Pesquisar neste blog

sexta-feira, 26 de agosto de 2011

Requisitos mínimos de uma PSI

A elaboração de uma PSI é um processo evolutivo, muitas vezes demorado, de construção de políticas e regras. Esta elaboração deve envolver diversos aspectos.

1. Agentes envolvidos na segurança da informação



O processo de criação e manutenção de uma política de segurança de informações envolve algumas pessoas ou agentes, são elas:



>> Gestor da informação: é o indivíduo responsável por tomar decisões em nome da organização no que diz respeito ao uso, à identificação, à classificação e à proteção de um recurso específico da informação;

>> Custodiante: é o agente responsável pelo processamento, organização e guarda da informação;

>> Usuário: qualquer pessoa que interage diretamente com o sistema computadorizado. Um usuário autorizado com poderes para adicionar ou atualizar a informação. Em alguns ambientes, o usuário pode ser o proprietário da informação.

2. Classificação de informações

A classificação de informações é um processo crítico para a determinação dos dados que devem ser protegidos numa organização. Ela identifica os ativos de informação e os critérios adequados de proteção para cada tipo de informação. Ela tem como objetivo principal o de assegurar que os ativos da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar sua importância, a prioridade e o nível de proteção requerido. 

A implementação da classificação leva em conta diversos fatores, como requisitos legais, análise de risco, análise de impacto no negócio (BIA – Business Impact Analysis), a fim de obter um valor para informação. Desta forma a informação pode ser valorada a partir de custos de aquisição/recriação da informação perdida, vantagem competitiva perdida (investimento em determinada área de pesquisa de produtos) e prejuízos advindos da perda (fórmula de um produto, lançamento de um novo produto etc.).

Um bom exemplo de uma política de classificação de informações vem do governo brasileiro, que através de decretos e leis (Lei 8.159 – Lei dos Arquivos, decretos 4.553/5.301 e Lei 11.111) implementou a seguinte classificação de documentos:



>> Ultrassecreto: máximo de trinta anos;
>> Secreto: máximo de vinte anos;
>> Confidencial: máximo de dez anos;
>> Reservado: máximo de cinco anos.

3. Política de acesso externo a instituição

Com o advento da Internet e a necessidade crescente de acesso imediato às informações corporativas, os colaboradores têm a necessidade crescente de conectividade de qualquer lugar, a qualquer hora do dia, com as empresas. Para garantir a segurança neste acesso alguns pontos de atenção devem ser obedecidos:

>> Definição de convênios com empresas de telecomunicações para acesso às bases corporativas;
>> Utilização de criptografia e certificação digital em acessos externos;
>> Auditoria de acessos;
>> Configuração de firewall.

4. Política de uso da Intranet

Informações internas que são, ou devem ser distribuídas, devem obedecer a certas regras de controle.

Algumas destas políticas seguem:

-- Divulgação via uma home-page (Intranet);
-- Criação de um modelo de distribuição de versões de software;
-- Criação de um modelo que permita identificação de pirataria;
-- Criação de um padrão de atualização de programas antivírus;
-- Estabelecimento de uma política de backup.

5. Política de uso da Internet

O acesso à Internet é hoje parte integrante das atividades de uma corporação. Contudo, esta exposição deve ser guiada por uma política específica. Segue alguns pontos importantes a serem considerados na PSI, aplicados ao acesso corporativo a Internet:

-- Forma de acesso de empregados;
-- Padronização da home-page institucional;
-- Padronização da home-page comercial;
-- Criptografia e certificação;
-- Configuração do firewall;
-- Auditoria de eventos - trilhas de auditoria.

6. Política de uso de software

Um dos grandes problemas que as empresas enfrentam atualmente é o uso de cópias não legalizadas de software, conhecidos como “softwares piratas”. A política deve prever orientações claras de como tratar aquisição de softwares. Alguns pontos de atenção mais importantes são:

>> Controle antipirataria;
>> Definição da linha mestra dos softwares utilizados por ambiente computacional – criação de contratos globais com parceiros.

7. Política de acesso físico

O acesso físico às informações é parte integrante de qualquer política de segurança. O acesso físico a computadores e servidores traz um grande perigo a continuidade operacional destes.

Pontos de atenção a constar na política:

>> Controle de acesso físico;
>> Definição de ambientes físicos de alta criticidade;
>> Monitoração de ambientes.

8. Política de acesso lógico

Tão importante quanto o acesso físico aos equipamentos, o acesso lógico deve ser preservado e monitorado. Assim, o PSI deverá conter no mínimo os seguintes itens:

-- Política de senhas e userid;
-- Definição de perfis de acesso aos ambientes e aplicativos;
-- Log de eventos mínimos nas transações: dia e hora do acesso, endereço eletrônico de quem acessou e ações executadas.



















A importância dos termos e normativas na contratação!

É importante que as regras estejam claras e bem escritas. Cito uma experiência numa empresa multinacional, na qual a área de TI detectou conteúdo pornográfico em uma estação de um colaborador. Após consulta ao RH e ao departamento jurídico, ficou entendido que não existia nada na carta de ética que ele assinou, ao ser admitido na empresa, que o impediria de ter este tipo de material armazenado na sua estação de trabalho. Apesar de imoral, o entendimento era não ser ilegal ter este tipo de conteúdo armazenado, uma vez que a política, que se referia apenas ao correio eletrônico, dizia apenas que “era proibido enviar material pornográfico pelo sistema de correio”.



Desenvolvimento da PSI (Política de Segurança da Informação)

Olá queridos leitores, uma premissa clara no desenvolvimento da PSI é que se deve entender claramente o que proteger, identificando ativos e definindo objetivos e de quem proteger e o pontos de preocupação que podem danificar os ativos.

O que proteger?

Definição e identificação do ativo de informação, obtido, por exemplo, via análise de risco.

De quem proteger?

Organizações diferentes têm necessidades diferentes. Dependendo do ramo de atividade, a preocupação pode ser fraude ou espionagem. Outras preocupações comuns dizem respeito à localização – enchentes, invasões. Existe também um ramo de negócios – comércio eletrônico – cujas preocupações são com fraude eletrônica.

Alguns pontos contemplados na elaboração de uma PSI são:

• manuseio de informações,
• licenciamento de programas (software),
• processos de backups/recuperação,
• propriedade intelectual,
• respostas a incidentes,
• investigação e perícia forense,
• acesso à internet e uso do correio eletrônico (e-mail).

Além de cumprir os requisitos legais observando questões legais, novo Código Civil, Lei da S/As, Sarbanes-Oxley, questões regulatórias, agências reguladoras, Banco Central e CVM.

Quando se desenvolve uma PSI, de fato a preocupação está em evitar e tratar ameaças à segurança das informações no ambiente corporativo. Estas ameaças dizem respeito aos três itens já mencionados: integridade, disponibilidade e confidencialidade.


Veja alguns exemplos de ameaças tratadas por uma PSI:

• Relativos à integridade:
  >> Ameaças ambientais, como enchentes, incêndios, tempestades;
  >> Erros humanos, fraudes e erros de processamentos.

• Relativos à disponibilidade:
  >> Falhas em sistemas ou nos diversos ambientes computacionais.

• Relativos à confidencialidade:
  >> Divulgação da informação, premeditada ou acidentalmente;
  >> Alteração da informação premeditada ou acidental.


Tipos de Documentos

Apesar de ser um documento único, uma PSI é constituída de diferentes tipos de documentos, classificados segundo sua função:

• Um que define estratégia adotada > a política.
• Um segundo que define a tática a ser usada > a norma.
• Um terceiro que descreve as tarefas operacionais a serem utilizadas > o procedimento.

Veja alguns exemplos:

Política: somente é permitido o uso de software homologado na empresa;

Norma: Segurança, Lógica/ Acesso remoto - O acesso remoto deve ser controlado através do registro em arquivo de Log;

Procedimento: para executar o backup do servidor de correio, entrar como administrador no servidor, selecionar opção xyz.



Fatores importantes na elaboração do PSI

Existem vários fatores a se contemplar na elaboração de uma PSI. Alguns destes fatores são problemas de TI discutidos durantes anos. Outros envolvem alta quantidade de dinheiro e, por isto, estão em voga. Alguns destes fatores são:

1. Como lidar com a questão de propriedade intelectual;
2. Definir a forma de manuseio de informações;
3. Licenciamento de software;
4. Política de backups e recuperação dos dados;
5. Respostas a incidentes;
6. Investigação e perícia forense;
7. Acesso à internet e uso do correio eletrônico.



quinta-feira, 25 de agosto de 2011

Gestão da Segurança da Informação

Olá querida comunidade dedicada as pesquisas, procurando manter suas empresas sempre dentro dos padrões internacionais de boas práticas relacionadas a segurança da informação. Então, baseado neste anseio, seguem algumas dicas de como elaborar uma política de segurança da informação (PSI) adequado a sua empresa.

Elaboração de uma PSI


A elaboração de uma PSI deve ser o ponto de partida para o gerenciamento dos riscos associados aos sistemas de informação. Normalmente ela deve ser desenvolvida antes que ocorram problemas, porém, nas empresas, é comum pensar-se no seu desenvolvimento após algum incidente sério ter ocorrido. Outros fatores que levam à sua elaboração são questões de conformidade a questões legais e regulatórias.

Uma política de segurança da informação deve ser clara e concisa, de fácil compreensão, para poder atingir a todos os níveis da empresa. Termos muito técnicos e palavras rebuscadas deverão ser evitadas. Pois, os colaboradores são diferentes, não só nas atividades que realizam, mas na sua própria educação e formação.

Como toda política corporativa, a da segurança da informação dever ser amplamente divulgada e revista periodicamente. É importante entender, também, que todo esse papel da PSI deve estar alinhado com as ações da empresa.

Desenvolvimento da PSI

A Política de Segurança da Informação (PSI) é um viabilizador estratégico para objetivos maiores da organização: proteção da imagem da organização, proteção de segredos corporativos ou industriais e redução de problemas de indisponibilidade de sistemas. O princípio básico da política de segurança da informação deve atender:
  • Integridade
  • Confidencialidade
  • Disponibilidade
  • Legalidade




Integridade

É a condição que garante que a informação ou os recursos de informação estão protegidos contra modificações não autorizadas.

Confidenciabilidade

É uma característica dada a certas informações, a qual restringe a disponibilização ou divulgação da mesma, sem prévia autorização do seu dono.

Disponibilidade

É a característica da informação que se relaciona diretamente à possibilidade de acesso por parte daqueles que necessitam dela para o desempenho de suas atividades.

Legalidade

Estado legal da informação em conformidade com os preceitos da legislação em vigor.