Política de segurança de

informações

Seção 1 Qual é o papel da política de segurança da

nformação?
Seção 2 Como realizar a análise de riscos?
Seção 3 Inventário e recursos
Seção 4 Como efetuar os controles de acesso lógico?
Seção 5 Como executar os controles de acesso
físico?
Seção 6 Como realizar os controles ambientais?
 Qual é o papel da política de segurança da nformação?

Tendo como propósito fornecer orientação e apoio às ações de gestão

de segurança, a política de segurança da informação assume uma
grande abrangência e, por conta disto, é subdividida em três blocos:
procedimentos/instruções, diretrizes e normas, que são destinados,
respectivamente, às camadas operacional, tática e estratégica.
a) Procedimentos/instruções: estabelecem padrões,
responsabilidades e critérios para o manuseio, armazenamento,
transporte e descarte das informações dentro do nível de segurança
estabelecido sob medida pela e para a empresa. Portanto, a política
das empresas deve ser sempre personalizada.
b) Diretrizes: por si só tem papel estratégico, pois precisam
expressar a importância que a empresa dá à informação, além de
comunicar aos funcionários seus valores e seu comprometimento em
incrementar a segurança a sua cultura organizacional.
c) Normas: é notória a necessidade do envolvimento da alta
direção, que terá a responsabilidade de fazer refl etir o caráter oficial
da política da empresa através de comunicação e compartilhamento
com seus funcionários.
Este instrumento deve expressar as preocupações dos executivos e
definir as linhas de ação que orientarão as atividades táticas e
operacionais.
Responsabilidades dos proprietários e custodiantes das informações,
métricas, índices e indicadores do nível de segurança, controles de
conformidade legal, requisitos de educação e capacitação de
usuários, mecanismos de controle de acesso físico e lógico,
responsabilizações, auditoria do uso de recursos, registros de
incidentes e gestão da continuidade do negócio são algumas das
dimensões a serem tratadas pela política de segurança.
Qual é o objetivo da política de segurança?
A política de segurança tem como objetivo prover à direção da
organização orientação e apoio para a segurança da informação,
preservando:
Caráter confidencial – Garantia de que o acesso à informação
seja obtido somente por pessoas autorizadas;
Integridade – salvaguardar a exatidão e completeza da
informação e dos métodos de processamento.
Disponibilidade – Garantia de que os usuários autorizados
obtenham acesso à informação e aos ativoscorrespondentes
sempre que necessário.
Como efetivar o documento da política da segurança da
informação?
É conveniente que este documento expresse as preocupações da
direção e estabeleça as linhas-mestras para a gestão de segurança da
informação.
É aconselhável, segundo a ABNT (NBR ISO/IEC 17799:1), que o
documento da política seja aprovado pela classe executiva da
empresa, publicado e comunicado de forma adequada para todos os
funcionários.
No mínimo, é interessante que as seguintes orientações sejam
incluídas:
Definição de segurança da informação – resumo das metas e
escopo, e a importância da segurança como um mecanismo,
habilitam o compartilhamento da informação;
Declaração do comprometimento – feita pela alta direção,
apoiando as metas e princípios da segurança da informação;
Explanação – breve explanação das políticas, princípio, padrões
e requisitos de conformidade com a importância específica para a
organização.
Por exemplo:
Conformidade com a legislação e cláusulas contratuais.
Requisitos na educação de segurança.
Prevenção e detecção de vírus e softwares maliciosos.
Gestão de continuidade do negócio.
Conseqüências das violações na política de segurança da informação.
Definição das responsabilidades – definição em linhas gerais e
especificas à gestão da segurança da informação, incluindo o registro
dos incidentes de segurança.
Documentação – referências à documentações que possam apoiar a
política da empresa. Por exemplo, políticas e procedimentos de
segurança com detalhes dos sistemas de informação específicos ou
regras de segurança a serem seguidas.
Em qualquer atividade organizacional, a primeira tarefa a ser
realizada é a defi nição do que se deseja, fixando-se os objetivos
a serem atendidos, definindo-se os meios e recursos necessários,
estabelecendo-se as etapas a cumprir e os prazos das mesmas.
Somente após uma análise do que se que deseja é que se inicia a
execução do plano de ação para a implantação da política de
segurança. Este plano não é fixo. Ele deve ser maleável o suficiente
para permitir que algumas modificações inesperadas ocorram.
Que diretrizes se inserem na política de segurança?

Uma típica política de segurança ou uma política de uso aceitável de

recursos computacionais deve abranger diretrizes claras a respeito,
pelo menos, dos seguintes aspectos:
Como realizar a análise de riscos?
É bastante interessante que a política de segurança de informações
tenha uma pessoa responsável por sua manutenção e análise crítica,
e que esteja de acordo com um processo definido.
Quando realizar as análises?
Convém que este processo ocorra na decorrência de qualquer
mudança que venha a afetar a avaliação de risco original, como,
por exemplo, um incidente de segurança significativo, novas
vulnerabilidades ou, até mesmo, mudanças organizacionais ou na
infraestrutura técnica.
É interessante, também, que sejam agendadas as seguintes análises
periódicas:
1. Efetividade da política: demonstrada pelo tipo, volume e
impacto dos incidentes de segurança registrados;
2. Custo e impacto dos controles na efi ciência do negócio;
3. Efeitos das mudanças na tecnologia. A finalidade desta análise
é obter uma medida da segurança existente em determinado
ambiente.
A primeira consideração relacionada com segurança de ativos de
informações, como qualquer outra modalidade de segurança, é~a
relação custo-benefício. Não se gastam recursos em segurança que
não tenham retorno à altura, isto é, não se gasta mais dinheiro em
proteção do que o valor do ativo a ser protegido.
Outro ponto a ser considerado é que a análise deve contemplar todos os
momentos do ciclo de vida da informação.
O ciclo de vida da informação pode ser defi nido nas seguintes etapas:
Manuseio - momento em que a informação é criada ou manipulada, seja
ao digitar um documento eletrônico, preencher um formulário de
colaboração ou ainda, folhear um maço de papéis.
Armazenamento - momento em que a informação gerada ou manipulada
é armazenada, seja em um papel post-it ou ainda em mídia eletrônica,
como um disquete, CD-ROM ou disco rígido.
Transporte - momento em que a informação é transportada, seja ao
mandar uma carta pelo correio, enviar informações via correio eletrônico,
falar ao telefone ou, até mesmo, mandar informações via fax.
Descarte - Momento em que a informação é descartada, seja ao
depositar na lixeira da empresa um material impresso, seja ao
eliminar um arquivo eletrônico do computador, ou até mesmo ao
descartar um CD-ROM usado que apresentou falha na leitura.
Dentro de uma análise de riscos, deve-se ter a noção de dois fatores
que influenciam na determinação da medida de segurança: o grau
de impacto que a ocorrência terá e o nível de exposição causado por
este sinistro.
O grau de impacto ocorre quanto cada área ou a empresa inteira
sofre as consequências da falta de disponibilidade, da integridade
ou do caráter confidencial da informação.
O nível de exposição está relacionado com o grau de risco
inerente a cada processo ou produto, ou seja, está
diretamente relacionado com a probabilidade de ocorrência
de um evento danoso para um determinado ativo.
Nesta análise, também, deve constar uma classificação da
informação quanto ao sigilo e preservação, para que possa ser
planejada uma política de segurança que atenda à demanda
crescente de segurança.