Baixe o app para aproveitar ainda mais
Prévia do material em texto
Políticas de Segurança da Informação Aécio Costa Políticas de Segurança da Informação A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Os Controles necessitam ser: Estabelecidos Implementados Monitorados Analisados Políticas de Segurança da Informação A Gestão de Segurança da Informação requer a criação de uma política (que deve ser documentada). E o que é a política de segurança da informação? Políticas de Segurança da Informação A política de segurança da informação nada mais é que um conjunto de práticas e controles adequados, formada por diretrizes, normas e procedimentos, com objetivo de minimizar os riscos com perdas e violações de qualquer bem. Políticas de Segurança da Informação Outra definição: Uma política de segurança é a expressão formal das regras pelas quais é fornecido o acesso aos recursos tecnológicos da organização. Políticas de Segurança da Informação Política de SI são: Normas, procedimentos, ferramentas e responsabilidades às pessoas que lidam com essa informação; Formalmente documentos que ditam quais são as regras aplicadas dentro da empresa para uso de recursos tecnológicos e descarte de informações. Políticas de Segurança da Informação Objetivos de uma Política de Segurança da Informação Proteção do conhecimento e da infraestrutura, a fim de atender: -Requisitos legais -Viabilizar os serviços prestados -Evitar ou reduzir os riscos e ameaças -Orientar e estabelecer diretrizes para a proteção dos ativos de informação, prevenção de ameaças e a conscientização da responsabilidade dos funcionários. Políticas de Segurança da Informação Com a implantação de uma Política temos: Redução da probabilidade de ocorrência de quebra da confidencialidade, da integridade e da disponibilidade da informação Redução de danos causados por eventuais ocorrências; Não reincidências. Usada tanto para prevenir problemas legais como para documentar a aderência ao processo de controle de qualidade. Políticas de Segurança da Informação The International Organization for Standardization (ISO) Instituição internacional com sede na Suíça cuida do estabelecimento de padrões internacionais de certificação em diversas áreas. Políticas de Segurança da Informação As normas ISO que tratam sobre Gestão de Segurança da Informação são: ISO 27001 ISO 27002 ISO 27003 ISO 27004 ISO 27005 Políticas de Segurança da Informação ISO 27001 Define os requisitos para a implementação de um SGSI. ISO 27002 Define boas práticas para a Gestão da segurança da informação. ISO 27003 Guia para implementação de um SGSI. ISO 27004 Define métricas e meios de medição para Avaliar a eficácia de um SGSI. Políticas de Segurança da Informação ISO 27005 Define linhas de orientação para a gestão do risco da segurança da informação. Políticas de Segurança da Informação Sistema de Gestão da Segurança Informação (SGSI) É uma parte do sistema global de gestão, baseado numa abordagem de risco que permite definir, implementar, operacionalizar, monitorizar, manter e melhorar a segurança da Informação segundo a norma. Políticas de Segurança da Informação O Sistema de gestão SGSI, é baseado numa aproximação sistemática dos riscos inerentes aos negócios. Trata-se de uma abordagem à segurança da informação, numa perspectiva organizacional. PDCA Políticas de Segurança da Informação PDCA (Plan, Do, Check, Act) é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas. Políticas de Segurança da Informação PDCA -PLAN (PLANEJAR) Estabelecimento de políticas, objectivos, processos e procedimentos relevantes para a administração do risco e para a melhoria da Segurança da Informação. Planeja os resultados de acordo com a estratégia da organização. -DO (FAZER/IMPLEMENTAR/OPERAR) Implementação e operacionalização das políticas de controlo, processos e procedimentos do Sistema. Políticas de Segurança da Informação PDCA -CHECK (VERIFICAR/MONITORIZAR/REVER) Inspecção da performance dos processos em comparação com as políticas e objectivos de um SGSI. Estes resultados devem ser reportados à gestão para análise. -ACT (AGIR/MANTER/OPTIMIZAR) Tomada de acções correctivas e preventivas, baseadas nos resultados das auditorias internas do SGSI e demais informações provenientes da gestão ou demais fontes relevantes. Políticas de Segurança da Informação Análise e avaliação de riscos A Gestão dos riscos é um dos aspectos chave da norma ISO/IEC 27001, uma avaliação dos riscos é uma das exigências desta norma. Políticas de Segurança da Informação Como resultado da avaliação de riscos, deve ser feita uma lista dos riscos identificados, classificados em ordem de gravidade para posteriormente serem tomadas medidas. E como trata-se os riscos? Políticas de Segurança da Informação Aplicar medidas de segurança: escolher as medidas mais apropriadas para reduzir o custo; Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que este atenta à política de segurança da organização; Evitar o risco: não permitir acções que possam sequer causar a ocorrência de riscos; Transferir o risco: transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. Estas medidas são definidas pela norma ISO/IEC 27002, que dá suporte ao desenvolvimento de planos de segurança e orienta de melhor forma a Gestão da Segurança da Informação. Políticas de Segurança da Informação ISO 27001 A norma tem como principio geral a adopção pela organização de um conjunto de requisitos, processos e controlos com o objectivo de mitigarem e gerirem adequadamente o risco da organização. Políticas de Segurança da Informação ISO 27001 É uma abordagem 360º à Segurança da Informação. Trata-se múltiplos temas tais como: Segurança Aplicacional Protecção do meio físico Recursos humanos Continuidade de negócio Licenciamento Etc. Políticas de Segurança da Informação ISO 27001 É independente de fabricantes porque se destina ao estabelecimento de processos e procedimentos que depois podem ser materializados à realidade de cada organização de forma diferente e com a especificidade de cada ambiente tecnológico e organizacional. Políticas de Segurança da Informação Políticas de Segurança da Informação ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI, ou seja, que a organização deve identificar e gerenciar os processos envolvidos em um Sistema de Gestão de Segurança da Informação, bem como reconhecer suas interações. Políticas de Segurança da Informação ISO 27001 - Seção 1 – Objetivo Especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). Os requisitos são genéricos de maneira a permitir que sejam aplicáveis a quaisquer organizações. Independentemente do tipo, tamanho e natureza. Políticas de Segurança da Informação ISO 27001 - Seção 2 – Referência Normativa Referência da norma ABNT NBR ISO/IEC 17799:2005 Políticas de Segurança da Informação ISO 27001 – Seção 3 – Termos e Definições São especificados termos e definições tais como: impacto riscos de segurança da informação ação de evitar o risco estimativa de riscos identificação de riscos redução do risco Políticas de Segurança da Informação ISO 27001 – Seção 4 - Sistema de Gestão de Segurançada Informação Nesta seção é estruturado todos os processos envolvidos utilizando o ciclo PDCA. Políticas de Segurança da Informação Estabelecer SGSI (Plan) Compreende toda a preparação necessária para a implementação do SGSI na organização. Definir o escopo (abrangência) do SGSI Considera-se as características do negócio, a organização, sua localização, ativos e tecnologia. Exclusões de escopo deverão ser justificadas, se houver; Definir uma Política de SGSI Deve conter princípios para ações relacionadas à Segurança da Informação, sendo aprovada pela direção; Políticas de Segurança da Informação Definir uma metodologia para identificação, análise e avaliação de riscos, bem como a definição de opções de tratamento desses riscos. Requisitos identificados para o negócio; identificação de ativos; Ameaças, vulnerabilidades e impactos desses riscos aos ativos; critérios e níveis para aceitação de riscos (considera-se os impactos para o negócio); Avaliação da probabilidade real da ocorrência; Estimativa de níveis de riscos e se esses riscos serão aceitos ou se será necessário tratá-los. Políticas de Segurança da Informação Selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos. Sugestão como ponto de partida controles derivados da norma ABNT NBR ISO/IEC 27002. Obter aprovação da direção dos riscos propostos, bem como da autorização para implementar e operar o SGSI. Preparar a Declaração de Aplicabilidade. Fornece um resumo das decisões relativas ao tratamento de riscos (lista dos objetivos de controle e controles selecionados e atualmente implementados, bem como quaisquer um deles que tenha sido excluído, devidamente justificado). Políticas de Segurança da Informação Implementar e Operar SGSI (Do) Compreende o funcionamento do SGSI na organização. Elaborar e implementar um plano de tratamento de riscos Identificação da ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança; Implementar controles selecionados anteriormente para atender aos objetivos de controle; Políticas de Segurança da Informação Definir a medição da eficácia dos controles, bem como como as medidas que devem ser utilizadas para avaliação da eficácia; Implementar programas de conscientização e treinamento; Gerenciar operações e recursos para o SGSI; Implementar procedimentos e outros controles para detectar e responder prontamente a incidentes de segurança da informação. Incidente de segurança Qualquer evento ou fato que ponha em risco a integridade, disponibilidade ou confidencialidade de determinadas informações. Exemplos: infecção de computadores por vírus, queima de um HD (disco rígido) que contém informações importantes e que não foram copiadas para outra mídia, enchentes e alagamentos, incêndios, corrupção de arquivos críticos. Políticas de Segurança da Informação Monitorar e Analisar Criticamente SGSI (Check) É através desta fase que são verificados o desempenho e a eficácia do SGSI na organização. Executar procedimentos de monitoração e análise crítica para: Detectar erros; Tentativas, violações de segurança e incidentes. Possibilitar à direção verificar se as atividades designadas a pessoas ou implementadas via tecnologia são executadas conforme esperado; Verificar se as ações tomadas para solucionar violações foram eficazes; Políticas de Segurança da Informação Realizar regularmente análises críticas da eficácia do SGSI, considerando-se resultados das auditorias de SGSI, incidentes, resultados das medições de eficácia, sugestões, etc.; Medir a eficácia dos controles; Realizar análise crítica periódica das avaliações de riscos para verificar e considerar mudanças ocorridas ao longo do tempo; Realizar auditorias internas periódicas do SGSI; Realizar periodicamente a análise crítica do SGSI pela direção; Atualizar planos de segurança conforme resultados obtidos na monitoração e análise crítica; Registrar eventos e ações que possam impactar na eficácia ou no desempenho do SGSI. Políticas de Segurança da Informação Manter e melhorar SGSI (Act) Esta fase foca na manutenção e no aprimoramento contínuo do SGSI da organização. Políticas de Segurança da Informação Implementar melhorias identificadas no SGSI; Executar ações preventivas e corretivas aplicando-se as lições aprendidas de outras organizações e/ou advindas da própria experiência organizacional; Comunicar ações e melhorias para as partes interessadas; Garantir que as melhorias realmente estejam atingindo os objetivos pretendidos. Políticas de Segurança da Informação Requisitos de Documentação Procedimentos documentados e controles, incluindo aqueles relacionados ao planejamento, à operação e ao controle dos processos de segurança da informação; Controle de Documentos Assegurar que as alterações e as versões dos documentos sejam identificadas e estejam disponíveis quando necessárias; Controle de Registros Elementos utilizados para evidenciar a conformidade aos requisitos e a eficácia da operação de um SGSI. Políticas de Segurança da Informação ISO 27001 – Seção 5 - Responsabilidades da Direção Estabelecimento da política do SGSI; Garantindo de que os planos e os objetivos do SGSI são estabelecidos; Definindo papéis e responsabilidades pela segurança da informação foram estabelecidos; Comunicando a organização informando a importância do atendimento dos objetivos de segurança da informação; Provendo recursos suficientes para o SGSI; Definindo critérios para aceitação de riscos e dos níveis de riscos aceitáveis; Garantindo a execução das auditorias internas e da realização de análises críticas pela Direção. Políticas de Segurança da Informação Gestão de Recursos É dever da organização prover recursos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um SGSI. Assegurar que as pessoas têm as competências necessárias para executar atividades relacionadas à segurança da informação. Contratação de pessoal capacitado Fornecendo treinamentos Registrar a educação, o treinamento, as habilidades, as experiências e a qualificação do pessoal. Políticas de Segurança da Informação ISO 27001 – Seção 6 - Auditorias Internas do SGSI Planejamento de auditorias internas para determinar se objetivos de controle, os controles, os processos e procedimentos do SGSI atendem: à norma à legislação pertinente São definidos ainda os critérios de auditoria, escopo, frequência e métodos a serem utilizados. Políticas de Segurança da Informação As responsabilidades e os requisitos para planejar e executar auditorias, relatar resultados e manter registros devem estar definidos em procedimento documentado. Políticas de Segurança da Informação ISO 27001 – Seção 7 - Análise Crítica do SGSI pela Direção O SGSI deve ser analisado criticamente pela Direção em intervalos planejados. avaliação de oportunidades para melhoria necessidades de mudança do SGSI Os resultados dessas análises devem ser documentados e os registros mantidos. Políticas de Segurança da Informação Entradas e Saídas da Análise Crítica do SGSI pela Direção. Fonte: ABNT, 2006, p. 11-2. Políticas de Segurança da Informação Seção 8 – Melhoria do SGSI A organização deve continuamente melhorar o SGSI através de: Política de segurança da informação Resultados das auditorias Análises de eventos monitorados Análise crítica pela Direção Ações corretivas e preventivas. Políticas de Segurança da Informação Requisitos para procedimento documentado de Ação Corretiva e Ação Preventiva. Fonte:ABNT, 2006, p. 12-3. Políticas de Segurança da Informação Conclusão Concebida prevendo sua compatibilidade com as normas ABNT NBR ISO 9001. Políticas de Segurança da Informação Não é aceitável que uma organização que pretenda estar conforme a norma exclua quaisquer requisitos descritos nas seções 4 a 8. Porém, é observado que: Políticas de Segurança da Informação A regra do jogo da segurança para qualquer organização e pode abranger, entre outras coisas: Padrões para utilização de criptografia Regras para utilização do e-mail e acesso à Internet Normas para utilização de programas e equipamentos Procedimentos para guarda adequada das informações Definição de responsabilidades e perímetros de segurança Plano de contingência (documento adicional que estabelece como responder a incidentes de segurança) Segurança lógica (políticas de senha, sistemas de autenticação de usuário, programas de detecção de vírus) Segurança física (acesso de pessoas, guarda e proteção dos equipamentos, condição das instalações elétricas)
Compartilhar