NOTAS PARA CRIAÇÃO DE UMA POLÍTICA DE SEGURANÇA

Características Fundamentais

Para o sucesso do desenvolvimento e implantação de uma política de segurança, alguns itens devem ser tratados como fundamentais, abaixo relacionamos os itens que consideramos fundamentais no processo de implantação de uma Política de Segurança:

· deve possuir envolvimento e o aval da alta administração da empresa;
· deve ser flexível, de fácil implantação e facilmente adaptável a novas situações;
· deve definir claramente as responsabilidades;
· deve indicar os métodos e ferramentas que devem ser utilizadas para se alcançar o objetivo final.

Principais Etapas de Elaboração

A elaboração de uma política de segurança deve seguir algumas etapas, que veremos a seguir: Definição da equipe responsável pela implantação e manutenção da segurança.

O primeiro passo para a elaboração de uma Política de Segurança é a definição das equipes responsáveis pela elaboração, implantação e manutenção da política.

É importante que sejam definidas claramente as responsabilidades de cada colaborador, e também que sejam envolvidas pessoas da alta administração da organização.

Análise das necessidades e procedimentos utilizados pela empresa.

Nessa etapa devem ser levantados os procedimentos executados na organização, que tenham relevância para a segurança das informações. Devendo ser considerados todos os processos informatizados ou não, que possam afetar direta ou indiretamente a segurança.

Identificação dos processos críticos.

Após o levantamentos dos procedimentos, devem ser identificados os processos considerados críticos à organização, ou seja, aqueles que contém informações sensíveis aos negócios da organização. Esses processos deverão ser tratados de maneira diferenciada na política de segurança.

Classificação da Informação Tem como objetivo assegurar que as informações recebam um nível apropriado de proteção. As informações devem ser classificadas para indicar a necessidade, as prioridades e o grau de proteção. A informação tem variados graus de sensibilidade e criticidade.

Alguns itens podem requerer um nível adicional de proteção ou manipulação especial. Um sistema de classificação de informação deve ser utilizado para definir um conjunto apropriado de níveis de proteção, e comunicar a necessidade de medidas especiais de manipulação. A seguir descrevemos um exemplo de tipos de classificação da informação:

· Uso Confidencial - aplicada às informações de grande valor a organização, se divulgadas indevidamente podem causar danos e prejuízos a organização ou a seus parceiros. Seu uso e disseminação devem ser restritos e controlados.
· Uso Interno - aplicada às informações restritas aos funcionários e a terceiros.
· Uso Público - Informações que podem ser divulgadas para o público em geral, incluindo clientes, fornecedores, imprensa, etc.

Também é importante definirmos um conjunto de procedimentos para a manipulação das informações de acordo com o esquema de classificação adotado pela organização.

Estes procedimentos precisam levar em consideração a informação na forma física e eletrônica.

Para cada classificação, procedimentos de manipulação devem ser definidos para cobrir os seguintes tipos de atividades no processamento da informação: cópia; armazenamento; transmissão por correio, fax e correio eletrônico; transmissão por voz, incluindo telefones celulares, correio de voz, secretárias eletrônicas; destruição.

Elaboração de normas e procedimentos para técnicos e usuários.

Nesta fase serão definidas, de acordo com as informações levantadas nas fases anteriores, as normas e procedimentos que devem ser seguidos pelos funcionários, estagiários, técnicos e colaboradores da organização.

Relacionamos os principais tópicos, que devem ser abordados na definição das normas e procedimentos: acessos externos; acessos internos; uso da Intranet; uso da Internet; uso de correio eletrônico; política de uso e instalação de softwares; política de senhas; política de backup; uso e atualização de anti-vírus; acesso físico; acesso lógico; trilhas de auditoria; padrões de configuração de rede (nome de máquinas, etc.). Definição de um plano de recuperação a desastres ou plano de contingênciaPlano de contingência ou plano de recuperação, é um plano que contém as diretrizes que a empresa deve seguir em caso de parada no processamento, decorrente de desastre.

Tem como objetivo auxiliar na recuperação imediata do processamento das informações, levando em consideração a criticidade, de modo que minimize eventuais prejuízos à organização.

Definição de sanções ou penalidades pelo não cumprimento da política.

Nesta etapa são definidas as punições aplicadas aos funcionários, estagiários e colaboradores pelo não cumprimento da Política de Segurança.

Devem ser definidas punições de acordo com a cultura da organização, algumas empresas optam por criar níveis de punições relacionados aos itens da política, sendo a punição máxima a demissão ou desligamento do funcionário ou colaborador, pode-se também definir uma punição generalista que geralmente é a demissão ou desligamento aplicada a casos extremos.

O principal objetivo de se estabelecer punições ao não cumprimento da política de segurança, é incentivar os usuários a aderirem a política, e também dar respaldo jurídico a organização.Elaboração de um Termo de Compromisso.

O termo de compromisso é utilizado para que os funcionários, estagiários e colaboradores se comprometam formalmente em seguir a política de segurança, tomando ciência das sanções e punições impostas ao seu não cumprimento. No termo de compromisso podem ser reforçados os principais pontos da política de segurança, deve ser assinado por todos os funcionários e estagiários, e deve ser renovado anualmente. O termo de compromisso deve ser implantado como um aditivo ao contrato de trabalho, para tanto deve ser envolvida a área jurídica da organização na sua revisão. Comunicado da diretoria / presidência aos funcionários.

Para reforçar o aval da alta administração da organização, e reafirmar a importância da segurança, é importante que antes da implantação da Política de Segurança seja feito um comunicado da diretoria ou presidência, aos funcionários e colaboradores, comunicando a implantação da Política de Segurança na organização. Divulgação da Política.

Um dos maiores desafios de uma Política de Segurança é conseguir grande aderência dos funcionários, isso acontece muitas vezes devido a cultura da organização e a falta de envolvimento da alta administração. Para resolver esse problema utilizamos a divulgação como instrumento de conscientização dos funcionários e colaboradores, da importância da segurança das informações e da importância da adoção de uma política.

A Política de Segurança deve ser de conhecimento de todos os funcionários, estagiários e colaboradores da organização, portanto deve ser amplamente divulgada, inclusive e principalmente para novos funcionários e novos colaboradores.

Os métodos de divulgação da Política de Segurança, varia de acordo com a empresa, abaixo listamos alguns dos métodos de divulgação mais utilizados: campanhas internas de conscientização; palestras de conscientização para os funcionários e colaboradores; destaque em jornal e folhetos internos; destaque na Intranet da organização; criação de manual em formato compacto e com linguagem acessível aos usuários; disponibilizar na Intranet ou na rede, em local comum a todos, a política na íntegra para consultas.

Independente do método de divulgação utilizado, uma característica fundamental é a linguagem utilizada, que deve ser de fácil entendimento, e a leitura deve ser estimulante aos usuários. Lembre-se de que a política de segurança e todo o material de divulgação será direcionado tanto ao pessoal técnico quanto aos usuários, estagiários e colabores da empresa.

Implantação A implantação é a etapa final da política de segurança. Consiste na aplicação formal das regras descritas na política da organização, e a assinatura do termo de compromisso.

Deve ser realizada de forma gradativa e obrigatoriamente após ao programa de divulgação e conscientização dos funcionários. Revisão da Política A política de segurança deve ser revisada periodicamente, para mantê-la atualizada frente as novas tendências e acontecimentos do mundo da segurança da informação. O intervalo médio utilizado para a revisão de uma política de segurança é de um ano, porém deve ser realizada uma revisão sempre que forem identificados fatos novos não previstos na política de segurança vigente, que possam impactar na segurança das informações da organização.

Mais Conceitos de Segurança
• Tipos de Ameaças - Externas:

Ameaças externas são aquelas causadas por indivíduos que não pertencem a organização e/ou que estão efetuando ataques remotamente. Seus objetivos variam de indisponibilizar serviços ou...
• Tipos de Ameaças - Internas:

Geralmente os responsáveis por danos causados internamente são funcionários insatisfeitos, que querem prejudicar o desenvolvimento do trabalho ou tirar vantagens financeiras. Outros responsáveis são prestadores de...
• Formas de Ataques - Denial of Service:

Ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Há muitas variantes como os ataques distribuidos de negação de serviço (DDoS) que paralizam...

A política de segurança aborda:
• Revisão da política de segurança existente

• Classificação e tratamento das informações

• Controle de acesso

• Uso de portáteis

• Operação e gerência de sistemas

• Segurança física e ambiente

• Recursos humanos

• Punições a violações da política

• Plano de ações para incidentes de segurança

• Baselines de segurança para servidores

• Preparação para certificação BS7799

• Acompanhamento da certificação BS7799