Componentes das Políticas

No que diz respeito ao fundo da Política de Segurança, ou seja, às suas componentes, alguns autores advertem para a dependência da composição destes documentos da natureza da organização, da sua dimensão e dos seus objectivos, tornando-se desta forma difícil a generalização dos elementos que devem fazer parte de uma Política de Segurança.

Embora seja aceite que uma política de SSI varia consideravelmente de organização para organização, para Wood [1995] este documento deve incluir tipicamente os seguintes elementos: declarações gerais de metas, objectivos, crenças e responsabilidades, frequentemente acompanhadas dos procedimentos gerais para o alcance destes propósitos.

Whitman [2004] define que uma boa política de SSI deveria delinear responsabilidades individuais, definir que utilizadores estão ou não autorizados a utilizar o sistema, fornecer relatórios aos empregados de possíveis ameaças ao sistema, definir penalizações para possíveis violações da política e fornecer um mecanismo de actualização da política.

Atendendo ao disposto sobre políticas de SSI, em normas de gestão de SSI, importa atentar nas recomendações avançadas por uma das principais normas internacionais – a ISO/IEC 27002 – no que concerne às componentes de uma política de SSI. De acordo com esse referencial, o documento da política de SSI deve estabelecer o comprometimento da gestão e deverá conter as seguintes declarações. [ISO/IEC 27002]:

26

1. Definição da segurança da informação, os seus objectivos gerais, abrangência e a importância da segurança como um mecanismo que possibilita a partilha ou troca de informação;

2. O estabelecimento das intenções da gestão, apoiando objectivos e princípios da segurança da informação em linha com as estratégias e objectivos do negócio;

3. Um enquadramento para estabelecer objectivos de controlo e controlos, incluindo a estrutura de avaliação de risco e gestão de risco;

4. Uma breve explicação das políticas de segurança, princípios, normas e concordância com os requisitos de particular importância para a organização; 5. Uma definição das responsabilidades gerais e específicas para a gestão da

segurança da informação incluindo relatar incidentes de segurança da informação;

6. Referências a documentos que podem apoiar a política, por exemplo, políticas de segurança mais detalhadas e procedimentos para SI específicos ou com regras de segurança que os utilizadores devem observar.

Para Höne e Eloff [2002a] e para Forcht e Ayers [2001] uma Política de Segurança deve ter a estrutura enumerada na Tabela 2, que contém alguns pontos em comum nas abordagens destes diferentes autores, embora Forcht e Ayers [2001] se refiram a uma política específica para Tecnologias de Informação.

Höne e Eloff Forcht e Ayers

1 - Necessidade e alcance da segurança da informação

2 - Objectivos da segurança da informação 3 - Definição de segurança da informação 4 - Compromisso da direcção em relação à

segurança da informação 5 - Aprovação da Política SSI

6 - Finalidades ou Objectivos da Política SSI 7 - Princípios da segurança da informação 8 - Papéis e responsabilidades

9 - Violações da Política SSI e acções disciplinares

10 - Monitorização e revisão

11 - Declaração do utilizador e aceitação 12 - Referências Transversais 13 - Elementos Gerais 1 – Alcance 2 - Definições 3 - Responsabilidade 4 - Perfil de Risco 5 - Requisitos

6 - Outras medidas de Segurança 7 - Recuperação de Desastres 8 - Segurança na Internet 9 - Aplicação

10 - Coordenador

Tabela 2: Elementos de uma Política de Segurança Adaptado de Höne e Eloff [2002a] e Forcht e Ayers [2001]

Os elementos de uma política de segurança enumerados na tabela anterior por Höne e Eloff [2002a], e tendo em conta a sua importância numa política, são descritos seguidamente. O entendimento de vários autores sobre estes elementos é o seguinte:

27

1 – Necessidade e alcance da segurança da informação

É uma breve declaração introdutória que realça a dependência da organização da informação e assim da segurança da informação [OOIT 2007]. Esta declaração introdutória também fornece a justificação para a necessidade da política na organização.

2 – Objectivos da segurança da informação

Os objectivos da segurança da informação numa organização deveriam ser descritos de forma abreviada para informar o leitor acerca da finalidade específica da segurança da informação na organização. Estes objectivos deveriam estar claramente ligados à estratégia, metas e objectivos globais do negócio da organização e à natureza do negócio [OOIT 2007].

3 – Definição da segurança da informação

Uma política de segurança de informação é geralmente dirigida para uma audiência diversa, para quem a segurança da informação pode ser um conceito novo e estranho. É assim crucial que a política contenha uma definição breve e compreensível de segurança da informação para garantir uma compreensão uniforme do conceito através da organização.

4 – Compromisso da Direcção em relação à segurança da informação

A declaração do compromisso é a declaração mais importante numa política de segurança da informação. Sem esta declaração algumas actividades pretendidas pelo pessoal da segurança da informação não serão efectivas e não serão tomadas seriamente através de toda a organização [JISC 2001]. A declaração de compromisso da Direcção pode obrigar os empregados a tomar atenção à segurança da informação e demonstrar a intenção da Direcção no seu sucesso [Wood 1995].

5 – Aprovação da política da segurança da informação (assinatura)

A assinatura da aprovação pode também ser vista como a assinatura de apoio e tipicamente deve ser ao nível mais elevado possível dentro da organização [OOIT 2007]. Esta assinatura deve ser projectada numa posição proeminente como um sinal adicional do compromisso da Direcção para com a segurança da informação.

6 – Finalidade ou objectivo da política de segurança da informação

A finalidade ou o objectivo da política de segurança da informação não deveria ser confundida com as declarações introdutórias acerca da segurança de informação na organização. Estas declarações apenas descrevem as razões para o desenvolvimento de uma política de segurança da informação e estarão possivelmente ligadas a compromissos legais. Os principais objectivos da própria política são assim descritos nesta secção [JISC 2001].

7 – Princípios da Segurança da Informação

Os princípios da segurança da informação descrevem as regras gerais relacionadas com a segurança da informação numa organização. Estes princípios tentam explicar aos utilizadores qual é o comportamento correcto e incorrecto na organização tendo em vista vários tópicos e conceitos. Alguns destes princípios estarão intimamente ligados com a cultura da organização ou a requisitos regulamentares que governam o sector no qual funciona a organização. Outros conteúdos serão aplicáveis a todas as

28

organizações e encontram-se em qualquer política da segurança da informação, tais como, a protecção anti-vírus e avisos ao utilizador.

8 – Papéis e responsabilidades

Este é um dos componentes mais importantes da política de segurança da informação, pois esta parte diz ao leitor exactamente o que se espera dele em termos da segurança da informação na organização. Os papéis e responsabilidades devem cobrir todos os aspectos da segurança da informação, assim como, as responsabilidades individuais de todas as partes que utilizam os recursos da informação da organização [OOIT 2007].

9 – Violações da política de segurança da informação e acções disciplinares A declaração acerca da violação da política de segurança da informação é muito importante pois assegura que se podem exercer acções disciplinares contra um utilizador se o mesmo não respeitar a política. É muito importante que esta declaração esteja directamente relacionada com a política disciplinar geral da organização.

10 – Monitorização e revisão

Esta declaração lida com a necessidade de monitorização e revisão frequente da aplicabilidade e efectividade continuadas das directrizes da segurança da informação implementadas na empresa. Sem esta declaração não há continuidade no aperfeiçoamento da implementação da segurança da informação na organização. 11 – Declaração do utilizador e aceitação

Este não é um elemento comum encontrado numa política de segurança da informação, sendo geralmente apresentado como apêndice ou documento separado. É contudo um elemento muito útil, pois geralmente é concebido como uma versão resumida da política de segurança da informação e completamente dirigida aos utilizadores da organização. Os utilizadores são levados a ler a secção inteira para terem uma melhor compreensão do que se espera deles [Tudor 2001].

12 – Referências transversais

A política de segurança da informação nunca deveria ser escrita isoladamente e necessitará do apoio de outras políticas, normas, procedimentos e processos relevantes. Estes documentos aplicáveis devem ser referenciados na política para assegurar que o utilizador obtenha uma imagem completa de todas as normas de segurança e medidas usadas na organização. Um outro aspecto importante é o facto de frequentemente as políticas terem de reflectir certas directrizes e medidas determinadas por legislação ou regulamentação do país.

13 – Elementos gerais

Os elementos que se recomenda que sejam incluídos numa política de segurança da informação para assegurar o seu status oficial na organização. Estes elementos são de fácil compreensão e encontrar-se-ão listados no final do documento, sendo os seguintes:

• Os autores da política

• Data de aprovação da política

29

Outro autor, Patrick [2001], define que uma política de SSI deve incluir os seguintes elementos na sua constituição:

1 – Sumário Executivo 2 – Alcance e aplicabilidade 3 – Política Geral 4 – Papéis e Responsabilidades 5 – Compromisso 5.1– Acreditação 5.2– Gestão de Risco 5.2.1 Controle de acesso 5.2.2 Backups 5.2.3 Resposta a incidentes 5.2.4 Acesso não autorizado 5.2.5 Monitorização

5.2.6 Criptografia 5.2.7 Existência de Web 5.2.8 Disposição dos recursos 5.2.9 Passwords

5.2.10 Uso de recursos pessoais dentro da empresa 5.2.11 Inspecções e revisões 5.2.12 Software de entretenimento 5.2.13 Meios de remoção 5.2.14 Freeware ou Shareware 5.2.15 Segurança física/pessoal 5.2.16 Responsabilidades do vendedor 5.2.17 Divulgação pública 5.2.18 Sala de servidores/áreas

5.2.19 Alteração da configuração do sistema 5.2.20 Auditoria do compromisso de SSI 5.2.21 Consciência da segurança e formação 5.2.22 Inventário dos recursos do SI

5.2.23 Documentação

Esta listagem surge porque é indissociável a gestão de risco dos elementos que constituem uma política SSI, os itens incluídos na gestão de risco cobrem um leque de elementos essenciais a considerar na elaboração de uma política.

As duas listas anteriormente apresentadas diferem principalmente no seu âmbito do enfoque, enquanto a primeira é constituída por componentes de política geral de SSI, a segunda dirige-se mais para a segurança de sistemas informáticos.

No Apêndice C resumem-se as principais recomendações sobre políticas de SSI constantes de diversas normas de gestão da SSI. Ressalva-se que a substância da maioria dessas recomendações é discutida ao longo deste Capítulo.

30