6 ISI Politicas de Seguranca da Informacao_AECIO

Prévia do material em texto

Políticas de Segurança da Informação
Aécio Costa
Políticas de Segurança da Informação
A segurança da informação é obtida a partir da
implementação de um conjunto de controles adequados, incluindo
políticas, processos, procedimentos, estruturas organizacionais e
funções de software e hardware.
Os Controles necessitam ser:
 Estabelecidos
 Implementados
 Monitorados
 Analisados
Políticas de Segurança da Informação
A Gestão de Segurança da Informação requer a
criação de uma política (que deve ser documentada).
E o que é a política de segurança da informação?
Políticas de Segurança da Informação
A política de segurança da informação nada mais é que
um conjunto de práticas e controles adequados, formada por
diretrizes, normas e procedimentos, com objetivo de minimizar
os riscos com perdas e violações de qualquer bem.
Políticas de Segurança da Informação
Outra definição:
Uma política de segurança é a expressão formal das
regras pelas quais é fornecido o acesso aos recursos
tecnológicos da organização.
Políticas de Segurança da Informação
Política de SI são:
 Normas, procedimentos, ferramentas e responsabilidades às
pessoas que lidam com essa informação;
 Formalmente documentos que ditam quais são as regras aplicadas
dentro da empresa para uso de recursos tecnológicos e descarte de
informações.
Políticas de Segurança da Informação
Objetivos de uma Política de Segurança da Informação
Proteção do conhecimento e da infraestrutura, a fim de atender:
-Requisitos legais
-Viabilizar os serviços prestados 
-Evitar ou reduzir os riscos e ameaças
-Orientar e estabelecer diretrizes para a proteção dos ativos de
informação, prevenção de ameaças e a conscientização da
responsabilidade dos funcionários.
Políticas de Segurança da Informação
Com a implantação de uma Política temos:
 Redução da probabilidade de ocorrência de quebra da
confidencialidade, da integridade e da disponibilidade da
informação
 Redução de danos causados por eventuais ocorrências;
 Não reincidências.
Usada tanto para prevenir problemas legais como para documentar a
aderência ao processo de controle de qualidade.
Políticas de Segurança da Informação
The International Organization for Standardization (ISO)
Instituição internacional com sede na Suíça cuida do
estabelecimento de padrões internacionais de certificação em
diversas áreas.
Políticas de Segurança da Informação
As normas ISO que tratam sobre Gestão de Segurança 
da Informação são:
 ISO 27001
 ISO 27002
 ISO 27003
 ISO 27004
 ISO 27005
Políticas de Segurança da Informação
 ISO 27001
Define os requisitos para a implementação de um SGSI.
 ISO 27002
Define boas práticas para a Gestão da segurança da informação.
 ISO 27003
Guia para implementação de um SGSI.
 ISO 27004
Define métricas e meios de medição para Avaliar a eficácia de um
SGSI.
Políticas de Segurança da Informação
 ISO 27005
Define linhas de orientação para a gestão do risco da segurança da 
informação.
Políticas de Segurança da Informação
Sistema de Gestão da Segurança Informação (SGSI)
É uma parte do sistema global de gestão, baseado numa
abordagem de risco que permite definir, implementar, operacionalizar,
monitorizar, manter e melhorar a segurança da Informação segundo a
norma.
Políticas de Segurança da Informação
O Sistema de gestão SGSI, é baseado numa
aproximação sistemática dos riscos inerentes aos negócios.
Trata-se de uma abordagem à segurança da informação, numa perspectiva 
organizacional.
PDCA
Políticas de Segurança da Informação
PDCA (Plan, Do, Check, Act)
é uma ferramenta gerencial que possibilita a melhoria
contínua de processos e a solução de problemas.
Políticas de Segurança da Informação
PDCA
-PLAN (PLANEJAR)
Estabelecimento de políticas, objectivos, processos e
procedimentos relevantes para a administração do risco e para a
melhoria da Segurança da Informação.
Planeja os resultados de acordo com a estratégia da organização.
-DO (FAZER/IMPLEMENTAR/OPERAR) 
Implementação e operacionalização das políticas de controlo,
processos e procedimentos do Sistema.
Políticas de Segurança da Informação
PDCA
-CHECK (VERIFICAR/MONITORIZAR/REVER)
Inspecção da performance dos processos em comparação
com as políticas e objectivos de um SGSI. Estes resultados devem ser
reportados à gestão para análise.
-ACT (AGIR/MANTER/OPTIMIZAR) 
Tomada de acções correctivas e preventivas, baseadas nos
resultados das auditorias internas do SGSI e demais informações
provenientes da gestão ou demais fontes relevantes.
Políticas de Segurança da Informação
Análise e avaliação de riscos
A Gestão dos riscos é um dos aspectos chave da norma
ISO/IEC 27001, uma avaliação dos riscos é uma das exigências
desta norma.
Políticas de Segurança da Informação
Como resultado da avaliação de riscos, deve ser feita
uma lista dos riscos identificados, classificados em ordem de
gravidade para posteriormente serem tomadas medidas.
E como trata-se os riscos?
Políticas de Segurança da Informação
 Aplicar medidas de segurança: escolher as medidas mais apropriadas para 
reduzir o custo;
 Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que 
este atenta à política de segurança da organização;
 Evitar o risco: não permitir acções que possam sequer causar a ocorrência 
de riscos;
 Transferir o risco: transferir os riscos associados para outras partes, por 
exemplo, seguradoras ou fornecedores.
Estas medidas são definidas pela norma ISO/IEC 27002, que dá suporte ao
desenvolvimento de planos de segurança e orienta de melhor forma a Gestão da
Segurança da Informação.
Políticas de Segurança da Informação
ISO 27001
A norma tem como principio geral a adopção pela
organização de um conjunto de requisitos, processos e
controlos com o objectivo de mitigarem e gerirem
adequadamente o risco da organização.
Políticas de Segurança da Informação
ISO 27001
É uma abordagem 360º à Segurança da Informação.
Trata-se múltiplos temas tais como:
 Segurança Aplicacional
 Protecção do meio físico
 Recursos humanos
 Continuidade de negócio
 Licenciamento
 Etc.
Políticas de Segurança da Informação
ISO 27001
É independente de fabricantes porque se destina ao
estabelecimento de processos e procedimentos que depois
podem ser materializados à realidade de cada organização de
forma diferente e com a especificidade de cada ambiente
tecnológico e organizacional.
Políticas de Segurança da Informação
Políticas de Segurança da Informação
ISO 27001 - Seção 0 – Introdução
A norma sugere a adoção de uma abordagem de processo
para um SGSI, ou seja, que a organização deve identificar e gerenciar
os processos envolvidos em um Sistema de Gestão de Segurança da
Informação, bem como reconhecer suas interações.
Políticas de Segurança da Informação
ISO 27001 - Seção 1 – Objetivo
Especificar requisitos para o estabelecimento, implementação,
operação, monitoração, análise crítica, manutenção e melhoria de um
Sistema de Gestão de Segurança da Informação (SGSI).
Os requisitos são genéricos de maneira a permitir que sejam
aplicáveis a quaisquer organizações.
Independentemente do tipo, tamanho e natureza.
Políticas de Segurança da Informação
ISO 27001 - Seção 2 – Referência Normativa
Referência da norma ABNT NBR ISO/IEC 17799:2005
Políticas de Segurança da Informação
ISO 27001 – Seção 3 – Termos e Definições 
São especificados termos e definições tais como:
 impacto 
 riscos de segurança da informação 
 ação de evitar o risco
 estimativa de riscos
 identificação de riscos
 redução do risco
Políticas de Segurança da Informação
ISO 27001 – Seção 4 - Sistema de Gestão de Segurançada Informação
Nesta seção é estruturado todos os processos envolvidos
utilizando o ciclo PDCA.
Políticas de Segurança da Informação
Estabelecer SGSI (Plan)
Compreende toda a preparação necessária para a
implementação do SGSI na organização.
 Definir o escopo (abrangência) do SGSI
Considera-se as características do negócio, a organização, sua
localização, ativos e tecnologia. Exclusões de escopo deverão ser
justificadas, se houver;
 Definir uma Política de SGSI
Deve conter princípios para ações relacionadas à Segurança da
Informação, sendo aprovada pela direção;
Políticas de Segurança da Informação
 Definir uma metodologia para identificação, análise e
avaliação de riscos, bem como a definição de opções de
tratamento desses riscos.
 Requisitos identificados para o negócio;
 identificação de ativos;
 Ameaças, vulnerabilidades e impactos desses riscos aos ativos;
 critérios e níveis para aceitação de riscos (considera-se os impactos 
para o negócio);
 Avaliação da probabilidade real da ocorrência;
 Estimativa de níveis de riscos e se esses riscos serão aceitos ou se 
será necessário tratá-los.
Políticas de Segurança da Informação
 Selecionar objetivos de controle e quais controles serão 
utilizados para tratar os riscos.
Sugestão como ponto de partida controles derivados da norma
ABNT NBR ISO/IEC 27002.
 Obter aprovação da direção dos riscos propostos, bem
como da autorização para implementar e operar o SGSI.
 Preparar a Declaração de Aplicabilidade.
Fornece um resumo das decisões relativas ao tratamento de riscos
(lista dos objetivos de controle e controles selecionados e atualmente
implementados, bem como quaisquer um deles que tenha sido excluído,
devidamente justificado).
Políticas de Segurança da Informação
Implementar e Operar SGSI (Do)
Compreende o funcionamento do SGSI na organização.
 Elaborar e implementar um plano de tratamento de riscos
Identificação da ação apropriada, recursos, responsabilidades 
e prioridades para a gestão de riscos de segurança;
 Implementar controles selecionados anteriormente para 
atender aos objetivos de controle;
Políticas de Segurança da Informação
 Definir a medição da eficácia dos controles, bem como
como as medidas que devem ser utilizadas para avaliação da
eficácia;
 Implementar programas de conscientização e treinamento;
 Gerenciar operações e recursos para o SGSI;
 Implementar procedimentos e outros controles para detectar
e responder prontamente a incidentes de segurança da
informação.
Incidente de segurança
Qualquer evento ou fato que ponha em risco a integridade, disponibilidade ou 
confidencialidade de determinadas informações. Exemplos: infecção de computadores por 
vírus, queima de um HD (disco rígido) que contém informações importantes e que não 
foram copiadas para outra mídia, enchentes e alagamentos, incêndios, corrupção de 
arquivos críticos.
Políticas de Segurança da Informação
Monitorar e Analisar Criticamente SGSI (Check)
É através desta fase que são verificados o desempenho
e a eficácia do SGSI na organização.
Executar procedimentos de monitoração e análise crítica para:
 Detectar erros;
 Tentativas, violações de segurança e incidentes.
Possibilitar à direção verificar se as atividades designadas a
pessoas ou implementadas via tecnologia são executadas conforme
esperado;
Verificar se as ações tomadas para solucionar violações foram
eficazes;
Políticas de Segurança da Informação
 Realizar regularmente análises críticas da eficácia do SGSI,
considerando-se resultados das auditorias de SGSI, incidentes,
resultados das medições de eficácia, sugestões, etc.;
 Medir a eficácia dos controles;
 Realizar análise crítica periódica das avaliações de riscos para
verificar e considerar mudanças ocorridas ao longo do tempo;
 Realizar auditorias internas periódicas do SGSI;
 Realizar periodicamente a análise crítica do SGSI pela direção;
 Atualizar planos de segurança conforme resultados obtidos na
monitoração e análise crítica;
 Registrar eventos e ações que possam impactar na eficácia ou
no desempenho do SGSI.
Políticas de Segurança da Informação
Manter e melhorar SGSI (Act)
Esta fase foca na manutenção e no aprimoramento
contínuo do SGSI da organização.
Políticas de Segurança da Informação
 Implementar melhorias identificadas no SGSI;
 Executar ações preventivas e corretivas aplicando-se as
lições aprendidas de outras organizações e/ou advindas da
própria experiência organizacional;
 Comunicar ações e melhorias para as partes
interessadas;
 Garantir que as melhorias realmente estejam atingindo
os objetivos pretendidos.
Políticas de Segurança da Informação
 Requisitos de Documentação
Procedimentos documentados e controles, incluindo aqueles
relacionados ao planejamento, à operação e ao controle dos processos
de segurança da informação;
 Controle de Documentos
Assegurar que as alterações e as versões dos documentos
sejam identificadas e estejam disponíveis quando necessárias;
 Controle de Registros
Elementos utilizados para evidenciar a conformidade aos
requisitos e a eficácia da operação de um SGSI.
Políticas de Segurança da Informação
ISO 27001 – Seção 5 - Responsabilidades da Direção
 Estabelecimento da política do SGSI;
 Garantindo de que os planos e os objetivos do SGSI são 
estabelecidos;
 Definindo papéis e responsabilidades pela segurança da 
informação foram estabelecidos;
 Comunicando a organização informando a importância do 
atendimento dos objetivos de segurança da informação;
 Provendo recursos suficientes para o SGSI;
 Definindo critérios para aceitação de riscos e dos níveis de 
riscos aceitáveis;
 Garantindo a execução das auditorias internas e da realização 
de análises críticas pela Direção.
Políticas de Segurança da Informação
Gestão de Recursos
 É dever da organização prover recursos para o
estabelecimento, implementação, operação, monitoração,
análise crítica, manutenção e melhoria de um SGSI.
 Assegurar que as pessoas têm as competências necessárias
para executar atividades relacionadas à segurança da
informação.
 Contratação de pessoal capacitado
 Fornecendo treinamentos
Registrar a educação, o treinamento, as habilidades, as experiências e 
a qualificação do pessoal.
Políticas de Segurança da Informação
ISO 27001 – Seção 6 - Auditorias Internas do SGSI
Planejamento de auditorias internas para determinar se
objetivos de controle, os controles, os processos e
procedimentos do SGSI atendem:
 à norma
 à legislação pertinente
São definidos ainda os critérios de auditoria, escopo,
frequência e métodos a serem utilizados.
Políticas de Segurança da Informação
As responsabilidades e os requisitos para planejar e
executar auditorias, relatar resultados e manter registros devem
estar definidos em procedimento documentado.
Políticas de Segurança da Informação
ISO 27001 – Seção 7 - Análise Crítica do SGSI pela 
Direção
O SGSI deve ser analisado criticamente pela Direção em 
intervalos planejados. 
 avaliação de oportunidades para melhoria
 necessidades de mudança do SGSI
Os resultados dessas análises devem ser documentados e os
registros mantidos.
Políticas de Segurança da Informação
Entradas e Saídas da Análise Crítica do SGSI pela Direção. Fonte: ABNT, 2006, p. 11-2.
Políticas de Segurança da Informação
Seção 8 – Melhoria do SGSI
A organização deve continuamente melhorar o SGSI através de:
 Política de segurança da informação
 Resultados das auditorias
 Análises de eventos monitorados
 Análise crítica pela Direção 
 Ações corretivas e preventivas.
Políticas de Segurança da Informação
Requisitos para procedimento documentado de Ação Corretiva e Ação Preventiva. Fonte:ABNT, 2006, p. 12-3.
Políticas de Segurança da Informação
Conclusão
Concebida prevendo sua compatibilidade com as normas ABNT NBR ISO 
9001.
Políticas de Segurança da Informação
Não é aceitável que uma organização que pretenda estar
conforme a norma exclua quaisquer requisitos descritos nas
seções 4 a 8. Porém, é observado que:
Políticas de Segurança da Informação
A regra do jogo da segurança para qualquer organização e pode
abranger, entre outras coisas:
 Padrões para utilização de criptografia 
 Regras para utilização do e-mail e acesso à Internet Normas para utilização 
de programas e equipamentos
 Procedimentos para guarda adequada das informações Definição de 
responsabilidades e perímetros de segurança Plano de contingência 
(documento adicional que estabelece como responder a incidentes de 
segurança) 
 Segurança lógica (políticas de senha, sistemas de autenticação de usuário, 
programas de detecção de vírus) 
 Segurança física (acesso de pessoas, guarda e proteção dos 
equipamentos, condição das instalações elétricas)