SlideShare ist ein Scribd-Unternehmen logo
1 von 36
Downloaden Sie, um offline zu lesen
Carlos Henrique M. da Silva
carloshenrique.85@globo.com
 A Política de Segurança da Informação é formada por um conjunto de
Procedimentos, Normas, Diretrizes e Instruções que comanda as atuações de
trabalho e define os critérios de segurança para que sejam adotados com o
OBJETIVO de estabelecer, padronizar e normatizar a segurança e seus
processos tanto no escopo humano como no tecnológico.
 Deve indicar como as coisas devem acontecer na organização no que se refere à
segurança da informação.
 Objetivo Principal: Estabelecer um padrão de comportamento que seja
conhecido por todos na organização e que sirva como base para decisões da alta
administração em assuntos relacionados com a segurança da informação.
Muita gente confunde o que é uma norma e o que é uma diretriz, por
isso vou citar um exemplo que contém as diferenças entre as duas:
 É muito importante lembrar que a PSI não é um documento independente
com regras de conduta desconexas de tudo o que já existe. NÃO, a política
é na verdade a continuidade de regras, normas e leis já existentes. De fato
é a especificação e detalhamento maior desses atos legais.
 Se a empresa possuir algum regimento ou regulamento interno, este deve
ser não apenas respeitado mas como também referenciado na PSI, o
mesmo deve acontecer com as normas e as leis.
 Por exemplo, as punições previstas para o não-cumprimento da PSI devem
respeitar as leis trabalhistas, como a CLT.
Algumas normas definem aspectos que devem ser levados em
consideração ao elaborar uma PSI. Entre essas normas estão
a BS 7799 (elaborada pela British Standards Institution) e a
NBR ISO/IEC 17799 (a versão brasileira desta primeira). A
ISO começou a publicar a série de normas 27000, em
substituição à ISO 17799 (e por conseguinte à BS 7799), das
quais a primeira, ISO 27001, foi publicada em 2005.
 A política deve estar baseada na análise de risco e ter como
objetivo a padronização de ambientes e processos de forma
a diminuir os riscos. Sua criação está diretamente ligada à
concretização dessa análise pois, através do levantamento
das vulnerabilidades, pode-se elaborar a documentação de
segurança, com o objetivo de minimizar os riscos de que as
ameaças se transformarem em incidentes.
 PROCESSUAL 
TECNOLÓGICA 
HUMANA
 Formalizar os processos de segurança que
serão implementados na empresa.
Exemplos destes processos são: a
classificação da informação, o processo de
análise de riscos e as responsabilidades e
alçadas de decisão neste e processos de
exceção às normas de segurança, afinal,
estas hão de haver.
PROCESSOS DE SEGURANÇA DA INFORMAÇÃO
TECNOLÓGICA
 Alguns consideram que a segurança das informações é
apenas um problema tecnológico. Mas o importante é
definir os aspectos mais relevantes e críticos do bom
funcionamento de servidores, estações de trabalho, acesso
à Internet, etc. Para isso, o apoio da administração é
fundamental, pois sem ela o programa de segurança ficaria
sem investimentos para a aquisição dos recursos
necessários. No entanto, não se deve deixar de lado as
questões relacionadas à boa conduta e à ética profissional
dos usuários.
 Outros vêem a segurança como um problema unicamente
humano. É importante definir primeiro a conduta
considerada adequada para o tratamento das
informações e dos recursos utilizados. Assim, sem o apoio da
administração, o programa de segurança não consegue dirigir as
ações necessárias para modificar a cultura da segurança atual. O
resultado é um programa de segurança sem o nível de cultura
desejado e a falta de um monitoramento mais apropriado ao
orientar funcionários, fornecedores, clientes e parceiros. No
entanto, não se deve deixar de lado as questões
tecnológicas e sua sofisticação, uma vez que também são
fatores determinantes para a implementação de soluções de
segurança adequadas e eficientes.
HUMANA
 Para elaborar uma política de segurança da
informação, é importante levar em consideração as
exigências básicas e as etapas necessárias para a
sua produção.
 A) Exigências da política
 B) Etapas de produção
EXIGÊNCIAS DA PSI
 A política é elaborada tomando-se como base a, legislação existente,
cláusulas contratuais, a cultura da empresa e o conhecimento
especializado de segurança dos profissionais envolvidos na sua
aplicação e comprometimento. É importante considerar que para a
elaboração de uma política de segurança institucional é preciso:
 Criar o Comitê de Segurança responsável por diversas definições
que constarão na política;
 Elaborar o documento final.
 Oficializar o uso da política.
INTEGRAR O COMITÊ DE SEGURANÇA
 Formar uma equipe multidisciplinar que represente grande parte dos
aspectos culturais, técnicos e administrativos da empresa e que se reúna
periodicamente dentro de um cronograma pré-estabelecido.
 Esse comitê é formado por um grupo de pessoas responsáveis por atividades
referentes à criação e aprovação de requisitos e demandas de segurança na
empresa.
 Nas reuniões, são definidos os critérios de segurança adotados em cada área
e o esforço comum necessário para que a segurança alcance tais critérios.
PARTES QUE INTEGRAM O DOCUMENTO FINAL
Devem aparecer as preocupações da administração no que se refere à
segurança para que todas as normas, procedimentos e instruções possam vir a
serem definidos. Deve também conter:
 A definição da própria política e seus objetivos;
 Uma declaração da administração que apoie os princípios estabelecidos e uma
explicação das exigências de conformidade com relação a:
 Legislação e cláusulas contratuais;
 Educação e formação em segurança da informação;
 Prevenção contra ameaças (vírus, hackers, incêndios, intempéries, etc.)
PARTES QUE INTEGRAM O DOCUMENTO
FINAL
 Deve conter também a atribuição das responsabilidades das pessoas
envolvidas, ficando claro os papéis de cada um na gestão e execução
dos processos no que diz respeito a segurança;
 Não esquecer que toda documentação já existente sobre como realizar
as tarefas deve ser analisada com relação aos princípios de segurança
das informações, para aproveitar ao máximo as práticas atuais, avaliando
e agregando segurança a essas tarefas.
OFICIALIZAR A POLÍTICA
 A oficialização de uma política tem como base a sua aprovação por
parte da administração da empresa.
 Deve ser publicada e comunicada de maneira adequada para todos os
funcionários, parceiros, prestadores de serviços e clientes.
 Uma vez que as políticas são guias para orientar a ação das pessoas
que interagem com os processos da empresa, apresentamos a seguir
exemplos que ilustram como essas ações podem comprometer a
eficácia da política de segurança.
1. Definições gerais;
a. Carta do diretor;
b. Conceitos de SI.
2. Objetivos e metas;
3. Responsabilidades pela
PSI;
4. Registro de incidentes;
5. Diretrizes;
6. Normas;
7. Revisão da PSI;
8. Questões Legais e de
Regulamentação;
9. Pensando na Auditoria;
10. Composição da Política*;
11. Características Inerentes
da Política*;
12. Características de Uso da
Política*.
* ILUSTRADOS NO PRÓXIMO SLIDE
Fatores Externos Fatores Internos
 Caso já exista um padrão de estruturação de documentos para as
políticas dentro da empresa, ele pode ser adotado. No entanto,
sugerimos a seguir um modelo de estrutura de política que pode ser
desenvolvido dentro da sua organização. Apesar de mudanças de
nomenclatura de empresa para empresa, é muito freqüente encontrar
esta divisão em três níveis. Nesse modelo, vemos que uma política de
segurança está formada por três grandes seções:
◦ Diretrizes;
◦ Normas;
◦ Procedimentos e as Instruções de Trabalho.
Aula 3 - Política de Segurança da Informação (PSI)
DIRETRIZES (ESTRATÉGICO)
 Conjunto de regras gerais de nível estratégico em que são
expressados os valores de segurança da organização que a empresa entende
como sendo importantes. É endossado pelo líder empresarial da organização e
tem como base sua visão e missão para abarcar toda a filosofia de
segurança das informações.
 As diretrizes correspondem às preocupações da empresa sobre a
segurança das informações, ao estabelecer seus objetivos, meios e
responsabilidades.
 As diretrizes estratégicas, no contexto da segurança, correspondem a todos os
valores que devem ser seguidos para que o principal patrimônio da
empresa, que são as informações, tenha o nível de segurança exigido.
NORMAS (TÁTICO)
 Conjunto de regras gerais da segurança das informações que
devem ser usadas por todos os segmentos envolvidos nos processos de
negócio da instituição e que normalmente são elaboradas com foco em
assuntos mais específicos como controle de acesso, uso da Internet,
uso do correio eletrônico, acesso físico, etc.
 As normas, por estarem em um nível tático, podem ser
específicas para o público a que se destinam. Normalmente
esta divisão ocorre para:
◦ Normas de segurança para técnicos;
◦ Normas de segurança para usuários.
NORMAS DE SEGURANÇA PARA TÉCNICOS
 Regras gerais de segurança da informação dirigidas para os que cuidam de
ambientes informatizados (administradores de rede, analistas, etc.),
elaboradas de forma genérica cobrindo coisas como periodicidade para
troca de senhas, backups, acesso físico e outros.
NORMAS DE SEGURANÇA PARA USUÁRIOS
 Regras gerais de segurança das informações com o propósito de regular a
utilização dos recursos, elaborada de forma genérica cobrindo coisas como
cuidados com senhas, procedimentos para autorizar um acesso que os
usuários solicitam, cuidados no uso do e-mail, entre outros.
PROCEDIMENTOS E INSTRUÇÕES DE TRABALHO
(OPERACIONAL)
 PROCEDIMENTOS
Conjunto de orientações para realizar atividades operacionais relacionadas a
segurança. Estas atividades operacionais envolvem procedimentos passo a passo que
são detalhados, permitindo que sua execução seja padronizada, garantindo a
observação de aspectos de segurança.
 INSTRUÇÕES DE TRABALHO
Conjunto de comandos operacionais a serem executados no momento da realização de
um procedimento de segurança estabelecido por uma norma para os usuários em
questão.
 Para que seja efetiva, a política de segurança precisa contar com os
seguintes elementos como base de sustentação:
◦ Cultura
◦ Ferramentas
◦ Monitoramento
CULTURA
 O treinamento de pessoas deve ser constante,
de forma que toda a empresa esteja atualizada
em relação aos conceitos e normas de
segurança, além de formar a consciência de
segurança para torná-la um esforço comum
entre todos os envolvidos.
FERRAMENTAS
 Os recursos humanos, financeiros e as ferramentas
devem estar de acordo com as necessidades de
segurança. Parte da segurança pode ser automatizada ou
mais bem controlada com ferramentas específicas, como
dispositivos de controle de acesso, mecanismos
antifraude, etc.
MONITORAMENTO
 A implementação da política de segurança deve ser
constantemente monitorada. É necessário
efetuar um ciclo de manutenção para manter a
política sempre atualizada e refletindo a realidade da
empresa. Deve-se também adaptar a segurança
às novas tecnologias, às mudanças
administrativas e ao surgimento de novas ameaças.
O sucesso da implantação de um sistema e uma política de segurança na
empresa depende em grande parte do profundo conhecimento dos processos
envolvidos nessa implantação.
Uma política se encontra bem implementada quando:
◦ Reflete os objetivos do negócio, isto é, está sempre de acordo com os requisitos
necessários para alcançar as metas estabelecidas.
◦ Agrega segurança aos processos de negócio e garante um gerenciamento inteligente
dos riscos.
◦ Está de acordo com a cultura organizacional e está sustentada pelo compromisso e
pelo apoio da administração.
◦ Permite um bom entendimento das exigências de segurança e uma avaliação e
gerenciamento dos riscos a que a organização está submetida.
A IMPLANTAÇÃO DA PSI DEPENDE DE:
 Uma boa estratégia de divulgação entre os usuários.
 Campanhas, treinamentos, bate-papos de divulgação,
sistemas de aprendizagem.
 Outros mecanismos adotados para fazer da segurança um
elemento comum a todos.
Para elaborar uma política, é necessário delimitar os
temas que serão transformados em normas.
A divisão dos temas de uma política depende das
necessidades da organização, e sua delimitação é feita a
partir de:
◦ Conhecimento do ambiente organizacional, humano e tecnológico;
◦ Compilação das preocupações sobre segurança por parte dos
usuários, administradores e executivos da empresa.
ALGUNS EXEMPLOS DE TEMAS POSSÍVEIS SÃO:
 Segurança física: aceso físico, infra-estrutura do edifício, datacenter.
 Segurança da rede corporativa: configuração dos sistemas
operacionais, acesso lógico e remoto, autenticação, Internet, gerenciamento
de mudanças, desenvolvimento de aplicativos.
 Segurança de usuários: composição de senhas, segurança em
estações de trabalho.
 Segurança de dados: criptografia, classificação, privilégios, cópias de
segurança e recuperação, antivírus, plano de contingência.
 Aspectos legais: práticas pessoais, contratos e acordos comerciais, leis e
regulamentações governamentais.
Uma vez elaborada, a política de segurança é importante para
garantir que haja controles adequados após a sua
implementação.
Ela deve cumprir com pelo menos dois propósitos:
 Ajudar na seleção de produtos e no desenvolvimento de
processos.
 Realizar uma documentação das preocupações da direção sobre
segurança para garantir o negócio da empresa.
Quando a política é utilizada de forma correta, podemos dizer que
traz algumas vantagens como:
 Permite definir controles em sistemas.
 Permite estabelecer os direitos de acesso com base nas funções de cada
pessoa.
 Permite a orientação dos usuários em relação à disciplina necessária para
evitar violações de segurança.
 Estabelece exigências que pretendem evitar que a organização seja
prejudicada em casos de quebra de segurança.
 Permite a realização de investigações de delitos nos computadores.
 É o primeiro passo para transformar a segurança em um esforço comum.
COMO UMA POLÍTICA DE SEGURANÇA TEM UM IMPACTO NA
FORMA DE TRABALHO DIÁRIO DAS PESSOAS, ELA DEVE SER:
 CLARA (escrita em boa forma e linguagem formal, porém acessível);
 CONCISA (evitar informações desnecessárias ou redundantes);
 DE ACORDO COM A REALIDADE PRÁTICA DA EMPRESA (para que
possa ser reconhecida como um elemento institucional).
 ATUALIZADA PERIODICAMENTE (Revisão da PSI).
 Formado em Análise de Sistemas
 Pós-Graduado em Auditoria em T.I.
 Gerente de TI da CLIOC – Coleção de Leishmania do Instituto
Oswaldo Cruz – Fiocruz
 Certificado em Gestão de Segurança da Informação e
Gerenciamento de T.I. pela Academia Latino-Americana (Microsoft
TechNet / Módulo Security)
Carlos Henrique M. da Silva
carloshenrique.85@globo.com

Más contenido relacionado

Was ist angesagt?

Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Cleber Ramos
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação   diretrizes geraisPolítica de segurança da informação   diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFábio Ferreira
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoDaiana de Ávila
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 

Was ist angesagt? (20)

Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação   diretrizes geraisPolítica de segurança da informação   diretrizes gerais
Política de segurança da informação diretrizes gerais
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Computação nas nuvens
Computação nas nuvensComputação nas nuvens
Computação nas nuvens
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplos
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Seguranca de rede
Seguranca de redeSeguranca de rede
Seguranca de rede
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 

Ähnlich wie Aula 3 - Política de Segurança da Informação (PSI)

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informaçãoRafael Ferreira
 
Práticas e Modelos de Segurança
Práticas e Modelos de SegurançaPráticas e Modelos de Segurança
Práticas e Modelos de SegurançaDiego Souza
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Thiago Rosa
 
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docxATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docxjosepedro158321
 
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docxATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docxjosepedro158321
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 

Ähnlich wie Aula 3 - Política de Segurança da Informação (PSI) (20)

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informação
 
Práticas e Modelos de Segurança
Práticas e Modelos de SegurançaPráticas e Modelos de Segurança
Práticas e Modelos de Segurança
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...
 
Compliance
ComplianceCompliance
Compliance
 
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docxATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
 
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docxATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
ATIVIDADE 1 - REDES - SEGURANÇA DE REDES - 532023.docx
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 

Mehr von Carlos Henrique Martins da Silva (14)

eXtensible Markup Language (XML)
eXtensible Markup Language (XML)eXtensible Markup Language (XML)
eXtensible Markup Language (XML)
 
eXtreme Programming (XP)
eXtreme Programming (XP)eXtreme Programming (XP)
eXtreme Programming (XP)
 
Rational Unified Process (RUP)
Rational Unified Process (RUP)Rational Unified Process (RUP)
Rational Unified Process (RUP)
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - Backdoor
 
Aula 8 - SQL Injection
Aula 8 - SQL InjectionAula 8 - SQL Injection
Aula 8 - SQL Injection
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força Bruta
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Aula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado DigitalAula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado Digital
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
 
Deep web
Deep webDeep web
Deep web
 
Segurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da SilvaSegurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 

Aula 3 - Política de Segurança da Informação (PSI)

  • 1. Carlos Henrique M. da Silva carloshenrique.85@globo.com
  • 2.  A Política de Segurança da Informação é formada por um conjunto de Procedimentos, Normas, Diretrizes e Instruções que comanda as atuações de trabalho e define os critérios de segurança para que sejam adotados com o OBJETIVO de estabelecer, padronizar e normatizar a segurança e seus processos tanto no escopo humano como no tecnológico.  Deve indicar como as coisas devem acontecer na organização no que se refere à segurança da informação.  Objetivo Principal: Estabelecer um padrão de comportamento que seja conhecido por todos na organização e que sirva como base para decisões da alta administração em assuntos relacionados com a segurança da informação.
  • 3. Muita gente confunde o que é uma norma e o que é uma diretriz, por isso vou citar um exemplo que contém as diferenças entre as duas:
  • 4.  É muito importante lembrar que a PSI não é um documento independente com regras de conduta desconexas de tudo o que já existe. NÃO, a política é na verdade a continuidade de regras, normas e leis já existentes. De fato é a especificação e detalhamento maior desses atos legais.  Se a empresa possuir algum regimento ou regulamento interno, este deve ser não apenas respeitado mas como também referenciado na PSI, o mesmo deve acontecer com as normas e as leis.  Por exemplo, as punições previstas para o não-cumprimento da PSI devem respeitar as leis trabalhistas, como a CLT.
  • 5. Algumas normas definem aspectos que devem ser levados em consideração ao elaborar uma PSI. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
  • 6.  A política deve estar baseada na análise de risco e ter como objetivo a padronização de ambientes e processos de forma a diminuir os riscos. Sua criação está diretamente ligada à concretização dessa análise pois, através do levantamento das vulnerabilidades, pode-se elaborar a documentação de segurança, com o objetivo de minimizar os riscos de que as ameaças se transformarem em incidentes.
  • 8.  Formalizar os processos de segurança que serão implementados na empresa. Exemplos destes processos são: a classificação da informação, o processo de análise de riscos e as responsabilidades e alçadas de decisão neste e processos de exceção às normas de segurança, afinal, estas hão de haver. PROCESSOS DE SEGURANÇA DA INFORMAÇÃO
  • 9. TECNOLÓGICA  Alguns consideram que a segurança das informações é apenas um problema tecnológico. Mas o importante é definir os aspectos mais relevantes e críticos do bom funcionamento de servidores, estações de trabalho, acesso à Internet, etc. Para isso, o apoio da administração é fundamental, pois sem ela o programa de segurança ficaria sem investimentos para a aquisição dos recursos necessários. No entanto, não se deve deixar de lado as questões relacionadas à boa conduta e à ética profissional dos usuários.
  • 10.  Outros vêem a segurança como um problema unicamente humano. É importante definir primeiro a conduta considerada adequada para o tratamento das informações e dos recursos utilizados. Assim, sem o apoio da administração, o programa de segurança não consegue dirigir as ações necessárias para modificar a cultura da segurança atual. O resultado é um programa de segurança sem o nível de cultura desejado e a falta de um monitoramento mais apropriado ao orientar funcionários, fornecedores, clientes e parceiros. No entanto, não se deve deixar de lado as questões tecnológicas e sua sofisticação, uma vez que também são fatores determinantes para a implementação de soluções de segurança adequadas e eficientes. HUMANA
  • 11.  Para elaborar uma política de segurança da informação, é importante levar em consideração as exigências básicas e as etapas necessárias para a sua produção.  A) Exigências da política  B) Etapas de produção
  • 12. EXIGÊNCIAS DA PSI  A política é elaborada tomando-se como base a, legislação existente, cláusulas contratuais, a cultura da empresa e o conhecimento especializado de segurança dos profissionais envolvidos na sua aplicação e comprometimento. É importante considerar que para a elaboração de uma política de segurança institucional é preciso:  Criar o Comitê de Segurança responsável por diversas definições que constarão na política;  Elaborar o documento final.  Oficializar o uso da política.
  • 13. INTEGRAR O COMITÊ DE SEGURANÇA  Formar uma equipe multidisciplinar que represente grande parte dos aspectos culturais, técnicos e administrativos da empresa e que se reúna periodicamente dentro de um cronograma pré-estabelecido.  Esse comitê é formado por um grupo de pessoas responsáveis por atividades referentes à criação e aprovação de requisitos e demandas de segurança na empresa.  Nas reuniões, são definidos os critérios de segurança adotados em cada área e o esforço comum necessário para que a segurança alcance tais critérios.
  • 14. PARTES QUE INTEGRAM O DOCUMENTO FINAL Devem aparecer as preocupações da administração no que se refere à segurança para que todas as normas, procedimentos e instruções possam vir a serem definidos. Deve também conter:  A definição da própria política e seus objetivos;  Uma declaração da administração que apoie os princípios estabelecidos e uma explicação das exigências de conformidade com relação a:  Legislação e cláusulas contratuais;  Educação e formação em segurança da informação;  Prevenção contra ameaças (vírus, hackers, incêndios, intempéries, etc.)
  • 15. PARTES QUE INTEGRAM O DOCUMENTO FINAL  Deve conter também a atribuição das responsabilidades das pessoas envolvidas, ficando claro os papéis de cada um na gestão e execução dos processos no que diz respeito a segurança;  Não esquecer que toda documentação já existente sobre como realizar as tarefas deve ser analisada com relação aos princípios de segurança das informações, para aproveitar ao máximo as práticas atuais, avaliando e agregando segurança a essas tarefas.
  • 16. OFICIALIZAR A POLÍTICA  A oficialização de uma política tem como base a sua aprovação por parte da administração da empresa.  Deve ser publicada e comunicada de maneira adequada para todos os funcionários, parceiros, prestadores de serviços e clientes.  Uma vez que as políticas são guias para orientar a ação das pessoas que interagem com os processos da empresa, apresentamos a seguir exemplos que ilustram como essas ações podem comprometer a eficácia da política de segurança.
  • 17. 1. Definições gerais; a. Carta do diretor; b. Conceitos de SI. 2. Objetivos e metas; 3. Responsabilidades pela PSI; 4. Registro de incidentes; 5. Diretrizes; 6. Normas; 7. Revisão da PSI; 8. Questões Legais e de Regulamentação; 9. Pensando na Auditoria; 10. Composição da Política*; 11. Características Inerentes da Política*; 12. Características de Uso da Política*. * ILUSTRADOS NO PRÓXIMO SLIDE
  • 19.  Caso já exista um padrão de estruturação de documentos para as políticas dentro da empresa, ele pode ser adotado. No entanto, sugerimos a seguir um modelo de estrutura de política que pode ser desenvolvido dentro da sua organização. Apesar de mudanças de nomenclatura de empresa para empresa, é muito freqüente encontrar esta divisão em três níveis. Nesse modelo, vemos que uma política de segurança está formada por três grandes seções: ◦ Diretrizes; ◦ Normas; ◦ Procedimentos e as Instruções de Trabalho.
  • 21. DIRETRIZES (ESTRATÉGICO)  Conjunto de regras gerais de nível estratégico em que são expressados os valores de segurança da organização que a empresa entende como sendo importantes. É endossado pelo líder empresarial da organização e tem como base sua visão e missão para abarcar toda a filosofia de segurança das informações.  As diretrizes correspondem às preocupações da empresa sobre a segurança das informações, ao estabelecer seus objetivos, meios e responsabilidades.  As diretrizes estratégicas, no contexto da segurança, correspondem a todos os valores que devem ser seguidos para que o principal patrimônio da empresa, que são as informações, tenha o nível de segurança exigido.
  • 22. NORMAS (TÁTICO)  Conjunto de regras gerais da segurança das informações que devem ser usadas por todos os segmentos envolvidos nos processos de negócio da instituição e que normalmente são elaboradas com foco em assuntos mais específicos como controle de acesso, uso da Internet, uso do correio eletrônico, acesso físico, etc.  As normas, por estarem em um nível tático, podem ser específicas para o público a que se destinam. Normalmente esta divisão ocorre para: ◦ Normas de segurança para técnicos; ◦ Normas de segurança para usuários.
  • 23. NORMAS DE SEGURANÇA PARA TÉCNICOS  Regras gerais de segurança da informação dirigidas para os que cuidam de ambientes informatizados (administradores de rede, analistas, etc.), elaboradas de forma genérica cobrindo coisas como periodicidade para troca de senhas, backups, acesso físico e outros. NORMAS DE SEGURANÇA PARA USUÁRIOS  Regras gerais de segurança das informações com o propósito de regular a utilização dos recursos, elaborada de forma genérica cobrindo coisas como cuidados com senhas, procedimentos para autorizar um acesso que os usuários solicitam, cuidados no uso do e-mail, entre outros.
  • 24. PROCEDIMENTOS E INSTRUÇÕES DE TRABALHO (OPERACIONAL)  PROCEDIMENTOS Conjunto de orientações para realizar atividades operacionais relacionadas a segurança. Estas atividades operacionais envolvem procedimentos passo a passo que são detalhados, permitindo que sua execução seja padronizada, garantindo a observação de aspectos de segurança.  INSTRUÇÕES DE TRABALHO Conjunto de comandos operacionais a serem executados no momento da realização de um procedimento de segurança estabelecido por uma norma para os usuários em questão.
  • 25.  Para que seja efetiva, a política de segurança precisa contar com os seguintes elementos como base de sustentação: ◦ Cultura ◦ Ferramentas ◦ Monitoramento
  • 26. CULTURA  O treinamento de pessoas deve ser constante, de forma que toda a empresa esteja atualizada em relação aos conceitos e normas de segurança, além de formar a consciência de segurança para torná-la um esforço comum entre todos os envolvidos.
  • 27. FERRAMENTAS  Os recursos humanos, financeiros e as ferramentas devem estar de acordo com as necessidades de segurança. Parte da segurança pode ser automatizada ou mais bem controlada com ferramentas específicas, como dispositivos de controle de acesso, mecanismos antifraude, etc.
  • 28. MONITORAMENTO  A implementação da política de segurança deve ser constantemente monitorada. É necessário efetuar um ciclo de manutenção para manter a política sempre atualizada e refletindo a realidade da empresa. Deve-se também adaptar a segurança às novas tecnologias, às mudanças administrativas e ao surgimento de novas ameaças.
  • 29. O sucesso da implantação de um sistema e uma política de segurança na empresa depende em grande parte do profundo conhecimento dos processos envolvidos nessa implantação. Uma política se encontra bem implementada quando: ◦ Reflete os objetivos do negócio, isto é, está sempre de acordo com os requisitos necessários para alcançar as metas estabelecidas. ◦ Agrega segurança aos processos de negócio e garante um gerenciamento inteligente dos riscos. ◦ Está de acordo com a cultura organizacional e está sustentada pelo compromisso e pelo apoio da administração. ◦ Permite um bom entendimento das exigências de segurança e uma avaliação e gerenciamento dos riscos a que a organização está submetida.
  • 30. A IMPLANTAÇÃO DA PSI DEPENDE DE:  Uma boa estratégia de divulgação entre os usuários.  Campanhas, treinamentos, bate-papos de divulgação, sistemas de aprendizagem.  Outros mecanismos adotados para fazer da segurança um elemento comum a todos.
  • 31. Para elaborar uma política, é necessário delimitar os temas que serão transformados em normas. A divisão dos temas de uma política depende das necessidades da organização, e sua delimitação é feita a partir de: ◦ Conhecimento do ambiente organizacional, humano e tecnológico; ◦ Compilação das preocupações sobre segurança por parte dos usuários, administradores e executivos da empresa.
  • 32. ALGUNS EXEMPLOS DE TEMAS POSSÍVEIS SÃO:  Segurança física: aceso físico, infra-estrutura do edifício, datacenter.  Segurança da rede corporativa: configuração dos sistemas operacionais, acesso lógico e remoto, autenticação, Internet, gerenciamento de mudanças, desenvolvimento de aplicativos.  Segurança de usuários: composição de senhas, segurança em estações de trabalho.  Segurança de dados: criptografia, classificação, privilégios, cópias de segurança e recuperação, antivírus, plano de contingência.  Aspectos legais: práticas pessoais, contratos e acordos comerciais, leis e regulamentações governamentais.
  • 33. Uma vez elaborada, a política de segurança é importante para garantir que haja controles adequados após a sua implementação. Ela deve cumprir com pelo menos dois propósitos:  Ajudar na seleção de produtos e no desenvolvimento de processos.  Realizar uma documentação das preocupações da direção sobre segurança para garantir o negócio da empresa.
  • 34. Quando a política é utilizada de forma correta, podemos dizer que traz algumas vantagens como:  Permite definir controles em sistemas.  Permite estabelecer os direitos de acesso com base nas funções de cada pessoa.  Permite a orientação dos usuários em relação à disciplina necessária para evitar violações de segurança.  Estabelece exigências que pretendem evitar que a organização seja prejudicada em casos de quebra de segurança.  Permite a realização de investigações de delitos nos computadores.  É o primeiro passo para transformar a segurança em um esforço comum.
  • 35. COMO UMA POLÍTICA DE SEGURANÇA TEM UM IMPACTO NA FORMA DE TRABALHO DIÁRIO DAS PESSOAS, ELA DEVE SER:  CLARA (escrita em boa forma e linguagem formal, porém acessível);  CONCISA (evitar informações desnecessárias ou redundantes);  DE ACORDO COM A REALIDADE PRÁTICA DA EMPRESA (para que possa ser reconhecida como um elemento institucional).  ATUALIZADA PERIODICAMENTE (Revisão da PSI).
  • 36.  Formado em Análise de Sistemas  Pós-Graduado em Auditoria em T.I.  Gerente de TI da CLIOC – Coleção de Leishmania do Instituto Oswaldo Cruz – Fiocruz  Certificado em Gestão de Segurança da Informação e Gerenciamento de T.I. pela Academia Latino-Americana (Microsoft TechNet / Módulo Security) Carlos Henrique M. da Silva carloshenrique.85@globo.com