Artigo sobre Politica de segurança da informação

Prévia do material em texto

FACULDADE ESTÁCIO IDEZ PARAÍBA 
CURSO DE GRADUAÇÃO EM REDES DE COMPUTADORES 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
IMPORTÂNCIA E IMPLEMENTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Joao Pessoa – PB 
2016 
FACULDADE ESTÁCIO IDEZ PARAÍBA 
CURSO DE GRADUAÇÃO EM REDES DE COMPUTADORES 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
IMPORTÂNCIA E IMPLEMENTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
 
 
Orientador (a): Prof. KAROLINE LIRA DANTAS DA COSTA 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Joao Pessoa – PB 
2016 
DAVI DIEGO BARBOSA RODRIGUES 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
IMPORTÂNCIA E IMPLEMENTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
 
 
 
Projeto submetido à disciplina de Seminários Integrados em 
Redes de Computadores da Faculdade Estácio Idez Paraíba, 
como requisito parcial para conclusão do semestre 2016.1. 
 
Orientador (a): Prof. KAROLINE LIRA DANTAS DA COSTA 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Joao Pessoa – PB 
2016 
 
RESUMO 
 
Este artigo apresenta a importância e como implementar uma Política de Segurança da 
Informação para uma empresa proteger seu maior bem, que é a Informação. Visando mostrar 
as características da segurança da informação num ambiente de T.I, exibindo aspectos a serem 
levados em conta na elaboração de uma política de segurança da informação. 
 
Palavras-chave: Política de Segurança da Informação, Segurança da Informação, Implementação 
da PSI. 
 
 
ABSTRACT 
 
This article presents the importance and how to implement a Security Policy Information for a 
company to protect its greatest asset, which is the information. In order to evaluate information 
security features in T.I environment, displaying aspects to be taken into account when 
developing a security policy information. 
 
Keywords: Information Security Policy, Information Security, Implementation of the PSI. 
 
SUMÁRIO 
 
1. INTRODUÇÃO.......................................................................................................... 06 
 
2. POLITICA DE SEGURANÇA........................................................................................ 07 
2.1. A APLICAÇÃO DA POLITICA DE SEGURANÇA........................................................... 08 
2.2. PRINCIPIOS DA SEGURANÇA DA INFORMAÇÃO...................................................... 08 
3. DIRETRIZES DA POLITICA DA SEGURANÇA DA INFORMAÇÃO.................................. 09 
3.1. CONTROLES E NORMAS DE USO DA INFORMAÇÃO................................................. 09 
 
3.2. QUANTO À GESTÃO DA INFORMAÇÃO................................................................... 09 
 
3.3. QUANTO À CLASSIFICAÇÃO DAS INFORMAÇÕES..................................................... 09 
 
3.4. QUANTO À ELIMINAÇÃO DA INFORMAÇÃO........................................................... 10 
3.5. QUANTO AO ACESSO FÍSICO.................................................................................. 10 
 
3.6. QUANTO AOS EQUIPAMENTOS, HARDWARE E SOFTWARE.................................... 10 
 
3.7. QUANTO AO ACESSO À REDE................................................................................. 10 
 
3.8. QUANTO AO ACESSO À INTERNET.......................................................................... 11 
 
3.9. QUANTO AO USO DE CORREIO ELETRÔNICO.......................................................... 11 
 
3.10. QUANTO AO REGISTRO DE EVENTOS E EVIDÊNCIAS (LOG).................................... 11 
 
3.11. QUANTO AO MONITORAMENTO.......................................................................... 11 
 
3.12. QUANTO AO BACKUP DAS INFORMAÇÕES........................................................... 12 
 
4. CONSIDERAÇÕES FINAIS............................................................................................ 12 
 
5. REFERÊNCIAS BIBLIOGRÁFICAS..................................................................................13 
 
 
6 
 
INTRODUÇÃO 
 
A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano 
se realize de forma completa. A informação é elemento essencial para todos os processos de 
negócio da organização, sendo, portanto, um bem ou ativo de grande valor. Logo, pode-se dizer 
que a informação se tornou o ativo mais valioso das organizações, podendo ser alvo de uma 
série de ameaças com a finalidade de explorar as vulnerabilidades e causar prejuízos 
consideráveis. Portanto, faz-se necessária a implementação de políticas de se segurança da 
informação que busquem reduzir as chances de fraudes ou perda de informações. A informação 
é um ativo que deve ser protegido e cuidado por meio de regras e procedimentos das políticas 
de segurança, do mesmo modo que protegemos nossos recursos financeiros e patrimoniais. Um 
sistema de segurança da informação baseia-se em três princípios básicos: confidencialidade, 
integridade e disponibilidade. Toda ação que venha a comprometer qualquer um desses 
princípios, estará atentando contra a sua segurança. 
 
7 
 
2. Política de segurança 
 
A Política de Segurança da Informação (PSI) é um documento que deve conter um 
conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os 
funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando 
mudanças se fizerem necessárias. É o Sistema de Gestão da Segurança da Informação (SGSI) que 
vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente 
necessitam delas para realizar suas funções dentro da empresa (CERT, 2003). 
 
Para se elaborar uma Política de Segurança da Informação, deve se levar em 
consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de práticas para a gestão 
de segurança da informação, onde podem ser encontradas as melhores práticas para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma organização. 
 
É importante a Política de Segurança da Informação na empresa, uma vez que a 
informação é um bem de valor intangível, e que não basta apenas estas possuírem meios 
tecnológicos e informatizados para protegê-las contra danos e ataques internos e externos, 
desta forma, a Empresa necessita de uma Política de Segurança da Informação bem estruturada, 
com o objetivo de alcançar a solução que deixe as informações íntegras e seguras. 
 
As consequências de uma política de segurança implementada e corretamente seguida 
podem ser resumidas em três aspectos: Redução da probabilidade de ocorrência, Redução de 
danos causados por eventuais ocorrências, Criação de procedimentos para se recuperar de 
eventuais danos. 
 
A implantação da Política de Segurança da Informação dar-se-á: Gestão à Informação, 
Classificação das Informações, Impressão da Informação, Eliminação da Informação, Acesso 
Físico, Equipamentos, Hardware e Software, Acesso à Rede, Acesso à Internet, Uso de Correio 
Eletrônico, quanto ao Registro de Eventos e Evidências (LOG), Monitoramento. 
 
Uma Política de Segurança da Informação bem elaborada e devidamente implantada 
protege a informação e ajuda a minimizar os problemas de acessos indevidos internos, vírus, 
pirataria, falta de cultura dos usuários que não se preocupam com segurança e fraudes. Porém, 
apenas a criação e implantação desta política não são suficientes se não existirem mecanismos 
de controle para assegurar que as normas estipuladas nessa política estão sendo efetivamente 
adotadas. Uma das maneiras de controlar tudo isso é através de auditorias permanentes, 
fazendo com que, uma das responsabilidades da auditoria interna seja, não somente verificar a 
existênciade uma Política de Segurança da Informação, mas também de verificar se suas normas 
estão sendo efetivamente cumpridas e de redigir relatórios de recomendações de melhoria a 
cada trabalho realizado, a fim de evidenciar que falhas foram encontradas e que devem ser 
corrigidas (BIANCO, 2004). 
 
 
 
8 
 
2.1 A aplicação da política de segurança 
 
A política de segurança da informação compromete e responsabiliza cada um que faz 
parte da empresa, estando todos cientes também que os ambientes da empresa, inclusive 
correio eletrônico e Internet estão sujeitos a monitoramento. É também obrigação de cada um 
se manter atualizado com as regras da empresa. 
 
 
2.2 Princípios da política de segurança da informação 
 
Uma das diretrizes citadas por CARUSO (1999) é a responsabilidade sobre os ativos. 
Nessa etapa é determinado quem é responsável e qual o grau de responsabilidade envolvido na 
política de segurança para que cada uma das funções tenha ativos a ser regulados no âmbito da 
política de segurança. Não se deve confundir responsabilidade sobre ativos com 
responsabilização; este último conceito envolve a identificação clara das pessoas que acessam 
ativos e o nível de acesso que estão tendo sobre os mesmos. Não é preciso ser responsável por 
um ativo para se ter o direito de acesso a ele. 
Para garantir a Segurança da Informação, é necessário que todos os colaboradores da 
empresa zelem para que os seguintes princípios sejam respeitados: 
Vigilância: agir como guardiões dos ativos de informação da Empresa, evitando o uso 
inadequado dos mesmos. 
Atitude: assumir uma postura adequada no tratamento da segurança da informação, tendo 
como base o comprometimento com a política definida. 
Visão: considerar a política de segurança como uma estratégia da empresa e um diferencial de 
negócio. 
Tecnologia: contribuir com recursos de hardware e software que permitam implementar, 
auxiliar, monitorar e controlar para que os ativos de informação da empresa sejam usados de 
modo seguro e adequado por seus colaboradores. 
 
 
 
9 
 
3. Diretrizes da política de segurança da informação 
 
A política de segurança é um conjunto de diretrizes gerais destinadas a governar a 
proteção a ser dada a ativos da empresa. 
Segundo STEFFEN (1999) as consequências de uma política de segurança implementada 
e corretamente seguida podem ser resumidas em três aspectos: Redução da probabilidade de 
ocorrência, Redução de danos causados por eventuais, Criação de procedimentos para se 
recuperar de eventuais danos. 
A Política de Segurança deverá ser comunicada oficialmente a todos os colaboradores 
da empresa, visando garantir que todas as pessoas tenham consciência da mesma e a pratiquem 
na Empresa. 
Deverá haver um Comitê responsável pela Gestão da Segurança da Informação. 
A Política de Segurança da Informação será revisada e atualizada periodicamente, 
cabendo ao Comitê responsável estabelecer a periodicidade. 
Responsabilidades de segurança de informações devem ser atribuídas na fase de 
recrutamento dos recursos humanos da empresa, incluídas nos contratos e monitorados 
durante a vigência destes contratos. 
Um plano de contingência e continuidade do negócio deverá ser implementado e 
testado periodicamente, visando reduzir riscos de perda de disponibilidade e integridade dos 
ativos de informação, por meio da combinação de ações de prevenção e recuperação. 
Os ativos críticos ou sensíveis devem ser mantidos em áreas seguras, protegidas por um 
perímetro de segurança definido, com barreiras de segurança apropriadas aos riscos 
identificados e controle de acesso. 
Todo ativo de informação deve ser protegido de divulgação, modificação, furto ou roubo 
por pessoas não autorizadas e adotados controles de forma a minimizar sua perda ou danos. 
 
3.1. Controles e normas de uso da informação 
 
Algumas atividades necessitam de controles firmes, e segurança de informações é uma 
delas. É necessário controlar o domínio de usuários, o domínio de recursos e as interações entre 
os dois domínios. 
 
 
3.2. Quanto à gestão da informação 
 
A informação é o maior bem da empresa, de uso restrito e confidencial, para isso 
precisa-se de um responsável. 
 
 
3.3. Quanto à classificação das informações 
 
Informação é o elemento que sintetiza a natureza de qualquer entidade, expressando 
suas características. 
As informações precisam ser classificadas quanto a sua criticidade de forma que possam 
receber o tratamento adequado para que esse ativo seja protegido. 
As informações podem ser: Públicas, Sensível, Confidenciais, Restritas. 
As regras e metodologia que embasam a classificação de criticidade das informações, e 
visam identificar o risco para o negócio caso uma informação seja divulgada indevidamente, 
devem ser consultadas pelos proprietários da informação ao classificarem as informações/ativos 
sob sua responsabilidade. 
É de responsabilidade da área de Segurança da Informação definir as regras e 
metodologia em procedimento que deve ser divulgado e disponível para consulta. 
10 
 
3.4. Quanto à eliminação da informação 
 
O processo de eliminação da informação é tão ou mais importante que a própria geração 
ou armazenamento da mesma. Por isso, o descarte de mídias ou eliminação de conteúdos de 
informação sensível ou sigilosa deve atender aos seguintes procedimentos para o descarte 
seguro: 
 As mídias contendo informações sensíveis devem ser descartadas através de 
incineração ou trituração, ou da eliminação dos dados para uso por uma outra aplicação 
dentro da organização. 
 Os itens que possivelmente requerem descarte seguro: Gravação de Voz; Papel-
Carbono; Relatórios Impressos; Fitas de Impressão descartáveis; Fitas magnéticas; 
Discos Removíveis e cartuchos; Meio de armazenamento ótico; Listagem de Programas; 
Dados de teste; Documentação de Sistemas; Documentos em Papel. 
 
 
3.5. Quanto ao acesso físico 
 
Segurança física em informática corresponde à manutenção das condições operacionais 
e da integridade dos recursos materiais componentes dos ambientes e plataformas 
computacionais. 
 Controle de acesso: processo destinado a garantir que todos os acessos aos recursos 
sejam acessos autorizados. 
 Nível especial de acesso: Algumas pessoas da Empresa, para o desempenho adequado 
de suas funções, possuem níveis especiais de acesso. Estes são nossos colaboradores 
especiais. Quando se tratar de um software de controle de acesso, um nível especial de 
acesso caracteriza-se em possuir a senha e o direito de usar uma identificação para o 
sistema (userid, chave...) com privilégios especiais de acesso ao ambiente 
computacional, privilégios estes que um usuário normal não possui. 
 
 
3.6. Quanto aos equipamentos, hardware e software 
 
Esta política visa nos auxiliar a coibir o mau uso dos equipamentos, diminuindo assim a 
incidência de ataque de vírus e desvio de informações confidenciais. 
 
 
3.7. Quanto ao acesso à rede 
 
Dentro da Intranet cada serviço que é acessado tem uma carga de risco associada, que 
pode causar impactos em seu ambiente. Com isso, STEFFEN (1999) explica que uma política de 
segurança deve, antes de mais nada, definir quais os serviços que serão disponibilizados na rede 
interna, por exemplo: correio eletrônico, transferência de arquivos, acesso remoto por terminal 
e execução de comandos, WWW, nome de domínio, serviço de gerenciamento de redes, 
sistemas de arquivos na rede; com base nos serviços atendidos é que serão montados os 
dispositivos de proteção. 
Os dispositivos de proteção que poderão ser utilizados para um melhor desempenho 
dos serviços e uma melhor segurança na empresa, como por exemplo: Proxy, Firewall, Proxy 
transparente, VPN, IDS, Criptografia e Assinatura Digital. 
 
 
 
 
11 
 
3.8. Quanto ao acesso à internetA Internet também tem o seu lado recreativo, que copia, modifica e amplifica soluções 
já adotadas em outros veículos. Sites que oferecem sorteio, que pagam por clicks, que dão 
prêmios por quem ficam neles navegando, pornografia, notícias de esportes, etc., são grandes 
consumidores de tempo e, portanto, REDUTORES DA PRODUTIVIDADE. A EMPRESA pode e deve 
zelar para que isso não aconteça. 
 
 
3.9. Quanto ao uso de correio eletrônico 
 
O serviço de correio eletrônico foi projetado para ter como uma de suas principais 
características a simplicidade. O problema deste serviço é que foi comparado com o correio 
terrestre, dando a falsa ideia de que os e-mails são cartas fechadas. Mas eles são, na verdade, 
como cartões postais, cujo conteúdo pode ser lido por qualquer um que obtenha acesso a eles. 
Por isso, a importância de conter sempre as assinaturas nos e-mails, podendo seguir o seguinte 
formato: Nome do Colaborador, Função, Telefone Comercial, Nome da Empresa, E-mail ou Site, 
Mensagem Corporativa Padrão da EMPRESA. 
 
Obs: Também é obrigatória a inclusão dos seguintes dizeres abaixo da assinatura do e-mail: 
 
“Esta mensagem pode conter informações confidenciais, somente podendo 
ser usada pelo indivíduo ou entidade a quem foi endereçada. A transmissão 
incorreta da mensagem não acarreta a perda de sua confidencialidade. Caso 
esta mensagem tenha sido recebida por engano, solicitamos que comunique 
o remetente e apague-a de seu sistema imediatamente. É vedado a qualquer 
pessoa que não seja o destinatário usar, revelar, distribuir ou copiar qualquer 
parte desta mensagem. Ambiente sujeito a monitoramento. “ 
 
 
3.10. Quanto ao registro de eventos e evidências (Log) 
 
Devem ser produzidas e mantidas trilhas de auditorias registrando as exceções e outros 
eventos de segurança relevantes, a fim de auxiliar investigações futuras e a monitoração do 
controle de acesso. 
“O custo do sistema de segurança deverá ser proporcional ao valor do que o 
sistema está protegendo. É bem mais provável descobrir ataques e atacantes 
pela análise de registro do que detectá-los no momento do ataque. ” 
(WADLOW, 2000). 
 
 
3.11. Quanto ao monitoramento 
 
Para garantir as regras desta Política de segurança, a empresa terá que: 
 
 Implantar sistemas de monitoramento de acesso às estações de trabalho, servidores 
internos e externos, e-mails, navegação, Internet e outros componentes da rede; 
 Inspecionar qualquer arquivo armazenado na rede, esteja no disco local da estação ou 
nas áreas privadas da rede, visando assegurar o rígido cumprimento desta política; 
 Instalar sistemas de proteção e detecção de invasão à rede (firewall, IDS, etc.), para 
garantir a segurança e integridade dos dados e programas armazenados na rede; 
 
12 
 
3.12. Quanto ao backup das informações 
 
A política de backup é uma importante preocupação da estratégia de segurança física. 
O backup adequado será sua salvação, se ocorrer algo muito sério. Mas os backups apresentam 
vários perigos, pois se um visitante tiver acesso ao backup poderá por em risco a informação. 
Porém sem eles, se houver alguma perda dos dados não haverá recuperação. 
 
 
 
4. Considerações Finais 
 
Com base nos princípios da Política de Segurança da Informação, foi possível avaliar o 
segmento dos paradigmas básicos em sua composição: a integridade, como sendo condição na 
qual a informação ou os recursos da informação são protegidos contra modificações não 
autorizadas, a confidencialidade, visando a propriedade de certas informações que não podem 
ser disponibilizadas ou divulgadas sem autorização prévia do seu dono e a disponibilidade, 
característica essa que se relaciona diretamente a possibilidade de acesso por parte daqueles 
que a necessitam para o desempenho de suas atividades a qualquer hora. 
 
13 
 
5. Referências Bibliográficas 
 
CASTELLS, M. A sociedade em rede – a era da informação: economia, sociedade e 
cultura. Vol 1. 5. Ed. São Paulo: Paz e Terra, 1999. 
CARUSO, Carlos Alberto Antônio; STEFFEN, Flavio Deny. Segurança em informática 
e de informações. 2. ed. rev. e ampl. São Paulo: SENAC, 1999. 366 p. 
CHIAVENATO, Idalberto. Introdução à teoria geral da administração. 6. ed. rev. e 
atual. Rio de Janeiro: Campus, 2000. 700 p. 
GIL, Antonio de Loureiro. Segurança em informática. 2. ed. São Paulo: Atlas, 1998. 
192 p. 
IMONIANA, Joshua Onome, Auditoria de Sistemas de Informação; Editora Atlas, 
2001. 
OLIVEIRA, Jayr Figueiredo de, Sistemas de Informação: um Enfoque Gerencial 
Inserido no Contexto Empresarial e Tecnológico. São Paulo : Érica, 2000 
SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de 
computadores: das LANs, MANs e WANs as redes ATM. 2. ed. rev. e ampl. Rio de 
Janeiro: Campus, 1995. 705 p. 
TANENBAUM, As, Redes de Computadores, 4ª edição. Editora Campus, 2001. 
TEIXEIRA Junior, J.H. etal, Redes de Computadores: serviços, administração e 
segurança. São Paulo: Makron, 1999. 
TOFFLER, Alvin. Terceira onda. Tradução João Távora. Rio de Janeiro: Record, 1999. 
491p - Civilização moderna, 1945 
KUROSE James f., Ross, K.W., Redes de computadores e a Internet – Uma nova 
abordagem. Ed. São Paulo: Addson Weslwy, 2003. 
WADLOW, A.Thomas, Projeto e Gerenciamento de Redes Seguras; Editora Campus, 
2000. 
6. Referências Bibliográficas Eletrônicas 
BALLONI, Antonio José. Porque gestão em sistemas e tecnologias da informação? 
Revista Unicamp, Campinas, 2002. Disponível em: 
http://www.revista.unicamp.br/infotec/artigos/balloni.html>. Acessado em: outubro 
de 2005. 
CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no 
Brasil, Práticas de Segurança para Administradores de Redes Internet, 05 de JUN de 
2005. Disponível em:< http://www.cert.br/docs/seg-adm-redes/seg-admredes. 
html#subsec2.1 >. Acessado em: 10 de agosto de 2006. 
FERREIRA, Fernando Nicolau Freitas, Política, Treinamento e Conscientização em 
Segurança, 18 de Abr de 2005. Disponível em:< http://www.modulo.com.br>. 
Acessado em: 10 de agosto de 2006. 
FERREIRA, Fernando Nicolau Freitas, Segurança no acesso de prestadores de serviço, 
29 de Nov de 2004. Disponível em:< http://www.modulo.com.br>. Acessado em: 11 
de agosto de 2006. 
ROCKENBACH, Aléxis, Políticas de Segurança. Disponível em: < 
http://penta.ufrgs.br/gereseg/rfc2196/>. Acessado em: < 10 de ago de 2006> 
UEMURA, Cláudio Norikazu, A importância da segurança da informação, 28 de Mar 
de 2005. Disponível em:< http://www.modulo.com.br>. Acessado em: 11 de agosto 
de 2006.