Aspecto de segurança para uma arquitetura web

A evolução da internet tem facilitado extraordinariamente a comunicação entre instituições e pessoas no mundo inteiro, entretanto uma grande preocupação voltou a surgir nesse ambiente: como lidar com a segurança e o armazenamento de informações de uma rede web.

[ Hits: 64.018 ]

Por: Luciano Gonçalves em 22/05/2004


Política de segurança



FONTES [5], "A política de segurança da informação é o conjunto de diretrizes que deve expressar o pensamento da alta administração da instituição em relação ao uso da informação por todos aqueles que têm acesso a esse bem. Neste caso, a administração está representando os proprietários que, como donos, devem decidir os destinos de todos os recursos da instituição".

Dessa maneira podemos definir a política da segurança como sendo sistemáticas gerenciais que visam determinar o nível de segurança de uma rede ou sistemas de informação de uma instituição, suas funcionalidades e a facilidade de uso.

Essas sistemáticas são reunidas em um documento formal com regras pelas quais as pessoas deverão aderir para ter acesso à informação e à tecnologia da instituição. Para se estabelecer uma política de segurança é necessário conhecer os objetivos da instituição, para depois poder medí-los e verificar as ameaças.

Algumas características da política de segurança:

Algumas características de LIMA [6], abaixo:
  • Ser verdadeira: a política deve realmente exprimir o pensamento da instituição e deve ser coerente com as ações dessa instituição. Deve ser possível o seu cumprimento.

  • Ser curta: duas a três páginas são suficientes para se formalizar uma política. Não devemos confundir política com normas e procedimentos de segurança. A política não deve ser um "Manual de Procedimentos". Este manual pode até existir, mas terá vida própria.

  • Ser válida para todos: a política deve ser cumprida por todos os usuários que utilizam a informação da instituição. Ela é válida para o diretor e para o estagiário recém contratado. Normalmente o "rei" não causa maiores problemas. Os problemas deste tipo são causados pelos "amigos do rei".

  • Ser simples: a política deve ser entendida por todos. Deve ser escrita em linguagem simples e direta. A política não deve conter termos técnicos de difícil entendimento pelos "mortais".

  • Ter o patrocínio da alta direção da instituição: o documento normativo que formalizará a política deve ser assinado pelo mais alto executivo, explicitando assim o seu total apoio à política.

As políticas de segurança podem variar muito, mas em geral sempre existem alguns pontos em comum.
  • A Informação como um Bem da instituição - uso profissional;
  • Controle do acesso à Informação;
  • Responsabilidades - usuário e gerência;
  • Preparação para situações de contingência - continuidade operacional;
  • Privacidade do usuário - arquivos pessoais, correio eletrônico;
  • Medidas disciplinares que serão utilizadas caso a Política não seja cumprida.

A política de segurança proporciona o direcionamento para as implementações técnicas. Implementar procedimentos de segurança sem uma política definida é equivalente a navegar sem saber onde se quer chegar. Porém a política deve ser um elemento de um conjunto de ações que compõem o processo de segurança da instituição.

Página anterior     Próxima página

Páginas do artigo
   1. Apresentação
   2. Princípios da segurança da informação
   3. Ataque de senhas
   4. Métodos e ferramentas de segurança
   5. Instalação e atualização
   6. Firewalls
   7. Política de segurança
   8. DoS - Denial-of-Service
   9. Conclusão
   10. Referências bibliográficas
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Instalação e configuração do Snort Inline (modo IPS), Baynard2, Mysql e PulledPork no Debian Squeeze

Análise Passiva: Analisando seu tráfego de maneira segura

SSH Blindado - Protegendo o seu sistema de ataques SSH

SAMSB - Snort + Apache2 + MySQL + Snorby e BarnYard2 no Debian

Enjaulamento de usuário no sistema operacional

  
Comentários
[1] Comentário enviado por davi182 em 22/05/2004 - 06:29h

Excelente artigo, parabéns. Bem escrito e completo!

[2] Comentário enviado por y2h4ck em 22/05/2004 - 23:12h

Bela coletanea de textos da internet.

[3] Comentário enviado por lacierdias em 26/05/2004 - 22:56h

Muito bom...

[4] Comentário enviado por afrox em 24/11/2007 - 15:49h

Podemos afirma sem sombra de dúvida, para termos um sistema seguro precisamos atulizar diariamente a base de conhecimentos,
portanto, se você trabalha ou quer trabalhar com segurança da informção precisa apenas ser um eterno estudante, e olhando por outro lado, será como um médico.
Manter a segurança é como manter a saúde.


Contribuir com comentário