Análise sobre políticas de segurança da informação

Este documento tem por objetivo demonstrar, através de pesquisas bibliográficas, como uma informação pode ter sua segurança comprometida e como uma política de segurança da informação pode auxiliar em sua proteção. Sobre a política, contempla sua aplicabilidade, sua importância para garantir uma maior segurança da informação e como pode ser desenvolvida.

[ Hits: 23.930 ]

Por: NewLinuxer em 03/11/2009


Introdução



As questões relacionadas à segurança da informação estão cada dia mais presentes no cotidiano das empresas. Tais questões entram em evidência por alguns motivos. Dentre os quais podemos incluir as respostas a incidentes de segurança que ocorreram na empresa, para se adequar a exigências de mercado ou para evitar percas, neste último de maneira preventiva.

A partir do momento que vêm à tona os problemas de segurança enfrentados pela informação, geralmente são tomadas atitudes para que esses problemas de segurança, ou vulnerabilidades, não sejam explorados e a informação atingida.

Como veremos abaixo, um dos pontos mais importantes no processo de melhoria da segurança da informação está relacionado com a política de segurança da informação. Trata-se de um documento que define as linhas gerais de segurança da informação dentro da empresa. Deve possuir o aval da alta direção e contemplar, de modo genérico, todos os ativos de informação, também servindo como base para auditorias e outros documentos mais específicos de segurança.

A Segurança da Informação

Toda informação, independente de seu meio de armazenagem ou conteúdo possui riscos quanto à sua segurança. Estes riscos estão relacionados à sua integridade, confidencialidade e disponibilidade.

A informação deve ter garantia de integridade para que exista a certeza de que a mesma informação que foi guardada ou transmitida é a que se recebe. Podendo confiar que seu conteúdo é íntegro e não foi alterado. Os ataques à integridade podem ocorrer de forma ativa, quando é alterado seu conteúdo conscientemente, ou não, quando, por exemplo, um arquivo digital é corrompido e parte dos seus é perdido ou recebe outros valores.

A confidencialidade da informação esta relacionada com a necessidade de ocultar, ou proteger, a informação contra acessos indevidos, de maneira que somente à quem diz respeito a informação tenha acesso à mesma.

Enquanto a disponibilidade trata de questões relativas à informação estar disponível sempre que for necessário. Isto não obriga estar disponível sempre.

Qualquer entidade que manipula informações podem ser considerada um ativo, pois as informações têm valor para a empresa e estes por manter, manipular, criar ou destruir a informação também passam a ter valor, inclui-se nesta lista as pessoas, sistemas, computadores, papéis, arquivos, enfim, tudo que possa agir com e sobre a informação.

Embora seja impossível garantir total segurança a qualquer informação, pode-se tomar cuidados para que os riscos inerentes à informação sejam reduzidos a patamares aceitáveis. Isso é feito gerenciando cada um dos riscos acima descritos.

Também devem existir planejamentos para que, caso a informação tenha sua segurança comprometida, seus danos sejam minimizados e o negócio possa continuar da melhor forma possível, com os menores prejuízos.

A política de segurança deve estar em consonância a estes fatos, prezando pela segurança da informação em todos sentidos, de maneira a reduzir os riscos a patamares aceitáveis.

A Política de Segurança da Informação

A política de segurança da informação reúne os princípios de segurança relativos à toda informação e seus ativos. De acordo com SILVA "a política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados".

Durante sua criação há de ter em conta os objetivos da empresa, seus processos e todos ativos que a empresa possui. Logo inclui-se, inclusive, as pessoas, hardware, sistemas e terceiros (clientes, fornecedores e terceirizados) que possam ter acesso à informação. Este cuidado é necessário para que esta política, no futuro, não caia no esquecimento ou passe de um documento de apoio para mais um problema a ser tratado.

Uma política mal elaborada ou que não contemple as necessidades da empresa, em alguns casos, não passa de um esforço em vão, que, no seu conteúdo, demonstra a segurança de toda informação da empresa como um exemplo a ser seguido, na prática, continua com as antigas práticas como se não existisse preocupação alguma, nem por parte dos gestores, nem pelos colaboradores. Em outros casos "engessa" os processos através de regras absurdas ou obrigações normalmente incumpríveis pelos usuários.

Por ser um documento estratégico, que diz respeito à toda empresa, é imprescindível para sua sobrevivência que a alta direção esteja engajada em todo processo e dê apoio explícito e irrestrito a todo o proposto nesta política.

Isso não quer dizer que a direção vai apenas assinar embaixo das propostas do gestor de segurança. Este documento deve ser exaustivamente discutido entre a alta direção e um comitê de segurança, quando possível, composto de pessoas de todos departamentos e escalões, guiado pelos profissionais da área. Para que não ocorra o exposto acima. Ao final cabe, inclusive à direção que aprovou, aplicar a política, dando o exemplo.

Muitas vezes a direção não dá importância às informações que a empresa possui, aí cabe aos profissionais de segurança alertarem o quanto a empresa pode perder caso haja algum incidente envolvendo a própria segurança. O que poderá custar reconstruir toda informação perdida ou, ainda, tentar mensurar o prejuízo que poderá ser causado pela indisponibilidade da informação. Bem como a repercussão que um fato destes pode gerar, o descrédito junto aos clientes e a má impressão deixada.

NEVES explica que para compor uma política de segurança, a empresa deve definir, de maneira clara, quais seus objetivos, o valor de cada ativo e a que ameaças estão expostos, o que pode ocorrer caso a segurança seja comprometida. Somente depois de identificadas estas características é que pode-se partir para a definição de como tais ativos deverão ser protegidos, a política de segurança da informação em si.

"Esta política deve prever regras para todo o tipo de acesso aos ativos da organização, tanto logicamente quanto fisicamente, atribuindo responsabilidades, níveis e tipos de acesso, além de sanções e punições para a transgressão dessas regras." NEVES.

Outro ponto importante é a clareza das regras presentes na política de segurança, deve ser clara o suficiente para que todos envolvidos com a informação possam entender o que podem ou não fazer, evitando mal entendidos durante a vigência da mesma.

Algumas situações que podem ser tratadas pelas regras da política de segurança são descritas por SOUZA, podemos encontrar regras que regulamentam a autonomia da equipe de TI, regulamentam o uso da internet, o uso do e-mail corporativo, politicas de senhas, instalação e utilização de softwares, determina penalidades e direitos dos usuários, além de inúmeras outras situações podem ser postas em uma política de segurança.

A definição das regras são específicas a cada organização e tomam por base estudos e levantamentos, não existindo assim um padrão a ser seguido, devido as peculiaridades específicas de cada processo em cada empresa.

Com a política de segurança pronta o próximo passo é colocá-la em prática. Para isso os usuários devem ser treinados e adequados à nova realidade. Esses treinamentos podem ser palestras, cursos, circulares internas, panfletos, e tantos outros meios de comunicação que possam transmitir o objetivo e as normas proposta na política de segurança.

Num primeiro momento pode-se encontrar grande resistência dos envolvidos mas, se foi elaborada à luz das reais necessidades da empresa, logo essa resistência será quebrada e as ações "seguras", passarão a fazer parte do funcionamento normal da organização.

O treinamento, deve transmitir, em primeiro lugar, o real objetivo da política de segurança, ou seja, proteger a informação. Como um ponto frágil em todo processo de segurança, o usuário deve estar ciente que não é para dificultar seu trabalho ou para fiscalizá-lo que tal política esta sendo implementada.

Cabe também à política de segurança indicar os responsáveis pela segurança em cada área abordada, bem como definir os meios para atingir seus próprios objetivos.

Se bem planejada e implementada, uma política de segurança da informação pode garantir que todo negócio caminhe para seus objetivos, tendo garantia que sua informação está relativamente segura.

Ocorre que os processos podem sofrer mudança, bem como os objetivos da empresa, portanto a política de segurança deve possuir uma validade e ser revista de tempos em tempos. É necessário que sejam feitas auditorias para saber de sua aplicação, aplicabilidade e eficácia. Em caso de discordância é valido reavaliar e redefinir a política de segurança. Além de tomar as medidas cabíveis se os problemas que surgirem forem causos pelo descumprimento das regras e não pela inconformidade das regras com o negócio ou processo.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Conclusão e bibliografia
Outros artigos deste autor

Wordpress: Hospede blogs no seu Linux

Gerando e gerenciando relatórios mensais com o SARG

Leitura recomendada

Nagios - Automatizando Auditorias de Rootkit

Código Aberto já não é uma questão de gosto

Ferramenta Forense de Análise de Rede (NFAT) - Xplico

Detectando vulnerabilidades com o Nessus

Cliente Linux no servidor LDAP

  
Comentários
[1] Comentário enviado por grandmaster em 04/11/2009 - 08:24h

Digo que o ponto principal da segurança da informação se chama usuário :)

Como eu digo sempre do que adianta ter políticias de senhas fortes se o cara põe a senha embaixo do teclado ou colado no monitor :P

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[2] Comentário enviado por wtet em 04/11/2009 - 09:43h

Exato, o ser humano, não só o usuário, inclluit ambém o pessoal de segurança e os invasores, são quem causam os problemas de segurança, um poqrque não cuida, outro tem atribuição de fazer o sistema sem pontos fracos e menos suceptível aos erros do usuário, enquanto o invasor age sobre esse ambiente tentando comprometer a segurnaça da informação.

A questão da política, é para dar um "norte" aos rumos da empresa quanto a segurança, mas a conscinetização é que vai fazer o usuário saber do valor da informação que ele possui e o que pode acontecer com ela, além disso a politica de segurnaça pode contemplar sanções caso tenha suas diretrizes descumpridas.

[3] Comentário enviado por y2h4ck em 04/11/2009 - 11:25h

"Como eu digo sempre do que adianta ter políticias de senhas fortes se o cara põe a senha embaixo do teclado ou colado no monitor :P"

Melhor colada no monitor do que uma senha "123mudar" ehehehe

[4] Comentário enviado por removido em 04/11/2009 - 20:39h

Excelente Artigo.
Já foi para os favoritos. =]

[]'s

[5] Comentário enviado por sailer em 05/11/2009 - 22:07h

..Muitas das vezes as proprias fontes de vazoes de informaçoes sao vindas da partes internas de seus CPDs.Um sistema de Informaçao deve ser levado as serio pelos profissionais implantadores e sub sequentes usuarios .Conduta e privacidade dos Dados.
Excelente topico Wesley

[6] Comentário enviado por escariao em 20/05/2010 - 14:36h

Olá Thiago, como vai?
Gostei muito do artigo, e obrigado pela referência.
Thiago, infelizmente, o TEIATI.com.br, que você faz referência, foi retirado pelo amigo "Fish". Pois o mestrado está tomando o tempo dele por completo, e ainda o trabalho. Dessa forma, republiquei meu artigo em meu próprio Blog, o Sem Acento. Que foi reativado a pouco; pretendo não mais deixá-lo em stand by.
Estou até querendo mudar o nome (Sem Acento).
Então, caso queira mudar a referência para http://andrey.escariao.com fica a teu critério. De qualquer forma, aparece lá, e deixa registro do teu blog, caso tenha. Se não, mantenha comunicação.
Agradeço novamente. Valeu, abração!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts