PPTCap3Politicasecontramedidas

Prévia do material em texto

30/7/2010
1
Professor - Ricardo Leocádio
1Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Políticas de Segurança da 
Informação
• Neste capítulo iremos ver o conceito 
sobre as políticas de segurança da 
informação, importância e relação com o 
negocio .
Objetivos
• Apostila de acompanhamento da 
disciplina, das páginas 33 a 42
Documentos
Professor - Ricardo Leocádio
2Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
O que é Política de Segurança
Política de segurança é o conjunto de decisões que 
coletivamente determinam a postura de uma organização em 
relação à segurança. Mais precisamente, uma política de 
segurança determina os limites aceitáveis de comportamento e 
as medidas a serem tomadas no caso da sua violação. Uma 
política de segurança basicamente define o que é permitido e o 
que é proibido tanto no acesso aos dados quanto na utilização 
dos serviços oferecidos.
• É um conjunto de critérios e soluções para problemas 
tecnológicos e humanos.
• É o primeiro passo efetivo para resolver qualquer esforço de 
segurança da informação.
• Existe para evitar problemas.
• É o ponto de partida para a implementação das medidas de 
segurança e controles necessários à proteção dos ativos de 
informação. Leitura obrigatória desse conteúdo. 
Página 33
30/7/2010
2
Professor - Ricardo Leocádio
3Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Políticas de segurança, o que fazem
Políticas de 
segurança
Diretrizes
Normas
Procedimentos e 
instruções 
operacionais
Políticas de segurança
Atribuem direitos e 
responsabilidades às pessoas 
responsáveis por lidar com as 
informações da corporação.
É uma hierarquia de documentos 
que abordarão e orientarão as 
ações de implementações 
futuras de negócios, baseados 
em tecnologias, processos e 
pessoas . 
Leitura obrigatória 
desse conteúdo. 
Página 34
Professor - Ricardo Leocádio
4Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 Elaborar Diretrizes e Normas, gerando, desta forma, mecanismos 
tais como procedimentos, padrões e controles, que respaldem e 
orientem os funcionários da instituição, quanto ao tratamento ideal 
a ser dado as informações e os ativos que suportam as mesmas, 
garantindo dessa forma a confidencialidade, integridade e 
disponibilidade das informações da organização.
 As Diretrizes e Normas elaboradas devem estar em conformidade 
com as definições de segurança da NBR/IEC 27002 ou outra 
metodologia escolhida.
Políticas de segurança - Objetivos
30/7/2010
3
Professor - Ricardo Leocádio
5Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Políticas de segurança - Objetivos
Professor - Ricardo Leocádio
6Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
• Obter sucesso na proteção de seus ativos.
• Obter conformidade legal
• Adquirir "domínio tecnológico da segurança", sendo capaz de 
estabelecer regras para especificar, projetar e padronizar 
produtos e rotinas, além de assegurar de que o que está sendo 
executado pelas pessoas corresponde ao que está registrado 
(treinamento e auditoria), e
• Assegurar os objetivos da segurança quanto à monitoração e 
ao gerenciamento.
• Obter comprometimento gerencial
• Permitir o uso mais racional da tecnologia
• Disseminar a cultura de Segurança
• Formalizar processos
• Incrementar o nível de segurança do ambiente
Políticas de segurança – Valor agregado
30/7/2010
4
Professor - Ricardo Leocádio
7Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Diretrizes
Normas Gerais
e 
Normas Específicas
Procedimentos
e
Instruções de Trabalho
•Regras de alto nível
•Poucas mudanças
• Vinculadas a:
•Estrutura 
organizacional
•Processos
•Tecnologia
• Algumas mudanças
•Etapas operacionais
para alcançar uma meta
•Muitas mudanças
Políticas de segurança - Estrutura
Professor - Ricardo Leocádio
8Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Diretrizes: São regras de alto nível que devem ser seguidas, para
que o principal patrimônio - a informação - tenha o nível de
segurança exigido.
Normas: São descrições gerais do que fazer para se cumprir a
política. Podem ser separadas por ambiente operacional e
direcionadas para gestores e usuários.
Procedimentos e Instruções: São instruções de como
operacionalizar as normas, padronizando as ações e orientando a
cada um o que fazer.
Diretrizes, Normas, Procedimentos e Instruções
30/7/2010
5
Professor - Ricardo Leocádio
9Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Diretrizes, Normas, Procedimentos e Instruções
Leitura obrigatória 
desse conteúdo. 
Página 35
Professor - Ricardo Leocádio
10Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Políticas de segurança - Diretrizes
Uma Diretriz é tipicamente um documento que 
descreve requerimentos específicos ou regras que 
devem ser seguidas. 
Por exemplo, uma Diretriz de uso de recursos 
computacionais deveria cobrir as regulamentações 
necessárias para uso apropriado de recursos de 
tecnologia da informação e suas facilidades. 
30/7/2010
6
Professor - Ricardo Leocádio
11Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Diretrizes (exemplo)
• Os funcionários devem ter acesso físico e lógico liberado 
somente aos locais e recursos necessários ao desempenho de 
suas atividades e de conformidade com os interesses da 
empresa.
• Somente é permitido o uso de recursos homologados, 
protegidos, inventariados e autorizados pela empresa.
Professor - Ricardo Leocádio
12Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Políticas de segurança - Normas
Uma Norma é tipicamente uma coleção sistematizada de
procedimentos específicos ou requerimentos que devem ser
seguidos por quaisquer indivíduos numa organização.
Abordam os detalhes das diretrizes. São descrições ou
indicações de uma conduta aceitável para estabelecimento
de melhores práticas. As normas devem conter as punições
aplicáveis em caso de desobediência às condutas aceitáveis.
30/7/2010
7
Professor - Ricardo Leocádio
13Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Políticas de segurança - Normas
• Podem ser elaboradas para cada ambiente existente e 
direcionadas para dois públicos:
– Normas para quem cuida
– Normas para quem usa
• Na elaboração as regras devem ser numeradas de forma 
concatenada (1., 1.1, 1.1.1, etc) para facilitar a pesquisa.
Professor - Ricardo Leocádio
14Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Normas (Exemplo: SEGURANÇA LÓGICA)
Técnicos (Quem cuida)
1 – Segurança Lógica
1.1 Acesso Remoto
1.1.1 - O acesso remoto deve ser controlado e registrado em 
arquivo de log
Usuários (Quem usa)
1 – Segurança Lógica
1.1 Acesso Remoto
1.1.1 - A liberação do uso de aplicações remotas e
transmissões de dados, só será efetivada após aprovação do
Gestor da Informação, com prévio conhecimento da Diretoria de
Informática.
30/7/2010
8
Professor - Ricardo Leocádio
15Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Procedimentos ou instruções operacionais
Os Procedimentos são tipicamente recomendações de
como fazer. Eles existem para que todos possam cumprir
aquilo que foi estabelecido nas diretrizes e para que
administradores de sistemas possam configurar seus
sistemas de acordo com as necessidades do negócio.
Por exemplo, deve haver um procedimento específico que
descreva como e quais os requisitos necessários para
implementar e proteger um sistema Windows num
segmento específico de rede. Profissionais incumbidos desta
tarefa deverão seguir estritamente o que rege este
documento no momento da instalação de um sistema
Windows na Internet, por exemplo.
Professor - Ricardo Leocádio
16Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Procedimentosou instruções 
Operacionais
• Traduzem ações em situações interdepartamentais e/ou 
inter-pessoais.
• Seus objetivos são unificar (será sempre feito da mesma 
forma) e clarear (cada um sabe o que fazer).
• Pode ser baseado no método 5W1H (who, what, where, 
when, why, how).
30/7/2010
9
Professor - Ricardo Leocádio
17Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Diretrizes
Normas
Procedimentos
Instruções
Estratégico
“poucas mudanças”
•Mandatória (“cumpra-se”)
•Regras de alto nível
•Definem o curso de ação
Tático
“Algumas mudanças”
Dependem de:
•Estrutura organizacional
•Processos
•Tecnologia
Operacional
“muitas mudanças”
Etapas operacionais
para alcançar uma meta.
Professor - Ricardo Leocádio
18Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Uso da Política
Usada como referência 
para:
– Definir controle em 
aplicativos
– Estabelecer direitos de 
acesso
– Realizar análise de 
riscos
– Conduzir investigação 
de crimes por 
computador
– Disciplinar usuários 
sobre violações de 
segurança
Como causa impactos, deve 
ser:
– Clara
– Concisa
– De acordo com a 
realidade prática
– Aderente a cultura da 
empresa
– Revisada periodicamente
30/7/2010
10
Professor - Ricardo Leocádio
19Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Segundo ISO/IEC 27002, uma política deve conter:
– Definição de segurança da Informação
– Intenção gerencial
– Definição de responsabilidades
– Explicação sucinta dos princípios, padrões, requerimentos:
• Legislativo e contratual
• Educação de segurança
• Continuidade de negócios
• Conseqüências de violação à política
Professor - Ricardo Leocádio
20Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Políticas - Considerações de conteúdo
• Políticas definem comportamentos apropriados
internamente à organização
• Políticas estabelecem o grau de necessidades de uma
organização quanto à ferramentas e procedimentos
necessários para chegar ao grau de proteção necessário
• Políticas definem e comunicam consenso interno
• Políticas estabelecem base para ações de correção e
resposta a comportamentos inadequados
30/7/2010
11
Professor - Ricardo Leocádio
21Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Políticas - Considerações de conteúdo
• Deve tratar aspectos humanos, culturais e tecnológicos
• Deve ser desenvolvida em conjunto com os usuários
• Ela é sempre “Taylor Made”, ou seja particular para cada 
contexto
• Deve-se considerar sua aplicação levando em consideração as 
tecnologias disponíveis para a proteção dos recursos ou 
informações a serem protegidos
• Deve ser tratado o grau de confiança que a corporação está 
disposta a ter com seus pares
Professor - Ricardo Leocádio
22Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Políticas - Considerações de impacto
• Pessoas vêem políticas como um fator complicador de produtividade e 
como medidas de controle de comportamento.
• Pessoas tem diferentes visões acerca da necessidade de controles de 
segurança.
• Políticas afetam todos na organização.
• Pessoas temem que as políticas sejam difíceis de seguir.
30/7/2010
12
Professor - Ricardo Leocádio
23Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
• O apoio à Política de Segurança da Informação é um aspecto 
fundamental. Deve existir o comprometimento da alta 
direção para que as regras façam efeito na rotina diária.
• Deve ser feito um documento - denominada de Carta do 
Presidente - onde a alta administração se compromete com 
a Segurança da Informação e solicita que os empregados e 
prestadores de serviço a executem.
Professor - Ricardo Leocádio
24Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Dez Principais Preocupações na Elaboração da 
Política de Segurança 
1. Estar de acordo com a Cultura Organizacional da Empresa
2. Saber exatamente o que deve ser protegido
3. Quais os riscos em que os ativos estejam vulneráveis
4. Elaborar um documento único que irá nortear toda a 
Política
5. Indicar uma área ou uma pessoa que será responsável 
pela elaboração deste documento
30/7/2010
13
Professor - Ricardo Leocádio
25Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Dez Principais Preocupações na Elaboração da 
Política de Segurança 
6. Indicar a periodicidade da Política de Segurança
7. Quais as responsabilidades de cada um na empresa, 
quanto a Política de Segurança
8. Relação de Custo/Benefício da Política de Segurança
9. Elaborar uma Campanha de Divulgação da Política, 
conscientizando e treinando cada usuário
10. Ter um bom relacionamento com os usuários da empresa.
Professor - Ricardo Leocádio
26Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
• Para uma política ser implementada, ela necessita ser aceita 
pelas autoridades competentes da organização. No melhor 
caso, pode ser frustrante a tentativa de implementar uma 
política de segurança se os gerentes e diretores não se 
identificarem e reconhecerem os benefícios desta política.
• Entender que a responsabilidade pela Segurança é de todos de 
forma indistinta;
• Disseminar e garantir o envolvimento de todos subordinados;
• Eliminar as resistências internas, na elaboração e aplicação das 
políticas e procedimentos;
• Fomentar sempre entre os pares, a necessidade das auditorias 
como uma oportunidade de aprimoramento;
• Estabelecer avaliações internas permanentes;
• Encaminhar voluntariamente contribuições para 
aprimoramento dos processos;
• Estabelecer a cumplicidade plena.
Postura do corpo Gerencial frente 
à Política
30/7/2010
14
Professor - Ricardo Leocádio
27Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Antes de elaborar a Política
• Definir a informação ou recursos a serem protegidos
• Especificar as ameaças às quais os recursos estão sujeitos
• Especificar as vulnerabilidades que podem ser exploradas pelas 
ameaças
• Definir abrangência e escopo de atuação
• Definir quem tem autoridade para sancionar, implementar e fiscalizar o 
cumprimento da Política
• Definir meios de distribuição e forma de divulgação 
• Definir freqüência de revisão
Professor - Ricardo Leocádio
28Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Dicas na elaboração
• Políticas devem ser de uso fácil por todos os afetados
– Exatidão, clareza e concisão no texto
– Frases curtas
– Optar pela simplicidade
– Evitar informação irrelevante
• Políticas devem ser fáceis de ser encontradas e consultadas 
no dia-a-dia.
• Detalhar o que afeta o dia-a-dia do leitor
• O texto deve formar uma cadeia lógica
• O texto deve fluir, não avançar aos arrancos.
30/7/2010
15
Professor - Ricardo Leocádio
29Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
A prática
• A consistência é a chave do sucesso da política. Ela
assegura que os usuários não irão considerar a política
ilógica ou irracional. A idéia central da sua política de
segurança deve refletir o ponto de vista da sua organização
em relação ao que são práticas aceitáveis de segurança no
âmbito geral da organização.
• As discussões sobre política de segurança tendem a ser um
assunto dirigido. Estabelecer um foco principal é a maneira
mais fácil de identificar – e esclarecer – cada ponto que se
deseje abordar. Em alguns casos pode ser aceitável dizer
simplesmente: "não é permitido utilizar a Internet para fins
que não tenham relação com trabalho…", aqueles que
necessitam aderir à política necessitam saber o que "não
relativo a trabalho" realmente significa.
Professor - Ricardo Leocádio
30Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Impacto nos controles
• Um ponto importante que deve estar alinhado com o produto 
final da política são os controles e métricas necessários à sua 
implementação e gestão. Este impacto podeser forte na TI 
dependendo do grau de implementação dos controles em cada 
empresa e uma avaliação de impactos deve ser feita antes da 
implantação definitiva das políticas.
• Talvez seja necessário implantá-la aos poucos a medidas que 
amadurecem os controles e métricas necessárias para sua 
gestão.
• Para que a política de segurança receba os seus méritos ela 
precisa ser implementada. Diretivas como: "cada usuário da 
rede deve trocar a sua senha a cada 90 dias" não terá efeito até 
que o sistema operacional seja configurado para expirar e 
bloquear as contas que excedam o limite estabelecido.
30/7/2010
16
Professor - Ricardo Leocádio
31Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Impacto nos controles
• Em uma política de segurança podem ser definidos 
comportamentos que não podem ser verificados quanto ao seu 
cumprimento. Criar diretiva como esta, embora seja um ato 
legal, se ele não puder ser implementado, deve ser evitado. 
• Os usuários da rede não devem ficar com a impressão de que 
nada lhes acontecerá se ignorarem a política de segurança por 
falta de verificação do seu cumprimento pelo organismo 
responsável. 
• Se não houver verificação não há como saber se a política está 
ou não sendo cumprida. Por exemplo, se não houver guardas 
de trânsito para fiscalizar as rodovias, quantos de nós 
respeitariam os limites de velocidade ?
Professor - Ricardo Leocádio
32Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Impacto nos controles
• A incompatibilidade com algumas das diretivas da política de
segurança por parte dos funcionários pode levar a um "efeito
dominó", onde os empregados podem simplesmente ignorar a
existência da política de segurança. Caso seja a primeira vez que
você esta implementando uma política de segurança, você deve
tomar especial cuidado com as batalhas que escolhe travar. Ou seja,
você não necessita verificar 100% do tempo o cumprimento da
política – mas deve se certificar que tem a sua disposição os
métodos para reportar e monitorar a implementação da política de
segurança para saber se ela está sendo cumprida.
• Algumas vezes não é suficiente monitorar ativamente todos os
aspectos relativos ao cumprimento da política. Tomar cuidados para
disseminar tais informações também é um ponto importante. Por
exemplo, uma política de segurança é tipicamente considerada
privada, por somente afetar aquela determinada instituição.
Contudo, ela pode muitas vezes afetar indivíduos fora da
organização. Estes pontos da política devem ser tornados públicos,
de forma a assegurar o seu cumprimento. Indivíduos e empresas
como: fornecedores, clientes e empresas terceirizadas ou
contratadas para uma tarefa específica fazem parte desta categoria.
30/7/2010
17
Professor - Ricardo Leocádio
33Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Exemplos de normas para Gestão da 
Segurança
– Diretrizes de Segurança
– Carta do Líder 
– Termo de confidencialidade
– Termo de recebimento e uso de senhas
– Norma para Acesso à Internet e e-Mail
– Norma para Gerenciamento da Rede
– Norma para Gerenciamento de Acessos a Usuários
– Norma para Controle de Acessos à Rede, à Sistemas Operacionais
– Norma para Controle de Acessos à Aplicações e Sistemas
– Norma para Gerenciamento de Computação Móvel e Tele-trabalho
– Norma para Auditoria de Sistemas
– Norma para uso e descarte de informações e mídias
– Normas para acessos físicos à áreas críticas
Professor - Ricardo Leocádio
34Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Exemplo de normas 
para Técnicos
– Norma Geral para Técnicos
– Norma para Administração de Servidores Windows
– Norma para Administração de Servidores Unix
– Norma para Administração de Roteadores
– Norma para Administração de Switches
– Norma para Administração de Firewall
– Norma para Administração de Estações de Trabalho
– Norma para Controle de Informação em Mídias
– Norma para Administração da Infra-estrutura
– Norma para Administração de Banco de Dados
30/7/2010
18
Professor - Ricardo Leocádio
35Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
• Iniciar a política sem apoiadores nas altas esferas da
organização.
• Falha no alinhamento da política com os objetivos de controles
do negócio e com os controles específicos na TI. Deve-se
Alinhar a elaboração das políticas ao negócio, à TI e aos
usuário através da criação de um grupo multidisciplinar no
projeto.
• Ausência de divulgação, comunicação e treinamento aos
usuários
• Falha na adoção de políticas no início de projetos. A partir do
seu estabelecimento, as políticas devem fazer parte da rotina
de projetos de TI e impactos devem ser mensurados sempre.
Em novas implantações os principais usuários afetados pelas
políticas devem ser comunicados.
• Ineficiência na gestão das políticas. Ausência de métricas e
falta de validação da política ao seu objetivo.
Políticas - Erros comuns
Professor - Ricardo Leocádio
36Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
As métricas da Política são os indicadores de desempenho
da utilização destas e precisam ser especificadas no seu
planejamento para que tenhamos uma forma de avaliar se
os objetivos de controle estão sendo cumpridos e se os
controles estão aderentes ao que se planejou.
São utilizadas para definir metas a serem alcançadas e
avaliarmos medidas a serem adotadas em caso de não
conformidade. Muitas vezes em virtude dos resultados
obtidos com estas métricas, precisaremos flexibilização ou
tornar mais rígida a política.
Métricas da Política
30/7/2010
19
Professor - Ricardo Leocádio
37Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Métricas da Política
Os resultados da efetividade das políticas são melhor avaliados
quando as métricas são extraídas de processos automatizados de
controle. Com eles as organizações garantem um processo
repetitivo e menos sujeito a erros. A automação destes processos
deve ser feito preferencialmente via ferramentas que traduzem
menor possibilidade de erros humanos no trato dos indicadores de
segurança.
Exemplo: A política é a regra do jogo. Se a regra do jogo cita a
necessidade de um árbitro, ele é necessário.
Se não houver um árbitro, vira bagunça. A necessidade do árbitro
é um objetivo de controle da política, o árbitro é o controle.
O resultado da atuação do árbitro é a métrica. A métrica define a
necessidade ou não de mudança no controle e este deve indicar
as punições necessárias em caso de descumprimento.
Professor - Ricardo Leocádio
38Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Acompanhamento e gestão
• Cultura
– O treinamento de todas as pessoas deve ser constante, de
tal forma a atualizar as pessoas da empresa nos conceitos
e normas da segurança, bem como sedimentar a
consciência da segurança na cabeça das pessoas.
• Recursos
– Humanos, financeiros e ferramentas de automação. Parte
da segurança pode ser automatizada ou melhor controlada
com ferramentas específicas, tais como backup obrigatório
programado, controle de acesso com log de execução, etc.
30/7/2010
20
Professor - Ricardo Leocádio
39Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Acompanhamento e gestão
• Administração
– A implementação da Política de Segurança deve ser
constantemente monitorada.
– É necessário efetuar um ciclo de manutenção para
acertos na padronização decorrentes de problemas
encontrados, reclamações de funcionários ou resultados de
auditoria.
– É necessário efetuar um ciclo de melhorias para adaptar
a segurança às novas tecnologias, às mudanças
administrativas e ao aparecimento de novas ameaças.
Professor - Ricardo Leocádio
40Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Uso aceitável de E-mail
• Exponha com clareza as implicações legais do uso não 
permitido do e-Mail
• Não devem haver exceções quanto ao usoaceitável. Se for 
necessário deixe claro quem está fora destas regras.
• Perdas de funcionalidades soam como restrição pessoal. A 
comunicação é primordial antes da implementação de 
qualquer limitação.
• Todos devem atestar seu “De acordo” com as normas de uso 
aceitável.
30/7/2010
21
Professor - Ricardo Leocádio
41Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Ter somente a 
Política de 
Segurança 
escrita não 
funciona!
Tem que haver 
compromisso de 
todos os 
funcionários