livro 1 1 Estrutura de uma política de segurança de informação

Prévia do material em texto

SEGURANÇA DE 
SISTEMAS DA 
INFORMAÇÃO
Andressa Dellay Agra
Estrutura de uma política 
de segurança de informação
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Descrever o que é uma política de segurança de informação (PSI) e 
sua importância.
  Explicar a composição básica para uma PSI.
  Definir modelos predefinidos para uma PSI.
Introdução
A segurança da informação está diretamente relacionada à proteção 
de um conjunto de informações, cuja necessidade de investimento não 
para de crescer.
Para manter bons costumes e regras dentro de corporações, com a 
finalidade de manter seguras todas as suas informações, é preciso criar 
um manual de regras o qual usuários possam seguir. Esse manual contém 
o que chamamos de política de segurança da informação.
Conceito de PSI e sua importância
A política de segurança da informação impõe restrições sobre quais ações ou 
sujeitos em um sistema pode-se fazer a respeito de objetos desse sistema, a 
fi m de atingir objetivos específi cos de segurança.
A política de segurança da informação (PSI) é um documento que 
deve conter um conjunto de normas, métodos e procedimentos, comunicado 
a todos os funcionários, bem como analisado e revisado criticamente, em 
intervalos regulares ou quando de eventuais mudanças. E é o sistema de gestão 
de segurança da informação (SGSI) que garantirá a viabilidade e o uso dos 
ativos somente por pessoas autorizadas e que realmente necessitam delas para 
realizar suas funções dentro da empresa (FONTES, 2008).
Para elaborar uma PSI, deve-se levar em consideração a NBR ISO/IEC 
27001:2005, uma norma de códigos de práticas para a gestão de segurança da 
informação, na qual podem ser encontradas as melhores práticas para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em 
uma organização.
A ISO 27001 é uma norma de gestão que define os requisitos para a empresa ter e 
administrar um SGSI certificado. Ela considera os ativos da companhia e as necessidades 
da área de negócio para definir a melhor maneira de administrar o sistema. Com 
isso, todas as responsabilidades são definidas e os objetivos estabelecidos, medidos, 
analisados e auditados internamente.
Entre seus benefícios, estão:
  redução de risco de responsabilidade pela não implementação ou determinação 
de políticas e procedimentos;
  oportunidade de identificar e corrigir pontos fracos;
  a segurança da informação passa a ser responsabilidade da alta gestão da companhia;
  permite uma revisão independente do sistema de gestão da segurança da 
informação;
  garante maior confiabilidade aos parceiros e clientes;
  aumenta a conscientização interna sobre segurança;
  combina recursos com outros sistemas de gestão;
  possibilita medir o sucesso do sistema.
Fonte: Costa (2017, documento on-line).
Basicamente, a PSI é um manual de procedimentos que descreve como os 
recursos de tecnologia da informação (TI) da empresa devem ser protegidos 
e utilizados, representando o pilar da eficácia da segurança da informação. Se 
não existirem regras preestabelecidas, a segurança desejada torna-se inconsis-
tente e inúmeras vulnerabilidades podem surgir. A política tende a estabelecer 
regras e normas de conduta com o objetivo de diminuir a probabilidade da 
ocorrência de incidentes que provoquem a indisponibilidade do serviço, furto 
ou até mesmo a perda de informações. Em geral, as políticas de segurança são 
construídas a partir das necessidades do negócio e eventualmente aperfeiçoadas 
pela experiência do gestor.
Segundo Freitas e Araujo (2008), o intervalo médio utilizado para a revisão 
da política é de 6 meses a 1 ano, porém deve-se realizar uma revisão sempre 
Estrutura de uma política de segurança de informação2
que forem identificados fatos novos, não previstos na versão atual capazes de 
impactar na segurança das informações da organização.
A PSI deve estabelecer como serão acessadas as informações de todas as 
formas possíveis. A política deve especificar os mecanismos pelos quais esses 
requisitos podem ser alocados.
Tem como objetivo manter os pilares da segurança da informação, como:
  confidencialidade — segundo a NBR ISSO/IED 27002:2005, é a ga-
rantia de que a informação é acessível somente para pessoas autorizadas 
a terem acesso;
  integridade — segundo Dantas (2011), a garantia da integridade consiste 
em permitir que a informação não seja modificada ou destruída sem 
autorização, seja legítima e permaneça persistente;
  disponibilidade — segundo a NBR ISSO/IED 27002:2005, trata-se da 
garantia de que os usuários autorizados obtenham acesso à informação 
e aos ativos correspondentes sempre que necessário.
A ISO 27002 estabelece um código de melhores práticas para apoiar a implantação do 
SGSI nas organizações e tem como objetivo estabelecer diretrizes e princípios gerais 
para iniciar, implementar, manter e melhorar a gestão de segurança da informação 
em uma organização.
A ISO/IEC 27002 funciona como um guia completo de implementação, em que 
descreve como os controles devem ser estabelecidos. Tem como base uma avaliação 
dos riscos dos ativos mais importantes da empresa.
São benefícios da aplicação da norma:
  maior controle de ativos e informações estratégicas;
  identificação e correção de pontos fracos do sistema;
  diferencial competitivo para clientes que valorizam a conformidade com normas 
internacionais;
  melhor organização dos processos;
  redução de custos com a prevenção de incidentes de segurança da informação;
  conformidade com a legislação e outras regulamentações.
Fonte: Costa (2017, documento on-line).
3Estrutura de uma política de segurança de informação
Composição básica daa PSI
Conforme Campos (2007), “[...] atualmente, a PSI é adotada em grande parte 
das organizações em todo o mundo, inclusive no Brasil. Mesmo aquelas 
empresas que ainda não têm uma política efetiva reconhecem a necessidade 
de elaborar e implementar uma”. 
Um componente importante de um framework consiste em permitir que 
projetistas definam uma política de segurança, um conjunto de regras bem 
definidas que incluem os seguintes componentes:
  sujeitos — os agentes que interagem com o sistema, que podem ser 
definidos em termos de indivíduos específicos ou de papéis ou cate-
gorias que grupos de indivíduos consigam representar dentro de uma 
organização. Indivíduos podem ser identificados por seus nomes ou 
cargos, como presidente, diretor ou gerente. Grupos podem ser definidos 
usando termos como usuários, administradores, professores, diretores 
e gerentes. Essa categoria também inclui atacantes e visitantes;
  objetos — os recursos de informação e computacionais que uma política 
de segurança deve proteger e administrar. Exemplos de informação 
incluem documentos críticos, arquivos e bancos de dados, e recursos 
computacionais servidores, estações de trabalho e software;
  ações — as coisas que os sujeitos podem ou não fazer com relação aos 
objetos. Exemplos incluem leitura e escrita de documentos, atualização 
de software em um servidor web e acesso aos conteúdos de um banco 
de dados;
  permissões — mapeamentos entre sujeitos, ações e objetos, que esta-
belecem claramente quais tipos de ações são permitidas ou proibidas;
  proteções — as características específicas de segurança ou regras 
incluídas na política para ajudar a atingir determinados objetivos de 
segurança, como confidencialidade, integridade, disponibilidade ou 
anonimato.
Alguns autores da área de segurança da informação, como Freitas e Araujo 
(2008), defendem que se deva formar um comitê de segurança da informação, 
constituído por profissionais de diversos departamentos, como informática, 
jurídico, engenharia, infraestrutura, recursos humanos, etc. No caso, o comitê 
deve ser responsável por divulgar e estabelecer os procedimentos de segurança, 
reunindo-se periodicamente com o objetivo de manter a segurança em todas 
as áreas da organização.
Estruturade uma política de segurança de informação4
A política deve ser escrita de maneira que todos possam entendê-la, desde 
uma pessoa mais leiga até um profissional da área específica. Todos os cola-
boradores precisam receber treinamentos adequados.
Conforme Fontes, para elaborar uma política de segurança e seus regula-
mentos complementares, devemos considerar as seguintes etapas.
  Inicialização do projeto — nessa etapa, descreve-se o projeto e justifica-
-se e declara-se o seu objetivo. Depois, é preciso definir o escopo do 
projeto, limitado em relação à abrangência dos documentos gerados 
e/ou em relação ao detalhamento do texto destes documentos. Nesta 
etapa, é importante que sejam registradas as restrições, isto é, os fatores 
que podem impactar o projeto e impedir a construção do produto final. 
  Definição das premissas assumidas pelo projeto — premissas são fa-
tos, situações ou compromissos tomados como existentes, isto é, que 
acontecerão.
  Desenvolvimento do projeto — deve-se realizar um levantamento do 
que existe na organização ou no grupo de organizações em relação ao 
tema trabalhado para a definição dos regulamentos.
  Desenvolvimento dos regulamentos — com base nos levantamentos e 
nas reuniões de trabalho, o gestor da segurança da informação precisa 
desenvolver os regulamentos. Após a escrita do texto inicial, é necessário 
e conveniente que os participantes das reuniões de trabalho o revisem, 
considerando cada documento. Essa etapa poderá significar não apenas 
uma revisão, mas também várias revisões e novas reuniões de trabalho.
  Concordância dos documentos — todos os documentos gerados devem 
estar em conformidade com o padrão dos documentos de regulamen-
tação da organização. Caso a organização não tenha um padrão, o 
profissional da área de segurança da informação, deverá definir um 
padrão para as políticas e normas de segurança da informação.
  Entrega, comunicação e treinamento do produto — é necessário realizar 
formalmente a entrega do projeto, pois, para regras que legislarão in-
ternamente a organização, é importante a data da implantação de cada 
um dos regulamentos. A partir da data de entrega, as regras valerão 
para todos os usuários da informação da organização. Além disso, é 
necessário que todos saibam das novas regras, incluindo um treinamento 
para repassar as regras.
  Definição dos processos de manutenção e atualização — nessa etapa, 
define-se como acontecerão a manutenção e a atualização das políticas 
e normas de segurança da informação. É necessária uma documentação 
5Estrutura de uma política de segurança de informação
mais detalhada, indicando quem é o responsável pela atualização e em 
que situações específicas deve acontecer uma manutenção. Definidos 
os processos de manutenção e atualização das políticas e das normas de 
segurança da informação, esse projeto pode se encerrar. Evidentemente, 
nesse momento, um novo projeto contínuo começará: o de atualização 
e manutenção dos regulamentos. 
Ainda, segundo Fontes, deve haver alguns blocos de informações com o 
objetivo de melhorar o entendimento da PSI (Figura 1), conforme descrito a 
seguir.
Figura 1. Estrutura de um documento de regulamento em segurança da informação.
Fonte: Fontes (2012).
Escopo
Regras
Responsabilidade
Cumprimento
Definições/glossário
Objetivo/justificativa
  Objetivo do documento — nesse bloco, indicam-se o objetivo do do-
cumento, o que é o documento e o que a organização deseja comunicar 
com esse documento. Além disso, devem ser alinhadas e indicadas a 
aderência desse documento a outros regulamentos, legislação, normas 
e estruturas de tratamento de informações e projetos. Pode-se, também, 
indicar as razões da existência da política ou da norma.
  Escopo do documento — nesse bloco, deve-se indicar os ambientes 
físicos, os ambientes lógicos, os tipos de usuários, as regiões geográficas 
ou outras definições que indicam os limites da aplicação do documento 
e das regras. Esse bloco aponta para quem e para quais ambientes 
organizacionais as regras serão aplicadas e exigidas.
  Definições ou glossário — nesse bloco, deverão estar definidos os 
termos específicos, as abreviaturas, os termos técnicos, os nomes-siglas 
Estrutura de uma política de segurança de informação6
de entidades e áreas organizacionais, etc. No caso de nomenclaturas que 
não sejam de uso comum em vários níveis de usuários, deve haver uma 
explicação para que todos, inclusive os leigos, consigam compreendê-las.
  Regras — nesse bloco, teremos as orientações, as regras e a organiza-
ção deseja que todos os usuários cumpram. Esse bloco é considerado 
a essência do documento. Aqui, a organização indicará o que deve ser 
feito, o que é obrigatório, o que não se pode fazer e os princípios que 
se deseja seguir. O importante é que as regras não deixem dúvidas 
para os usuários.
  Responsabilidades — nesse bloco, devem ser definidas as respon-
sabilidades referentes ao documento, ou seja, indicar o responsável 
pela atualização, a revisão e a manutenção do texto do regulamento; 
pelo treinamento necessário para que os usuários consigam cumprir o 
regulamento; pela divulgação do texto para os usuários; e por outras 
ações necessárias para garantir que o documento será sempre verdadeiro, 
atualizado, passível de cumprir e de conhecimento de todos.
  Cumprimento — nesse bloco, devem estar explícitas as possíveis 
penalidades caso o usuário não cumpra adequadamente as regras des-
critas no regulamento. É preciso, também, indicar o procedimento do 
usuário em caso de erro, dúvidas ou em situações que não estejam 
previstas no documento.
Modelos predefinidos para uma PSI
Segundo Goodrich e Tamassia (2013), um modelo de segurança consiste em 
uma abstração que fornece uma linguagem conceitual para administradores 
especifi carem políticas de segurança. Geralmente, modelos de segurança de-
fi nem possíveis hierarquias de acesso ou direito de modifi cação dos membros 
de uma organização, de modo que sujeitos em uma organização consigam 
facilmente receber direitos específi cos com base na posição desses direitos 
na hierarquia.
7Estrutura de uma política de segurança de informação
Podemos citar como exemplo de direitos específicos com base na posição de direi-
tos e hierarquias as classificações militares de direitos de acesso para documentos, 
fundamentando-se em conceitos como “não confidencial”, “confidencial”, “secreto” 
e “altamente secreto”.
As abstrações do exemplo fornecem aos escritores uma notação abreviada 
para definir direitos de acesso. Sem elas, políticas de segurança seriam muito 
longas. É muito comum, por exemplo, que um gerente tenha todos os mesmos 
direitos de acesso que seus colaboradores e mais alguns. Uma PSI poderia 
descrever isso com detalhes ou simplesmente definir os direitos de um gerente 
em termos de um modelo de segurança que automaticamente inclui os direitos 
dos subordinados em uma lista de gerentes usando uma hierarquia.
Controle de acesso arbitrário e obrigatório
Dois modelos de controle de acesso mais usados são os de controle de acesso 
arbitrário e obrigatório.
O controle de acesso arbitrário (DAC) refere-se a um esquema em que os 
usuários recebem a capacidade de determinar as permissões que governam 
o acesso a seus próprios arquivos. Em geral, usa os conceitos de usuários e 
de grupos e permite que usuários estabeleçam medidas de controle de acesso 
em termos dessas categorias. Além disso, possibilita que um usuário conceda 
a outros o mesmo privilégio sobre recursos. A maioria dos softwares adota 
alguma variante do esquema DAC para controle de acesso a seus recursos.
Tanto o sistema operacional Linux quanto o Windows possibilitam que o usuário 
especifique permissões de arquivo e diretório por meio de listas de controle de acesso. 
Essas permissões afetam os direitos que outros usuários têm em relação a esses arquivos.
Estrutura de uma política de segurança de informação8
O controle de acesso obrigatório é um esquemamais restritivo, que não 
possibilita que um usuário defina permissões sobre arquivos, qualquer que 
seja o proprietário. Nesse caso, as decisões são tomadas por um administrador 
central de política. Cada regra de segurança consiste em: um sujeito, que 
representa a parte que tenta obter acesso; um objeto, que se refere ao recurso 
sendo acessado; e uma série de permissões que definem a extensão em que 
esse recurso pode ser acessado.
O Security-Enhanced Linux (SELinux) incorpora controle de acesso obrigatório como 
um meio de definir explicitamente as permissões para minimizar problemas de abuso 
e configuração inadequada. Modelos de controle de acesso obrigatório tentam evitar 
a transferência de informação não permitida pelas regras.
Gerência de confiança 
Um sistema de gerenciamento de confi ança é um framework formal para 
especifi car uma política de segurança em uma linguagem precisa, com um 
mecanismo para assegurar o cumprimento da política especifi cada. Portanto, 
consiste em dois componentes principais: uma linguagem de política e um 
verifi cador de conformidade. Essa linguagem e os componentes de conformi-
dade geralmente envolvem regras que descrevem quatro conceitos:
KeyNote
O sistema KeyNote é uma linguagem que especifi ca termos de política de 
segurança da informação. Além de implementar os termos defi nidos, defi ne 
uma aplicação como um programa ou sistemas que usam KeyNote. Um valor 
de conformidade política (PCV) refere-se à resposta emitida pelo sistema em 
questão. Para a requisição de um principal para realizar alguma ação, indica 
se a ação requisitada está de acordo com as políticas existentes. 
Para usar o KeyNote, uma aplicação consulta o sistema quando um prin-
cipal requisita uma ação, incluindo na consulta as políticas adequadas e as 
credenciais. A ação é descrita usando um conjunto de pares atributo-valor, 
9Estrutura de uma política de segurança de informação
conhecidos como conjuntos de atributos da ação que ilustra as implicações de 
segurança dessa ação. Então, o KeyNote responde com um PCV indicando se a 
ação deve ser permitida ou não, e a aplicação se comporta de acordo com essa 
questão. Em suma, o KeyNote interpreta se uma dada ação deve ser permitida 
ou não de acordo com as políticas fornecidas, sendo de responsabilidade da 
aplicação invocar um KeyNote adequadamente e interpretar corretamente suas 
respostas. A seguir, veja um exemplo de sistema de gerência de confiança.
Alice tem credenciais válidas suficientes para a ação requisitada, em relação às políticas 
especificadas, mas Bob não (Figura 2).
Figura 2. Sistema de gerência de confiança.
Fonte: Goodrich e Tamassia (2013).
Principais
Verificador de
 conformidade
Credenciais
Bob
Alice
Ações
Ler
Escrever
Executar
Delegar
Transacionar
Reportar
Divulgar
...
Políticas
Estrutura de uma política de segurança de informação10
XACML
A linguagem XACML (Extensible Access Control Markup Language) foi 
divulgada em 2009. A XACML alavanca a linguagem XML (Extensible 
Markup Language) para defi nir políticas de segurança descrevendo como 
estas devem ser cumpridas. Assim como o KeyNote, XACML inclui todas as 
características tradicionais de gerência de confi ança: um principal é chamado 
de sujeito, o qual pode requisitar a realização de ações sobre um recurso. 
Um ponto de administração de política gerencia políticas de segurança; um 
ponto de decisão de política é responsável pela emissão de autorizações, de 
forma análoga à de emissão de PCV em KeyNote; um ponto de cumprimento 
de política requisita acesso como representando de um principal e se comporta 
de acordo com a resposta PDP; e um ponto de informação de política fornece 
informação adicional relacionada à segurança. A XACML também inclui uma 
abordagem para delegação que permite às partes conceder direitos a outras partes 
sem um administrador central de política. Isso é possível porque os direitos de 
delegar privilégios são mantidos independentemente dos direitos de acesso.
CAMPOS, A. Sistemas de segurança da informação. 2. ed. Florianópolis: Visual Books, 2007.
COSTA, S. O que são ISO 27001 e 27002 e como elas podem ajudar a sua empresa? Any 
Consulting, 2 mar. 2017. Disponível em: <https://www.anyconsulting.com.br/o-que-
sao-iso-27001-e-iso-27002/>. Acesso em: 30 nov. 2018.
DANTAS, M. Segurança da informação: uma abordagem focada em gestão de riscos. 
Olinda: Livro Rápido, 2011.
FONTES, E. Políticas e normas para segurança da informação. Rio de Janeiro: Brasport, 2012.
FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008.
FREITAS, F.; ARAUJO, M. Políticas de segurança da informação: guia prático para elaboração 
e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2008.
GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. Porto Alegre: 
Bookman, 2013.
Leitura recomendada
OLIVEIRA, W. J. Dossiê hacker. São Paulo: Digerati Books, 2006. 
11Estrutura de uma política de segurança de informação
Conteúdo: