Baixe o app para aproveitar ainda mais
Prévia do material em texto
FACULDADE ESTÁCIO IDEZ PARAÍBA CURSO DE GRADUAÇÃO EM REDES DE COMPUTADORES IMPORTÂNCIA E IMPLEMENTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Joao Pessoa – PB 2016 FACULDADE ESTÁCIO IDEZ PARAÍBA CURSO DE GRADUAÇÃO EM REDES DE COMPUTADORES IMPORTÂNCIA E IMPLEMENTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Orientador (a): Prof. KAROLINE LIRA DANTAS DA COSTA Joao Pessoa – PB 2016 DAVI DIEGO BARBOSA RODRIGUES IMPORTÂNCIA E IMPLEMENTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Projeto submetido à disciplina de Seminários Integrados em Redes de Computadores da Faculdade Estácio Idez Paraíba, como requisito parcial para conclusão do semestre 2016.1. Orientador (a): Prof. KAROLINE LIRA DANTAS DA COSTA Joao Pessoa – PB 2016 RESUMO Este artigo apresenta a importância e como implementar uma Política de Segurança da Informação para uma empresa proteger seu maior bem, que é a Informação. Visando mostrar as características da segurança da informação num ambiente de T.I, exibindo aspectos a serem levados em conta na elaboração de uma política de segurança da informação. Palavras-chave: Política de Segurança da Informação, Segurança da Informação, Implementação da PSI. ABSTRACT This article presents the importance and how to implement a Security Policy Information for a company to protect its greatest asset, which is the information. In order to evaluate information security features in T.I environment, displaying aspects to be taken into account when developing a security policy information. Keywords: Information Security Policy, Information Security, Implementation of the PSI. SUMÁRIO 1. INTRODUÇÃO.......................................................................................................... 06 2. POLITICA DE SEGURANÇA........................................................................................ 07 2.1. A APLICAÇÃO DA POLITICA DE SEGURANÇA........................................................... 08 2.2. PRINCIPIOS DA SEGURANÇA DA INFORMAÇÃO...................................................... 08 3. DIRETRIZES DA POLITICA DA SEGURANÇA DA INFORMAÇÃO.................................. 09 3.1. CONTROLES E NORMAS DE USO DA INFORMAÇÃO................................................. 09 3.2. QUANTO À GESTÃO DA INFORMAÇÃO................................................................... 09 3.3. QUANTO À CLASSIFICAÇÃO DAS INFORMAÇÕES..................................................... 09 3.4. QUANTO À ELIMINAÇÃO DA INFORMAÇÃO........................................................... 10 3.5. QUANTO AO ACESSO FÍSICO.................................................................................. 10 3.6. QUANTO AOS EQUIPAMENTOS, HARDWARE E SOFTWARE.................................... 10 3.7. QUANTO AO ACESSO À REDE................................................................................. 10 3.8. QUANTO AO ACESSO À INTERNET.......................................................................... 11 3.9. QUANTO AO USO DE CORREIO ELETRÔNICO.......................................................... 11 3.10. QUANTO AO REGISTRO DE EVENTOS E EVIDÊNCIAS (LOG).................................... 11 3.11. QUANTO AO MONITORAMENTO.......................................................................... 11 3.12. QUANTO AO BACKUP DAS INFORMAÇÕES........................................................... 12 4. CONSIDERAÇÕES FINAIS............................................................................................ 12 5. REFERÊNCIAS BIBLIOGRÁFICAS..................................................................................13 6 INTRODUÇÃO A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa. A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor. Logo, pode-se dizer que a informação se tornou o ativo mais valioso das organizações, podendo ser alvo de uma série de ameaças com a finalidade de explorar as vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se necessária a implementação de políticas de se segurança da informação que busquem reduzir as chances de fraudes ou perda de informações. A informação é um ativo que deve ser protegido e cuidado por meio de regras e procedimentos das políticas de segurança, do mesmo modo que protegemos nossos recursos financeiros e patrimoniais. Um sistema de segurança da informação baseia-se em três princípios básicos: confidencialidade, integridade e disponibilidade. Toda ação que venha a comprometer qualquer um desses princípios, estará atentando contra a sua segurança. 7 2. Política de segurança A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. É o Sistema de Gestão da Segurança da Informação (SGSI) que vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funções dentro da empresa (CERT, 2003). Para se elaborar uma Política de Segurança da Informação, deve se levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de práticas para a gestão de segurança da informação, onde podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. É importante a Política de Segurança da Informação na empresa, uma vez que a informação é um bem de valor intangível, e que não basta apenas estas possuírem meios tecnológicos e informatizados para protegê-las contra danos e ataques internos e externos, desta forma, a Empresa necessita de uma Política de Segurança da Informação bem estruturada, com o objetivo de alcançar a solução que deixe as informações íntegras e seguras. As consequências de uma política de segurança implementada e corretamente seguida podem ser resumidas em três aspectos: Redução da probabilidade de ocorrência, Redução de danos causados por eventuais ocorrências, Criação de procedimentos para se recuperar de eventuais danos. A implantação da Política de Segurança da Informação dar-se-á: Gestão à Informação, Classificação das Informações, Impressão da Informação, Eliminação da Informação, Acesso Físico, Equipamentos, Hardware e Software, Acesso à Rede, Acesso à Internet, Uso de Correio Eletrônico, quanto ao Registro de Eventos e Evidências (LOG), Monitoramento. Uma Política de Segurança da Informação bem elaborada e devidamente implantada protege a informação e ajuda a minimizar os problemas de acessos indevidos internos, vírus, pirataria, falta de cultura dos usuários que não se preocupam com segurança e fraudes. Porém, apenas a criação e implantação desta política não são suficientes se não existirem mecanismos de controle para assegurar que as normas estipuladas nessa política estão sendo efetivamente adotadas. Uma das maneiras de controlar tudo isso é através de auditorias permanentes, fazendo com que, uma das responsabilidades da auditoria interna seja, não somente verificar a existênciade uma Política de Segurança da Informação, mas também de verificar se suas normas estão sendo efetivamente cumpridas e de redigir relatórios de recomendações de melhoria a cada trabalho realizado, a fim de evidenciar que falhas foram encontradas e que devem ser corrigidas (BIANCO, 2004). 8 2.1 A aplicação da política de segurança A política de segurança da informação compromete e responsabiliza cada um que faz parte da empresa, estando todos cientes também que os ambientes da empresa, inclusive correio eletrônico e Internet estão sujeitos a monitoramento. É também obrigação de cada um se manter atualizado com as regras da empresa. 2.2 Princípios da política de segurança da informação Uma das diretrizes citadas por CARUSO (1999) é a responsabilidade sobre os ativos. Nessa etapa é determinado quem é responsável e qual o grau de responsabilidade envolvido na política de segurança para que cada uma das funções tenha ativos a ser regulados no âmbito da política de segurança. Não se deve confundir responsabilidade sobre ativos com responsabilização; este último conceito envolve a identificação clara das pessoas que acessam ativos e o nível de acesso que estão tendo sobre os mesmos. Não é preciso ser responsável por um ativo para se ter o direito de acesso a ele. Para garantir a Segurança da Informação, é necessário que todos os colaboradores da empresa zelem para que os seguintes princípios sejam respeitados: Vigilância: agir como guardiões dos ativos de informação da Empresa, evitando o uso inadequado dos mesmos. Atitude: assumir uma postura adequada no tratamento da segurança da informação, tendo como base o comprometimento com a política definida. Visão: considerar a política de segurança como uma estratégia da empresa e um diferencial de negócio. Tecnologia: contribuir com recursos de hardware e software que permitam implementar, auxiliar, monitorar e controlar para que os ativos de informação da empresa sejam usados de modo seguro e adequado por seus colaboradores. 9 3. Diretrizes da política de segurança da informação A política de segurança é um conjunto de diretrizes gerais destinadas a governar a proteção a ser dada a ativos da empresa. Segundo STEFFEN (1999) as consequências de uma política de segurança implementada e corretamente seguida podem ser resumidas em três aspectos: Redução da probabilidade de ocorrência, Redução de danos causados por eventuais, Criação de procedimentos para se recuperar de eventuais danos. A Política de Segurança deverá ser comunicada oficialmente a todos os colaboradores da empresa, visando garantir que todas as pessoas tenham consciência da mesma e a pratiquem na Empresa. Deverá haver um Comitê responsável pela Gestão da Segurança da Informação. A Política de Segurança da Informação será revisada e atualizada periodicamente, cabendo ao Comitê responsável estabelecer a periodicidade. Responsabilidades de segurança de informações devem ser atribuídas na fase de recrutamento dos recursos humanos da empresa, incluídas nos contratos e monitorados durante a vigência destes contratos. Um plano de contingência e continuidade do negócio deverá ser implementado e testado periodicamente, visando reduzir riscos de perda de disponibilidade e integridade dos ativos de informação, por meio da combinação de ações de prevenção e recuperação. Os ativos críticos ou sensíveis devem ser mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas aos riscos identificados e controle de acesso. Todo ativo de informação deve ser protegido de divulgação, modificação, furto ou roubo por pessoas não autorizadas e adotados controles de forma a minimizar sua perda ou danos. 3.1. Controles e normas de uso da informação Algumas atividades necessitam de controles firmes, e segurança de informações é uma delas. É necessário controlar o domínio de usuários, o domínio de recursos e as interações entre os dois domínios. 3.2. Quanto à gestão da informação A informação é o maior bem da empresa, de uso restrito e confidencial, para isso precisa-se de um responsável. 3.3. Quanto à classificação das informações Informação é o elemento que sintetiza a natureza de qualquer entidade, expressando suas características. As informações precisam ser classificadas quanto a sua criticidade de forma que possam receber o tratamento adequado para que esse ativo seja protegido. As informações podem ser: Públicas, Sensível, Confidenciais, Restritas. As regras e metodologia que embasam a classificação de criticidade das informações, e visam identificar o risco para o negócio caso uma informação seja divulgada indevidamente, devem ser consultadas pelos proprietários da informação ao classificarem as informações/ativos sob sua responsabilidade. É de responsabilidade da área de Segurança da Informação definir as regras e metodologia em procedimento que deve ser divulgado e disponível para consulta. 10 3.4. Quanto à eliminação da informação O processo de eliminação da informação é tão ou mais importante que a própria geração ou armazenamento da mesma. Por isso, o descarte de mídias ou eliminação de conteúdos de informação sensível ou sigilosa deve atender aos seguintes procedimentos para o descarte seguro: As mídias contendo informações sensíveis devem ser descartadas através de incineração ou trituração, ou da eliminação dos dados para uso por uma outra aplicação dentro da organização. Os itens que possivelmente requerem descarte seguro: Gravação de Voz; Papel- Carbono; Relatórios Impressos; Fitas de Impressão descartáveis; Fitas magnéticas; Discos Removíveis e cartuchos; Meio de armazenamento ótico; Listagem de Programas; Dados de teste; Documentação de Sistemas; Documentos em Papel. 3.5. Quanto ao acesso físico Segurança física em informática corresponde à manutenção das condições operacionais e da integridade dos recursos materiais componentes dos ambientes e plataformas computacionais. Controle de acesso: processo destinado a garantir que todos os acessos aos recursos sejam acessos autorizados. Nível especial de acesso: Algumas pessoas da Empresa, para o desempenho adequado de suas funções, possuem níveis especiais de acesso. Estes são nossos colaboradores especiais. Quando se tratar de um software de controle de acesso, um nível especial de acesso caracteriza-se em possuir a senha e o direito de usar uma identificação para o sistema (userid, chave...) com privilégios especiais de acesso ao ambiente computacional, privilégios estes que um usuário normal não possui. 3.6. Quanto aos equipamentos, hardware e software Esta política visa nos auxiliar a coibir o mau uso dos equipamentos, diminuindo assim a incidência de ataque de vírus e desvio de informações confidenciais. 3.7. Quanto ao acesso à rede Dentro da Intranet cada serviço que é acessado tem uma carga de risco associada, que pode causar impactos em seu ambiente. Com isso, STEFFEN (1999) explica que uma política de segurança deve, antes de mais nada, definir quais os serviços que serão disponibilizados na rede interna, por exemplo: correio eletrônico, transferência de arquivos, acesso remoto por terminal e execução de comandos, WWW, nome de domínio, serviço de gerenciamento de redes, sistemas de arquivos na rede; com base nos serviços atendidos é que serão montados os dispositivos de proteção. Os dispositivos de proteção que poderão ser utilizados para um melhor desempenho dos serviços e uma melhor segurança na empresa, como por exemplo: Proxy, Firewall, Proxy transparente, VPN, IDS, Criptografia e Assinatura Digital. 11 3.8. Quanto ao acesso à internetA Internet também tem o seu lado recreativo, que copia, modifica e amplifica soluções já adotadas em outros veículos. Sites que oferecem sorteio, que pagam por clicks, que dão prêmios por quem ficam neles navegando, pornografia, notícias de esportes, etc., são grandes consumidores de tempo e, portanto, REDUTORES DA PRODUTIVIDADE. A EMPRESA pode e deve zelar para que isso não aconteça. 3.9. Quanto ao uso de correio eletrônico O serviço de correio eletrônico foi projetado para ter como uma de suas principais características a simplicidade. O problema deste serviço é que foi comparado com o correio terrestre, dando a falsa ideia de que os e-mails são cartas fechadas. Mas eles são, na verdade, como cartões postais, cujo conteúdo pode ser lido por qualquer um que obtenha acesso a eles. Por isso, a importância de conter sempre as assinaturas nos e-mails, podendo seguir o seguinte formato: Nome do Colaborador, Função, Telefone Comercial, Nome da Empresa, E-mail ou Site, Mensagem Corporativa Padrão da EMPRESA. Obs: Também é obrigatória a inclusão dos seguintes dizeres abaixo da assinatura do e-mail: “Esta mensagem pode conter informações confidenciais, somente podendo ser usada pelo indivíduo ou entidade a quem foi endereçada. A transmissão incorreta da mensagem não acarreta a perda de sua confidencialidade. Caso esta mensagem tenha sido recebida por engano, solicitamos que comunique o remetente e apague-a de seu sistema imediatamente. É vedado a qualquer pessoa que não seja o destinatário usar, revelar, distribuir ou copiar qualquer parte desta mensagem. Ambiente sujeito a monitoramento. “ 3.10. Quanto ao registro de eventos e evidências (Log) Devem ser produzidas e mantidas trilhas de auditorias registrando as exceções e outros eventos de segurança relevantes, a fim de auxiliar investigações futuras e a monitoração do controle de acesso. “O custo do sistema de segurança deverá ser proporcional ao valor do que o sistema está protegendo. É bem mais provável descobrir ataques e atacantes pela análise de registro do que detectá-los no momento do ataque. ” (WADLOW, 2000). 3.11. Quanto ao monitoramento Para garantir as regras desta Política de segurança, a empresa terá que: Implantar sistemas de monitoramento de acesso às estações de trabalho, servidores internos e externos, e-mails, navegação, Internet e outros componentes da rede; Inspecionar qualquer arquivo armazenado na rede, esteja no disco local da estação ou nas áreas privadas da rede, visando assegurar o rígido cumprimento desta política; Instalar sistemas de proteção e detecção de invasão à rede (firewall, IDS, etc.), para garantir a segurança e integridade dos dados e programas armazenados na rede; 12 3.12. Quanto ao backup das informações A política de backup é uma importante preocupação da estratégia de segurança física. O backup adequado será sua salvação, se ocorrer algo muito sério. Mas os backups apresentam vários perigos, pois se um visitante tiver acesso ao backup poderá por em risco a informação. Porém sem eles, se houver alguma perda dos dados não haverá recuperação. 4. Considerações Finais Com base nos princípios da Política de Segurança da Informação, foi possível avaliar o segmento dos paradigmas básicos em sua composição: a integridade, como sendo condição na qual a informação ou os recursos da informação são protegidos contra modificações não autorizadas, a confidencialidade, visando a propriedade de certas informações que não podem ser disponibilizadas ou divulgadas sem autorização prévia do seu dono e a disponibilidade, característica essa que se relaciona diretamente a possibilidade de acesso por parte daqueles que a necessitam para o desempenho de suas atividades a qualquer hora. 13 5. Referências Bibliográficas CASTELLS, M. A sociedade em rede – a era da informação: economia, sociedade e cultura. Vol 1. 5. Ed. São Paulo: Paz e Terra, 1999. CARUSO, Carlos Alberto Antônio; STEFFEN, Flavio Deny. Segurança em informática e de informações. 2. ed. rev. e ampl. São Paulo: SENAC, 1999. 366 p. CHIAVENATO, Idalberto. Introdução à teoria geral da administração. 6. ed. rev. e atual. Rio de Janeiro: Campus, 2000. 700 p. GIL, Antonio de Loureiro. Segurança em informática. 2. ed. São Paulo: Atlas, 1998. 192 p. IMONIANA, Joshua Onome, Auditoria de Sistemas de Informação; Editora Atlas, 2001. OLIVEIRA, Jayr Figueiredo de, Sistemas de Informação: um Enfoque Gerencial Inserido no Contexto Empresarial e Tecnológico. São Paulo : Érica, 2000 SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de computadores: das LANs, MANs e WANs as redes ATM. 2. ed. rev. e ampl. Rio de Janeiro: Campus, 1995. 705 p. TANENBAUM, As, Redes de Computadores, 4ª edição. Editora Campus, 2001. TEIXEIRA Junior, J.H. etal, Redes de Computadores: serviços, administração e segurança. São Paulo: Makron, 1999. TOFFLER, Alvin. Terceira onda. Tradução João Távora. Rio de Janeiro: Record, 1999. 491p - Civilização moderna, 1945 KUROSE James f., Ross, K.W., Redes de computadores e a Internet – Uma nova abordagem. Ed. São Paulo: Addson Weslwy, 2003. WADLOW, A.Thomas, Projeto e Gerenciamento de Redes Seguras; Editora Campus, 2000. 6. Referências Bibliográficas Eletrônicas BALLONI, Antonio José. Porque gestão em sistemas e tecnologias da informação? Revista Unicamp, Campinas, 2002. Disponível em: http://www.revista.unicamp.br/infotec/artigos/balloni.html>. Acessado em: outubro de 2005. CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, Práticas de Segurança para Administradores de Redes Internet, 05 de JUN de 2005. Disponível em:< http://www.cert.br/docs/seg-adm-redes/seg-admredes. html#subsec2.1 >. Acessado em: 10 de agosto de 2006. FERREIRA, Fernando Nicolau Freitas, Política, Treinamento e Conscientização em Segurança, 18 de Abr de 2005. Disponível em:< http://www.modulo.com.br>. Acessado em: 10 de agosto de 2006. FERREIRA, Fernando Nicolau Freitas, Segurança no acesso de prestadores de serviço, 29 de Nov de 2004. Disponível em:< http://www.modulo.com.br>. Acessado em: 11 de agosto de 2006. ROCKENBACH, Aléxis, Políticas de Segurança. Disponível em: < http://penta.ufrgs.br/gereseg/rfc2196/>. Acessado em: < 10 de ago de 2006> UEMURA, Cláudio Norikazu, A importância da segurança da informação, 28 de Mar de 2005. Disponível em:< http://www.modulo.com.br>. Acessado em: 11 de agosto de 2006.
Compartilhar