Elaborando uma política de segurança para a empresa

A política de segurança é um conjunto de regras e diretrizes com intuito de proteger as informações, os ativos (algo que influi direto ou indiretamente na organização) da empresa, definindo normas/técnicas, melhores práticas para a assegurar a integridade, disponibilidade, confidencialidade da informação.

[ Hits: 72.001 ]

Por: yros aguiar em 30/06/2010


O que é política de segurança



Instrumento utilizado para a definição das normas a serem utilizadas na organização, práticas a serem exercidas/aplicadas aos ativos (funcionários, clientes, prestadores de serviços, fornecedores, informação, hardware, software) da empresa. Protege para obter a integridade e confidencialidade da informação. Controla para a melhor utilização, e evitar riscos provenientes da má utilização dos recursos, monitora sempre verificando se as normas estão sendo utilizadas adequadamente e se necessita de alguma mudança na política, garantindo sempre a disponibilidade.

O objetivo da política de segurança é a redução de incidentes, redução de danos causados por incidentes ocorridos, procedimentos para a recuperação de eventuais danos causados por incidentes.

Redução de incidentes:
  • É feita através de medidas preventivas e normativas;
  • Os riscos devem sem previstos e eliminados antes que aconteça o incidente;
  • Prevenir tem custo mais baixo que corrigir.

Redução dos danos provocados por incidentes:
  • Mesmo com a política de segurança e a redução de incidentes, temos que analisar os riscos, o que pode acontecer quando ocorrer um incidente, para reduzir o impacto deste incidente na organização.

Recuperação de eventuais danos:
  • Quando ocorre o incidente temos que saber o que deve ser feito para a recuperação dos danos causados pelo incidente, temos que ter procedimentos que viabilizam esta recuperação de forma eficiente, com um mínimo de custo possível, e menor impacto na estrutura da empresa.

Elaborando a política de segurança

Primeiramente temos que definir as pessoas ou equipes que vão ser responsáveis pela elaboração, implantação e manutenção da política. Devemos definir as responsabilidades de cada equipe/pessoas, e trabalhar em conjunto com pessoas da alta administração da organização para aprovação da política e de fato obter maior respeito dos colaboradores que já estarão também conhecendo a política.

Agora já temos como base uma política para elaborar procedimentos e controles em cima de regras que os colaboradores já conhecem.

Principais fases para a elaboração de uma política:
  • Identificação dos recursos críticos: mapeamento dos processos da empresa e definir prioridades, importância de cada processo, definindo assim prioridades de segurança nos processos que mais influenciam na organização.
  • Classificação das informações: deve-se classificar a importância da informação dentro da organização e assim definir o grau de proteção e as medidas para a sua manipulação, podendo ser: confidencial, que é de extrema importância para empresa, tendo que ter maior segurança; uso interno: que pode ser utilizada internamente pelos funcionários/setores, que necessitam dessa informação tendo um escopo de segurança/confidencialidade em cima do setor/parte que a utiliza; pública: na qual pessoas ou entidades externas podem ter conhecimento, informações que não causam impactos nos ativos da empresa.
  • Elaboração de normas e procedimentos: a elaboração deve ser feita sobre os seguintes aspectos:
    Acessos externos, internos, físico e lógico;
    Uso da Intranet e Internet;
    Uso e instalação de softwares;
    Uso de correio eletrônico;
    Política de senhas;
    Política de Backup;
    Uso e utilização de anti-vírus;
    Auditoria;
    Outros

Definição de planos de recuperação, contingência, continuidade pós incidente.

Definir um plano que será utilizado após acontecer um incidente para diminuir o impacto causado e dar sequência as atividades da organização o mais rápido possível, minimizando os prejuízos.

Fazer sanções ou aplicar penalidades caso não se cumpra a política.

Definir punições de acordo com a organização, normalmente o grau da punição é medido pelo grau do incidente, ou tamanho do dano causado, podendo ser até demitido. Por isso a alta organização deve estar de acordo com a política de segurança e os colaboradores deve ter aderido e concordado com um termo de compromisso, podendo assim sofrer penalizações em âmbito judicial.

Direitos do usuário:

São as atividades/procedimentos que o usuário tem autorização para realizar, garantido que a utilização/realização de forma correta dessas atividades, procedimentos, está de acordo com os direitos a ele garantido.

Obrigações do usuário:

São as regras nas quais é obrigado a realizar, todas estas obrigações são determinadas no termo, na política de segurança.

Proibições ao usuário:

São as regras que define o que o usuário não pode fazer, são as restrições, são detalhadas na política de segurança.

Elaborar um termo de compromisso:

É utilizado na formalização do comprometimento dos colaboradores em seguir a política de segurança, e deixado-os cientes das consequências do seu não cumprimento. Deve ser assinado juntamente com o contrato de trabalho, ou adicionado ao mesmo caso a política seja implantada depois de sua contratação, a área jurídica da organização deve fazer uma análise do documento.

Rever com a alta administração.

Após os passos anteriores devemos comunicar a diretoria da empresa sobre a implantação e a importância da implantação da política na organização, definir o comunicado e a forma de comunicação que será feita para deixar os funcionários cientes do início da implantação.

Divulgação da política.

Deve ser divulgada a todos os funcionários da empresa. Os métodos de divulgação mais utilizados são: campanhas internas, palestras de conscientização; jornais e folhetos internos; mailing; Intranet; deve ser criado um manual com as normas e procedimentos com linguagem de fácil entendimento.

Não há políticas de segurança prontas para a utilização e mesmo havendo não seria viável, pois cada organização tem suas particularidades, e devemos definir a política analisando a organização que será implantada a política.

   

Páginas do artigo
   1. O que é política de segurança
Outros artigos deste autor

Controle de banda com Slackware 10 + CBQ + Iptables + DHCP

Squid com autenticação e ACLs apartir do grupos do Active Diretory

Como gerenciar cotas de disco

Introdução ao DevOps - Infraestrutura como código

Leitura recomendada

Quebrando a criptografia RSA

Alta disponibilidade com CARP

Os segredos da criptografia com o Gcipher

Portal de autenticação wireless (HotSpot)

Mirror de atualizações do AVG Anti-Virus 8

  
Comentários
[1] Comentário enviado por jr.jorro em 01/07/2010 - 11:01h

Apesar de curto, muito bom o artigo. É bom saber que cada um destes tópicos de criação de políticas, pode render um artigo.

[2] Comentário enviado por pc.charlison em 02/07/2010 - 11:59h

Olá Yros,

Muito bom o artigo, estou com isso em mente para fazer aqui na empresa que trabalho, mas gostaria de saber mais sobre a politíca de segurança pra apresentar a direção da empresa...

Aqui trabalhamos com plataforma Linux e Microsoft...
Na verdade eu tenho duas idéias, 1 delas é tentar usar um sistema operacional livre, gnome ou kde mesmo, para algumas estações de preferência as que não necessitam de muito desempenho de hardware e que não trabalha com sistemas diferenciados aqui dentroda empresa, por exe: tem seto aqui que só usa aplicativos via web então ficaria bem mais fácil, mas estou a procura ainda do S.O que consiga atender o funcionalidade das ferramentas corporativas e que também eu consiga apresenta-lo ao cliente interno...
A Outra é exatamente sobre a política de segurança, onde envolve,
Backup
Privilégios a usuários
Servidor a ser usado,
Logs/Relatórios/Fedback
Usabilidde de ferramentas de comunicação via web,
por exe: aqui o messegner é bloqueado, porém usamos skype, mas tem departamento que necessita do messenger e queria poder utilizar mas de maneira limitada e monitorada...

Bom espero que você entenda mais ou menos o que estou querendo fazer...
Se puder me indicar alguns artigos ou modelos de projetos como esse ti agradeço, será de grande ajuda....
Aqui já temos servdores linux no ar, porém estou com o Debian rodando em uma máquina agora exclusivamente para fazer essas configurações.

Se puder responder eu agradeço...
E vamos nessa que o segundo ta começando...o Hexa é nosso!
Forte abraço...


Contribuir com comentário