantia de que a informação é acessível somente para pessoas autorizadas a terem acesso; integridade — segundo Dantas (2011), a garantia da integridade consiste em permitir que a informação não sejamodificada ou destruída sem autorização, seja legítima e permaneça persistente; disponibilidade — segundo a NBR ISSO/IED 27002:2005, trata-se da garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. A ISO 27002 estabelece um código de melhores práticas para apoiar a implantação do SGSI nas organizações e tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. A ISO/IEC 27002 funciona como um guia completo de implementação, em que descreve como os controles devem ser estabelecidos. Tem como base uma avaliação dos riscos dos ativos mais importantes da empresa. São benefícios da aplicação da norma: maior controle de ativos e informações estratégicas; identificação e correção de pontos fracos do sistema; diferencial competitivo para clientes que valorizam a conformidade com normas internacionais; melhor organização dos processos; redução de custos com a prevenção de incidentes de segurança da informação; conformidade com a legislação e outras regulamentações. Fonte: Costa (2017, documento on-line). 3Estrutura de uma política de segurança de informação Composição básica daa PSI Conforme Campos (2007), “[...] atualmente, a PSI é adotada em grande parte das organizações em todo o mundo, inclusive no Brasil. Mesmo aquelas empresas que ainda não têm uma política efetiva reconhecem a necessidade de elaborar e implementar uma”. Um componente importante de um framework consiste em permitir que projetistas definam uma política de segurança, um conjunto de regras bem definidas que incluem os seguintes componentes: sujeitos — os agentes que interagem com o sistema, que podem ser definidos em termos de indivíduos específicos ou de papéis ou cate- gorias que grupos de indivíduos consigam representar dentro de uma organização. Indivíduos podem ser identificados por seus nomes ou cargos, como presidente, diretor ou gerente. Grupos podem ser definidos usando termos como usuários, administradores, professores, diretores e gerentes. Essa categoria também inclui atacantes e visitantes; objetos — os recursos de informação e computacionais que uma política de segurança deve proteger e administrar. Exemplos de informação incluem documentos críticos, arquivos e bancos de dados, e recursos computacionais servidores, estações de trabalho e software; ações — as coisas que os sujeitos podem ou não fazer com relação aos objetos. Exemplos incluem leitura e escrita de documentos, atualização de software em um servidor web e acesso aos conteúdos de um banco de dados; permissões — mapeamentos entre sujeitos, ações e objetos, que esta- belecem claramente quais tipos de ações são permitidas ou proibidas; proteções — as características específicas de segurança ou regras incluídas na política para ajudar a atingir determinados objetivos de segurança, como confidencialidade, integridade, disponibilidade ou anonimato. Alguns autores da área de segurança da informação, como Freitas e Araujo (2008), defendem que se deva formar um comitê de segurança da informação, constituído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura, recursos humanos, etc. No caso, o comitê deve ser responsável por divulgar e estabelecer os procedimentos de segurança, reunindo-se periodicamente com o objetivo de manter a segurança em todas as áreas da organização. Estrutura de uma política de segurança de informação4 A política deve ser escrita de maneira que todos possam entendê-la, desde uma pessoa mais leiga até um profissional da área específica. Todos os cola- boradores precisam receber treinamentos adequados. Conforme Fontes, para elaborar uma política de segurança e seus regula- mentos complementares, devemos considerar as seguintes etapas. Inicialização do projeto — nessa etapa, descreve-se o projeto e justifica- -se e declara-se o seu objetivo. Depois, é preciso definir o escopo do projeto, limitado em relação à abrangência dos documentos gerados e/ou em relação ao detalhamento do texto destes documentos. Nesta etapa, é importante que sejam registradas as restrições, isto é, os fatores que podem impactar o projeto e impedir a construção do produto final. Definição das premissas assumidas pelo projeto — premissas são fa- tos, situações ou compromissos tomados como existentes, isto é, que acontecerão. Desenvolvimento do projeto — deve-se realizar um levantamento do que existe na organização ou no grupo de organizações em relação ao tema trabalhado para a definição dos regulamentos. Desenvolvimento dos regulamentos — com base nos levantamentos e nas reuniões de trabalho, o gestor da segurança da informação precisa desenvolver os regulamentos. Após a escrita do texto inicial, é necessário e conveniente que os participantes das reuniões de trabalho o revisem, considerando cada documento. Essa etapa poderá significar não apenas uma revisão, mas também várias revisões e novas reuniões de trabalho. Concordância dos documentos — todos os documentos gerados devem estar em conformidade com o padrão dos documentos de regulamen- tação da organização. Caso a organização não tenha um padrão, o profissional da área de segurança da informação, deverá definir um padrão para as políticas e normas de segurança da informação. Entrega, comunicação e treinamento do produto — é necessário realizar formalmente a entrega do projeto, pois, para regras que legislarão in- ternamente a organização, é importante a data da implantação de cada um dos regulamentos. A partir da data de entrega, as regras valerão para todos os usuários da informação da organização. Além disso, é necessário que todos saibam das novas regras, incluindo um treinamento para repassar as regras. Definição dos processos de manutenção e atualização — nessa etapa, define-se como acontecerão a manutenção e a atualização das políticas e normas de segurança da informação. É necessária uma documentação 5Estrutura de uma política de segurança de informação mais detalhada, indicando quem é o responsável pela atualização e em que situações específicas deve acontecer uma manutenção. Definidos os processos de manutenção e atualização das políticas e das normas de segurança da informação, esse projeto pode se encerrar. Evidentemente, nesse momento, um novo projeto contínuo começará: o de atualização e manutenção dos regulamentos. Ainda, segundo Fontes, deve haver alguns blocos de informações com o objetivo de melhorar o entendimento da PSI (Figura 1), conforme descrito a seguir. Figura 1. Estrutura de um documento de regulamento em segurança da informação. Fonte: Fontes (2012). Escopo Regras Responsabilidade Cumprimento Definições/glossário Objetivo/justificativa Objetivo do documento — nesse bloco, indicam-se o objetivo do do- cumento, o que é o documento e o que a organização deseja comunicar com esse documento. Além disso, devem ser alinhadas e indicadas a aderência desse documento a outros regulamentos, legislação, normas e estruturas de tratamento de informações e projetos. Pode-se, também, indicar as razões da existência da política ou da norma. Escopo do documento — nesse bloco, deve-se indicar os ambientes físicos, os ambientes lógicos, os tipos de usuários, as regiões geográficas ou outras definições que indicam os limites da aplicação do documento e das regras. Esse bloco aponta para quem e para quais ambientes organizacionais as regras serão aplicadas e exigidas. Definições ou glossário — nesse bloco, deverão estar definidos os termos específicos, as abreviaturas, os termos técnicos, os nomes-siglas Estrutura de uma política de segurança de informação6 de entidades e áreas organizacionais, etc. No caso de nomenclaturas que não sejam de uso comum em vários níveis de usuários, deve haver uma explicação paraque todos, inclusive os leigos, consigam compreendê-las. Regras — nesse bloco, teremos as orientações, as regras e a organiza- ção deseja que todos os usuários cumpram. Esse bloco é considerado a essência do documento. Aqui, a organização indicará o que deve ser feito, o que é obrigatório, o que não se pode fazer e os princípios que se deseja seguir. O importante é que as regras não deixem dúvidas para os usuários. Responsabilidades — nesse bloco, devem ser definidas as respon- sabilidades referentes ao documento, ou seja, indicar o responsável pela atualização, a revisão e a manutenção do texto do regulamento; pelo treinamento necessário para que os usuários consigam cumprir o regulamento; pela divulgação do texto para os usuários; e por outras ações necessárias para garantir que o documento será sempre verdadeiro, atualizado, passível de cumprir e de conhecimento de todos. Cumprimento — nesse bloco, devem estar explícitas as possíveis penalidades caso o usuário não cumpra adequadamente as regras des- critas no regulamento. É preciso, também, indicar o procedimento do usuário em caso de erro, dúvidas ou em situações que não estejam previstas no documento. Modelos predefinidos para uma PSI Segundo Goodrich e Tamassia (2013), um modelo de segurança consiste em uma abstração que fornece uma linguagem conceitual para administradores especifi carem políticas de segurança. Geralmente, modelos de segurança de- fi nem possíveis hierarquias de acesso ou direito de modifi cação dos membros de uma organização, de modo que sujeitos em uma organização consigam facilmente receber direitos específi cos com base na posição desses direitos na hierarquia. 7Estrutura de uma política de segurança de informação Podemos citar como exemplo de direitos específicos com base na posição de direi- tos e hierarquias as classificações militares de direitos de acesso para documentos, fundamentando-se em conceitos como “não confidencial”, “confidencial”, “secreto” e “altamente secreto”. As abstrações do exemplo fornecem aos escritores uma notação abreviada para definir direitos de acesso. Sem elas, políticas de segurança seriam muito longas. É muito comum, por exemplo, que um gerente tenha todos os mesmos direitos de acesso que seus colaboradores e mais alguns. Uma PSI poderia descrever isso com detalhes ou simplesmente definir os direitos de um gerente em termos de um modelo de segurança que automaticamente inclui os direitos dos subordinados em uma lista de gerentes usando uma hierarquia. Controle de acesso arbitrário e obrigatório Dois modelos de controle de acesso mais usados são os de controle de acesso arbitrário e obrigatório. O controle de acesso arbitrário (DAC) refere-se a um esquema em que os usuários recebem a capacidade de determinar as permissões que governam o acesso a seus próprios arquivos. Em geral, usa os conceitos de usuários e de grupos e permite que usuários estabeleçam medidas de controle de acesso em termos dessas categorias. Além disso, possibilita que um usuário conceda a outros o mesmo privilégio sobre recursos. A maioria dos softwares adota alguma variante do esquema DAC para controle de acesso a seus recursos. Tanto o sistema operacional Linux quanto o Windows possibilitam que o usuário especifique permissões de arquivo e diretório por meio de listas de controle de acesso. Essas permissões afetam os direitos que outros usuários têm em relação a esses arquivos. Estrutura de uma política de segurança de informação8 O controle de acesso obrigatório é um esquema mais restritivo, que não possibilita que um usuário defina permissões sobre arquivos, qualquer que seja o proprietário. Nesse caso, as decisões são tomadas por um administrador central de política. Cada regra de segurança consiste em: um sujeito, que representa a parte que tenta obter acesso; um objeto, que se refere ao recurso sendo acessado; e uma série de permissões que definem a extensão em que esse recurso pode ser acessado. O Security-Enhanced Linux (SELinux) incorpora controle de acesso obrigatório como um meio de definir explicitamente as permissões para minimizar problemas de abuso e configuração inadequada. Modelos de controle de acesso obrigatório tentam evitar a transferência de informação não permitida pelas regras. Gerência de confiança Um sistema de gerenciamento de confi ança é um framework formal para especifi car uma política de segurança em uma linguagem precisa, com um mecanismo para assegurar o cumprimento da política especifi cada. Portanto, consiste em dois componentes principais: uma linguagem de política e um verifi cador de conformidade. Essa linguagem e os componentes de conformi- dade geralmente envolvem regras que descrevem quatro conceitos: KeyNote O sistema KeyNote é uma linguagem que especifi ca termos de política de segurança da informação. Além de implementar os termos defi nidos, defi ne uma aplicação como um programa ou sistemas que usam KeyNote. Um valor de conformidade política (PCV) refere-se à resposta emitida pelo sistema em questão. Para a requisição de um principal para realizar alguma ação, indica se a ação requisitada está de acordo com as políticas existentes. Para usar o KeyNote, uma aplicação consulta o sistema quando um prin- cipal requisita uma ação, incluindo na consulta as políticas adequadas e as credenciais. A ação é descrita usando um conjunto de pares atributo-valor, 9Estrutura de uma política de segurança de informação conhecidos como conjuntos de atributos da ação que ilustra as implicações de segurança dessa ação. Então, o KeyNote responde com um PCV indicando se a ação deve ser permitida ou não, e a aplicação se comporta de acordo com essa questão. Em suma, o KeyNote interpreta se uma dada ação deve ser permitida ou não de acordo com as políticas fornecidas, sendo de responsabilidade da aplicação invocar um KeyNote adequadamente e interpretar corretamente suas respostas. A seguir, veja um exemplo de sistema de gerência de confiança. Alice tem credenciais válidas suficientes para a ação requisitada, em relação às políticas especificadas, mas Bob não (Figura 2). Figura 2. Sistema de gerência de confiança. Fonte: Goodrich e Tamassia (2013). Principais Verificador de conformidade Credenciais Bob Alice Ações Ler Escrever Executar Delegar Transacionar Reportar Divulgar ... Políticas Estrutura de uma política de segurança de informação10 XACML A linguagem XACML (Extensible Access Control Markup Language) foi divulgada em 2009. A XACML alavanca a linguagem XML (Extensible Markup Language) para defi nir políticas de segurança descrevendo como estas devem ser cumpridas. Assim como o KeyNote, XACML inclui todas as características tradicionais de gerência de confi ança: um principal é chamado de sujeito, o qual pode requisitar a realização de ações sobre um recurso. Um ponto de administração de política gerencia políticas de segurança; um ponto de decisão de política é responsável pela emissão de autorizações, de forma análoga à de emissão de PCV em KeyNote; um ponto de cumprimento de política requisita acesso como representando de um principal e se comporta de acordo com a resposta PDP; e um ponto de informação de política fornece informação adicional relacionada à segurança. A XACML também inclui uma abordagem para delegação que permite às partes conceder direitos a outras partes sem um administrador central de política. Isso é possível porque os direitos de delegar privilégios são mantidos independentemente dos direitos de acesso. CAMPOS, A. Sistemas de segurança da informação. 2. ed. Florianópolis: Visual Books, 2007. COSTA, S. O que são ISO 27001 e 27002 e como elas podem ajudar a sua empresa? Any Consulting, 2 mar. 2017. Disponível em: <https://www.anyconsulting.com.br/o-que- sao-iso-27001-e-iso-27002/>. Acesso em: 30 nov. 2018. DANTAS, M. Segurança da informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. FONTES, E. Políticas enormas para segurança da informação. Rio de Janeiro: Brasport, 2012. FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. FREITAS, F.; ARAUJO, M. Políticas de segurança da informação: guia prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2008. GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. Porto Alegre: Bookman, 2013. Leitura recomendada OLIVEIRA, W. J. Dossiê hacker. São Paulo: Digerati Books, 2006. 11Estrutura de uma política de segurança de informação Conteúdo: Dica do professor Saber como descrever a política de segurança da informação é fundamental. Ela deve ser escrita de maneira simples a fim de que todos possam entender o que cada tópico abordado indica. Na Dica do Professor a seguir, você verá quais são os tópicos que devem ser tratados dentro de um manual de PSI. Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar. https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/f50304a73e0256aadce4207dfc79390f Exercícios 1) Conforme Fontes (2008), devem-se considerar algumas etapas para elaborar política de segurança. Assinale a alternativa que apresenta tais fases corretamente. A) Inicialização do projeto; desenvolvimento; comunicação e treinamento do produto; definição dos processos de manutenção e atualização. B) Início do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; definição dos processos. C) Inicialização do projeto; entrega, comunicação e treinamento do produto; definição dos processos de manutenção e atualização. D) Inicialização do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; definição dos processos de manutenção e atualização. E) Inicialização do projeto; desenvolvimento; entrega do produto; definição dos processos de manutenção e atualização. 2) Em relação à gerência de confiança, é possível citar conceitos como: Ações: operações com consequências relacionadas à segurança do sistema. Política: regras escritas precisamente que determinam as principais autorizadas e quais ações realizar. Quais são os outros dois conceitos que faltam? A) Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; credenciais: documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. B) Princípios: usuários, processos ou outras entidades que podem realizar ações no sistema; credenciais: documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. C) Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; acessibilidade: documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. D) Principais: documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais; credenciais: usuários, processos ou outras entidades que podem realizar ações no sistema. E) Principais: gerentes, processos ou outras entidades que podem realizar ações no sistema; credenciais: assinatura virtual que associa as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. 3) A política de segurança da informação é o pilar da eficácia da segurança da informação. Sobre seu conceito, assinale a alternativa correta. A) A política de segurança da informação é um manual de procedimentos que descreve como os recursos de TI da empresa devem manter privilégios e serem utilizados. Se não existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem surgir. B) A política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados. Se não existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem surgir. C) A política de segurança da informação é apenas um manual de procedimentos que descreve como os recursos da empresa devem ser protegidos e utilizados. Se não existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem surgir. D) A política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa não devem ser protegidos. E) A política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados. Se existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades não irão surgir. 4) Um sistema de gerenciamento de confiança consiste em dois componentes principais: linguagem de política e verificador de conformidade. Assinale a alternativa que melhor define o KeyNote. A) O sistema KeyNote é um software que especifica termos de política de segurança da informação. Além de implementar esses itens definidos, também indica uma aplicação como sendo programa ou sistema que usa KeyNote. B) O sistema KeyNote é uma linguagem que especifica termos de TI. Além de implementar os termos definidos, também indica uma aplicação como sendo programa ou sistema que usa KeyNote. C) O sistema KeyNote é uma linguagem que especifica termos de política de segurança da informação. Além de implementar os termos definidos, também indica uma aplicação como sendo programa ou sistema que usa KeyNote. D) O sistema KeyNote é uma linguagem que especifica apenas termos de política de segurança da informação. E) O sistema KeyNote é um software que implementa os termos de TI e também define uma aplicação como sendo programa ou sistema que usa KeyNote. 5) A política de segurança da informação tem como objetivo proteger os pilares da segurança da informação. Quais são esses pilares? A) Seguridade, integridade e disponibilidade. B) Confidencialidade, integralidade e disponibilidade. C) Confidencialidade, seguridade e disposição. D) Confidencialidade, integridade e disposição de arquivos. E) Confidencialidade, integridade e disponibilidade. Na prática Para manter uma empresa a salvo de qualquer intenção negativa vinda de funcionários ou mesmo de atitudes que não sejam mal-intencionadas, mas que possam prejudicar a empresa, é preciso conscientizar os colaboradores. A política de segurança de informação consiste em um manual de bons costumes que deve ser usado por todos os colaboradores de uma organização. Esse material fará com que se tenha baixa taxa de vulnerabilidade na rede e sistema de utilização da empresa e deve ser composto por uma série de regras sobre o que fazer e não fazer. Na Prática, você verá informações sobre o uso de e-mail corporativo, entendendo como deve ser empregado adequadamente pelos colaboradores. Acompanhe a seguir. Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar. https://statics-marketplace.plataforma.grupoa.education/sagah/7ddda0ed-985e-49b2-a42c-5fd5272ea4a5/1872ef5a-d193-4470-b117-105aef4977e4.png Saiba + Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor: ISO 27001 em 5 minutos A ISO 27001 é a norma que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). Neste vídeo, você verá mais sobre o assunto. Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar. ISO 27002 em 5 minutos A ISO 27002 consiste em código de práticas com conjuntocompleto de controles que auxiliam a aplicação do Sistema de Gestão da Segurança da Informação (SGSI). Acesse o vídeo indicado. Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar. Passo a passo: como fazer uma política de segurança da informação para a sua empresa? No link disponível a seguir, você conhecerá algumas dicas sobre como elaborar uma política de segurança da informação. Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar. https://www.youtube.com/embed/68cphWTnsmw https://www.youtube.com/embed/fa4A-OBe67E https://www.siteware.com.br/seguranca/politica-de-seguranca-da-informacao-2/