O documento discute políticas de segurança da informação, definindo-as como conjuntos de regras e procedimentos sobre segurança que requerem aderência da instituição. Ele explica que políticas de segurança da informação são baseadas nos princípios da TI e fornecem diretrizes formais sobre o que é permitido e as ações a serem tomadas em casos de incidentes. Além disso, o documento discute padrões, guias e procedimentos que apoiam as políticas de segurança.
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
3 - segurança - psi
1. Gerência de Redes de
Computadores
- Política de Segurança da Informação -
Prof. André Peres
andre.peres@poa.ifrs.edu.br
2. Sobre este material
• Vídeos da apresentação em:
http://youtu.be/_oRit_OIjfA
Este trabalho está licenciado sob uma Licença Creative Commons
Atribuição-NãoComercial-SemDerivações 4.0 Internacional. Para ver uma
cópia desta licença, visite http://creativecommons.org/licenses/by-nc-nd/4.0/.
3. Política de Segurança da
Informação
• Definição:
• Conjunto de documentos estabelecendo regras e
procedimentos sobre segurança
• Requer aderência com a instituição
• Prevê as ações disciplinares
• Auxiliada por padrões, guias e procedimentos
4. Política de Segurança da
Informação
• Definição:
• Baseia-se nos Princípios da TI
[visão,missão,valores → princípios da TI]
• Fornece ciência formal:
• do que é ou não permitido;
• das penalidades;
• das ações a serem tomadas em casos de
incidentes de segurança.
10. Política de Segurança da
Informação
• Outros exemplos de políticas:
http://www.sans.org/security-resources/policies/
11. Política de Segurança da
Informação
• Padrões:
• ação ou regra que dá suporte à PSI
• torna a política efetiva definindo questões práticas
• inclui especificações de hardware, software ou
comportamento
• ex: configurações de equipamentos como roteadores
sem fios, configurações de S.O., ...
12. Política de Segurança da
Informação
• Guias:
• recomendações ou instruções administrativas
• boas práticas a serem adotadas
• foco no usuário → impacto na cultura de segurança
• ex: guia de como escolher uma senha forte
13. Política de Segurança da
Informação
• Procedimentos:
• guia técnico de como realizar uma operação
• deve ser seguido !
• foco no aspecto técnico
• passo-a-passo de comandos/ações
• ex: como realizar o procedimento de backup
15. Política de Segurança da
Informação
• Exemplo: redes sem fios
• Política:
• como a rede sem fios deve ser utilizada
• quem pode utilizar a rede sem fios e em quais situações
• penalidades em caso de uso indevido
• Padrões:
• padrão de rede sem fios utilizada (b,a,g,n,a/c,...)
• padrão de criptografia que deve ser utilizado (WPA2,...)
• Guias:
• cartilha sobre aspectos de segurança das redes sem fios
• Procedimentos:
• passo-a-passo de como configurar os roteadores sem fios
da empresa
17. Política de Segurança da
Informação
• Exemplos de Políticas:
• política de senhas
• política de uso de criptografia
• política de uso de sistemas
• política de instalação de software
• política de "mesa limpa"
• política de email
• política de respostas a incidentes
• política de uso de dispositivos móveis
• política de acesso remoto
• política de rede sem fios
• política de cópias de segurança
• política de BYOD (Bring Your Own Device)
• ...
18. Política de Segurança da
Informação
• Atualização dos documentos:
• política genérica
• em casos de incidentes
• revisão periódica (6 meses/1 ano)
• políticas de sistemas
• em casos de incidentes
• troca de versão/troca de sistema
• revisão periódica (6 meses/1 ano)
• padrões
• em casos de incidentes
• atualização/troca de equipamentos ou sistemas
• revisão periódica (6 meses/1 ano)
19. Política de Segurança da
Informação
• Atualização dos documentos:
• procedimentos
• em casos de incidentes
• atualização/troca de equipamentos ou sistemas
• revisão periódica (6 meses/1 ano)
• guias
• em casos de incidentes
• troca de versão/troca de sistema
• necessidade de mudança no comportamento de
usuários
• revisão periódica (6 meses/1 ano)
20. Política de Segurança da
Informação
• Visão geral
• os documentos devem ser acessíveis e de conhecimento
de todos
• devem ser de fácil interpretação e concisos
• devem possuir aderência com a empresa/instituição
• são a base para implantação de mecanismos !!!
• devem contemplar todos os pontos levantados na
Análise de Riscos !!!