Esta Política de Segurança da Informação será elaborada conforme as recomendações da NBR ISO/IEC 27002:2005 da ABNT. Nesta fase serão definidos comportamentos e tecnologias para uma rede sem fio.Segundo a ABNT, convém que o documento da Política de Segurança da Informação contenha a definição de segurança da informação, suas metas globais, escopos, importância da segurança da informação e o compartilhamento de informações.

Definição da Segurança da Informação

Segurança da Informação em uma Rede de Dispositivos Móveis é o emprego de tecnologia e procedimentos focando a proteção da informação e a otimização dos recursos com especial atenção para o alcance dos rádios, respeitando os requisitos de negócios e a legislação em vigor no país.

Importância da Segurança da Informação

A informação é um importante ativo, nela está contido negócios, produtos, acordos, inovações e conhecimentos que podem representar fontes de receitas. Mas a informação em uma rede sem fio é especial, pois ela, literalmente, trafega pelo ar e isso a tornar muito mais vulnerável. Resumindo: em sua essência é um ativo vulnerável.

A segurança da informação é importante para resguardar os ativos, eximir a responsabilidade, punir negligências e faltas, respeitar a legislação, os negócios e os acordos.

Objetivos Gerais

Com referência na definição da segurança da informação o objetivo geral da Política de Segurança da Informação para dispositivos móveis é elevar o seu nível de segurança com o emprego da tecnologia e a adoção de normas que envolva as pessoas com a segurança da informação.

Objetivos Específicos

Para atingir os objetivos gerais serão planejados e implementados os seguintes objetivos específicos com a criação de normas e manuais.

Norma Tecnologia:

1. Definir o equipamento de redes sem fio.
2. Utilizar o padrão IEEE 802.11n.
3. Utilização do protocolo de segurança WPA2 com a opção Enterpriser.
4. Servidor de autentificação com software livre.
5. Instalação de uma rede elétrica exclusiva para a informática.
6. Implementar software livre nas estações de trabalho.
7. Implementar os diversos recursos de segurança que os dispositivos móveis possuem.
8. Usar um sistema de Criptografia.9. Implementar um sistema de firewall 3.
9. Monitoramento do espaço físico do alcance do rádio.
10. Utilizar ambiente de teste para manutenção, tecnologias nova, atualizações e testes.
11. Atualizar sistemas e aplicativos.
12. Criar um sistemas de treinamento.
13. Monitorar os acessos na rede,
14. Criar um sistema de cópias de segurança.
15. Adquirir equipamentos para reserva técnica.

Norma Procedimento:

1. Definir os proprietários.
2. Criar a equipe de segurança.
3. Analisar e avaliar a Informação, os Ativos, as Vulnerabilidades, os Riscos e as Ameaças.
4. Criar equipe de software livre.
5. Criar um sistema de contingência.
6. Testes periódicos dos dispositivos móveis.
7. Cadastrar no CERT.br 4 o pessoal responsável pela rede e pela manutenção.
8. Monitorar os informativos do CERT.br.
9. Definir procedimentos para as atualizações.
10. Implementar controle de acesso físico.
11. Criar e atualizar uma lista de aplicativos para os dispositivos móveis.
12. Manter criptografadas as informações que não estão em uso.
13. Definir estratégia de treinamento.
14. Compartilhar a Informação.
15. Definir quem poderá trabalhar com redes sem fio.
16. Definir quais programas os usuários poderão usar.
17. Fazer controle das monitorações.
18. Criar procedimentos para realização de cópias de segurança.
19. Criar procedimentos para senhas fortes.

3. Sistema que utiliza diversos recursos tecnológicos com a finalidade de elevar o nível de segurança da informação [MOTA FILHO, 2007].

4. CERT.br = Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança no Brasil [CERT.br, 2009].20. Criar procedimento que permita a atualização e modificações que visem melhorar a Política de Segurança.

Até o momento foram elaborados os conceitos da segurança da informação e da importância da segurança da informação, foram criados também os objetivos gerais e específicos da política, mas os objetivos específicos, que são as normas Tecnologia e Procedimento, precisam ser detalhados.

O próximo passo é criar manuais que contenham os detalhamentos dessas normas e para isso é essencial a participação dos profissionais de cada área.

Reforçando o entendimento do desenvolvimento de manuais para uma política de segurança, serão detalhados o item 15 da norma 4.4.1 e o item 18 da norma 4.4.2, ambos relacionados com o assunto cópia de segurança. Esses foram selecionados de forma aleatória.

Manual de Cópia de Segurança

1. Computador servidor de arquivos para armazenar as cópias de segurança geradas pelos dispositivos móveis, será definido pelo proprietário.

2. O sistema operacional da máquina acima será o GNU/Linux Debian, conforme o proprietário.

3. Este computador terá controle rigoroso para acessar a rede que será definido pelo proprietário do sistema de rede.

4. Sistema de codificação dos arquivos será definido pelo proprietário deste ativo.

5. Definir uma estrutura de diretórios para receber os arquivos com nome da seção e do usuário, nome do cliente, produto e organizado por datas.

6. Em qualquer dispositivo móvel que esteja fora das dependências da organização, as informações deverão ficar codificadas, salvo quando o empregado precisar usá-las.

7. Sempre que uma informação for gerada ou modificada uma nova cópia de segurança deverá ser feita.

8. O empregado usará o dispositivo de armazenamento conhecido como pendrive com capacidade de 16 gigas bytesB (16GB).

9. O pendrive não poderá ser guardado na mesma bolsa do notebook, o e usuário receberá DVDs como contingência.

10. As cópias de segurança não poderão ser armazenadas na mesma máquina que foram geradas as informações.

11. Criar um sistema de arquivo central, em um outro endereço, não podendo ser no mesmo prédio da organização, nem tão pouco próximo. Esse arquivo central é conhecido por site backup deverá possuir uma estrutura informatizada para receber, testar, armazenar e recuperar os arquivos. O site backup será definido pelo proprietário do sistema de rede.

12. Criar um sistema para transferência das cópias de segurança do servidor de arquivos para o site backup. Será definido pelo proprietário do sistema de rede.