View
213
Download
0
Embed Size (px)
Segurana da Informao
Aula 9 Polticas de Segurana
Prof. Dr. Eng. Fred Sauer
http://www.fredsauer.com.br
fsauer@gmail.com
http://www.fredsauer.com.br/
2/33
Poltica de Segurana da
Informao
Poltica de Segurana deInformaes
um documento que serve comomecanismo preventivo de proteo dosdados e processos importantes de umaorganizao, que define um padro desegurana a ser seguido pelo corpo tcnicoe gerencial e pelos usurios, internos ouexternos.
3/33
Poltica de Segurana da
Informao
A Poltica de Segurana um conjunto
de diretrizes, normas, procedimentos e
instrues, destinadas respectivamente aos
nveis estratgico, ttico e operacional,
com o objetivo de estabelecer, padronizar
e normatizar a segurana tanto no escopo
humano como no tecnolgico.
4/33
A Segurana da Informao "inicia" atravs
da definio de uma poltica clara e concisa
acerca da proteo das informaes.
Atravs de uma Poltica de Segurana da
Informao, a empresa formaliza suas
estratgias e abordagens para a preservao
de seus ativos.
Poltica de Segurana da
Informao
5/33
A Poltica de Segurana da Informao deve ser
compreendida como a traduo das expectativas da
empresa em relao a segurana considerando
o alinhamento com os seus objetivos de
negcio, estratgias e cultura.
Poltica de Segurana da
Informao
6/33
Poltica de Segurana de Informaes
Deve estabelecer os papis e responsabilidadesdas funes relacionadas com a segurana
Deve discriminar as principais ameaas, riscos eimpactos envolvidos.
Deve integrar-se s polticas institucionaisrelativas segurana em geral, s metas denegcios da organizao e ao plano estratgicode informtica.
Gera impactos sobre todos os projetos deinformtica, tais como planos de desenvolvimentode novos sistemas e plano de contingncias.
No envolve apenas a rea de informtica, mastodas as informaes da organizao.
Poltica de Segurana da
Informao
Estratgia geral da organizao
Plano estratgico
de
informtica
Poltica de
segurana de
informaes
Planos de desenvolvimento de sistemas
Plano de continuidade de servios
Define
Estabelece
Especifica Gera impactos sobre
Contribui
para
atingir-se
as metas
Relacionamentos da poltica de segurana de informaes:
Poltica de Segurana da
Informao
8/33
Objetivos e Escopo
Prover uma orientao da direo e apoio
para a segurana da informao de acordo
com os requisitos do negcio e com as
leis e regulamentaes relevantes.
[ISO 27002:2013]
Poltica de Segurana da
Informao
9/33
Elaborao da poltica As atividades bsicas do desenvolvimento da Poltica
de Segurana da Informao so:
Estruturar o Comit de Segurana;
Definir Objetivos;
Realizar Entrevistas e Verificar a Documentao Existente;
Elaborar o Glossrio da Poltica de Segurana;
Estabelecer Responsabilidades e Penalidades;
Preparar o Documento Final da PSI;
Oficializar a Poltica da Segurana da Informao;
Sensibilizar os Colaboradores.
Poltica de Segurana da
Informao
10/33
Participao na Poltica de
Segurana
Devem estar envolvidos:
- A alta gerncia;
- A gerncia de segurana de informaes;
- Os vrios gerentes e proprietrios dos sistemas
informatizados e, finalmente;
- Os usurios.
11/33
Ciclo de vida da informao
Manuseio Refere-se ao instante em que a informao criada e/ou
passa a ser manipulada
Armazenamento Como / onde armazenar determinados tipos de
informaes
Transporte Abrange todo o tipo de transporte possvel para uma
informao (fax, e-mail, entrega via transportadora, etc.)
Descarte Procedimentos a serem adotados no momento da
excluso de um informao e quando o descarte deve ocorrer .
Poltica de Segurana da
Informao
12/33
Classificao da Informao
Objetivos
Identificar quais os nveis de proteo que as
informaes disponveis na organizao requerem;
Uma informao pode ser classificada com base
em diversos critrios, entre eles: sigilo, valor e
criticidade;
Definir nveis de proteo e os controles a serem
implementados ao longo do ciclo de vida da
informao.
Poltica de Segurana da
Informao
13/33
Classificao da Informao
Definio
Conjunto de normas, procedimentos e instrues
existentes que tratam sobre como proteger as informaes
A poltica define
Tipos de classificao
Critrios de avaliao e proteo
Responsabilidades
Poltica de Segurana da
Informao
14/33
Classificao da Informao
Benefcios Proteo das informaes importantes / vitais para o
negcio;
Define e compartilha responsabilidades entre as partes;
Ajuda na tomada de decises, uma vez que as informaes
esto bem categorizadas;
Ajuda a criar a cultura da segurana da informao
(conscientizao)
Uso racional dos recursos (controles) utilizados para
proteger as informaes
Cria nveis de proteo de acordo com o valor da informao
Poltica de Segurana da
Informao
15/33
Classificao da Informao
Premissas Deve estar em conformidade com a cultura e
realidade (complexidade) da organizao
Need to Know, nada mais do que o necessrio, apenas isso
Privilgio mnimo!
As informaes (independente do seu formato) possuem finalidades especficas e, portanto, destinam-se a determinados grupos de usurios
Confidencialidade!
Poltica de Segurana da
Informao
16/33
Classificao da Informao
Grau de sigilo
Rtulo atribudo a informao.
Contedo X Pblico que ter acesso.
Empresas:
Confidencial
Privada
Sigilosa
Pblica
Governo/militar:
Ultra Secreta
Secreta
Confidencial
Reservada
No Classificada
Poltica de Segurana da
Informao
17/33
Classificao da Informao
Prazo de validade da classificao.
Estabelecido pelas normas.
Em geral, quanto maior o sigilo, maior a durao.
Critrios
Valor da Informao
Consequncia do vazamento dessa informao
Consequncia da modificao indevida dessa informao
Reviso da classificao
Poltica de Segurana da
Informao
18/33
Classificao da Informao
Proprietrio da Informao Normalmente o responsvel por atribuir os nveis de
classificao.
Custodiante aquele que zela pelo armazenamento e preservao de
informaes que no lhe pertencem.
Equipe de segurana Responsvel por desenvolver, implementar e monitorar
estratgias de segurana que atendam aos objetivos da organizao.
Gerente de usurios Reponde pela ao dos usurios;
Responsvel por solicitar, transferir e revogar as permisses de acesso para os seus funcionrios.
Poltica de Segurana da
Informao
Polticas de
Segurana
21/33
Fases do Processo de Implantao
Identificao dos recursos crticos.
Classificao das informaes.
Definio, em linhas gerais, dos objetivos de segurana a serem atingidos.
Anlise das necessidades de segurana (identificao das possveis ameaas, anlise de riscos e impactos).
Elaborao de proposta de poltica.
Discusses abertas com os envolvidos.
Apresentao de documento formal gerncia superior.
Aprovao.
Implementao.
Avaliao da poltica e identificao das mudanasnecessrias.
Reviso.
Poltica de Segurana da
Informao
A estrutura organizacional;
Processos sistemticos e recursos associados; Metodologia de medio e avaliao; Processo de anlise crtica para assegurar que os problemas socorrigidos e as oportunidades de melhoria so identificadas eimplementadas quando necessrio.
Sistema de Gesto
Definio: um sistema de gesto um sistema para estabelecer poltica e objetivos, e para atingir estes objetivos utilizando:
SGSI Sistema de Gesto da
Segurana da Informao
Poltica (demonstrao de compromisso). Planejamento (identificao das necessidades, recursos,
estrutura e responsabilidades). Implementao e operao (construo da conscincia
organizacional e treinamento). Avaliao de desempenho (monitoramento e medio,
auditoria e tratamento de no conformidades). Melhoria (ao preventiva e corretiva, melhoria contnua). Anlise crtica pela direo.
Elementos de um Sistema de Gesto
SGSI Sistema de Gesto da
Segurana da Informao
A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI.
A adoo de um SGSI deve ser estratgico para a organizao. Projeto e implementao: devem ser escalados conforme as
necessidades da organizao. Uma situao simples requer uma soluo simples.
Espera-se que o SGSI mude com o tempo.
SGSI Sistema de Gesto da
Segurana da Informao
25/33
O que a ISO?
ISO o nome usual com o qual conhecida a International Organization for Standardization (Organizao Internacional de Padronizao).
uma entidade fundada em 1947, sediada na Suia. Congrega organismos de normalizao nacionais, cuja prin