Prof. Davison R.Marques
Prof. Davison R.Marques
drmarques@terra.com.br
na empresa e praticadas por seus funcionários,
na empresa e praticadas por seus funcionários,
colaboradores, prestadores de serviço, clientes e
colaboradores, prestadores de serviço, clientes e
fornecedores, com o objetivo de preservar os ativos
fornecedores, com o objetivo de preservar os ativos
de informação livres de risco, assegurando a
de informação livres de risco, assegurando a
continuidade dos negócios.
continuidade dos negócios.
Estabelece os princípios através dos quais a empresa
Estabelece os princípios através dos quais a empresa
irá proteger, controlar e monitorar seus recursos
A política de segurança é um conjunto de diretrizes gerais A política de segurança é um conjunto de diretrizes gerais
destinadas a proteção a ser dada a ativos da empresa. destinadas a proteção a ser dada a ativos da empresa.
As consequências de uma política de segurança As consequências de uma política de segurança
implementada e corretamente seguida podem ser implementada e corretamente seguida podem ser
resumidas em três aspectos: resumidas em três aspectos:
- redução da probabilidade de ocorrência de incidentes - redução da probabilidade de ocorrência de incidentes
- redução dos danos provocados por eventuais ocorrências - redução dos danos provocados por eventuais ocorrências
- procedimentos de recuperação de eventuais danos - procedimentos de recuperação de eventuais danos
Medidas devem ser de cunho preventivo e normativo Medidas devem ser de cunho preventivo e normativo
Riscos devem ser previstos e eliminados antes que se Riscos devem ser previstos e eliminados antes que se
manifestem manifestem
Prevenção costuma ser mais barata que a correção Prevenção costuma ser mais barata que a correção
De forma geral, as organizações conhecem os riscos De forma geral, as organizações conhecem os riscos
envolvidos mesmo quando não existem normas explícitas a envolvidos mesmo quando não existem normas explícitas a
respeito de segurança. respeito de segurança.
ocorrências
ocorrências
Mesmo com a adoção de medidas preventivas, é possível que Mesmo com a adoção de medidas preventivas, é possível que
ocorram incidentes que resultem em danos
ocorram incidentes que resultem em danos à empresa. à empresa.
As medidas de redução de riscos variam em função dos ativos As medidas de redução de riscos variam em função dos ativos
e dos riscos envolvidos. e dos riscos envolvidos.
Se, apesar de todas as precauções tomadas, vier a ocorrer Se, apesar de todas as precauções tomadas, vier a ocorrer
um incidente de segurança, é necessário haver um plano para um incidente de segurança, é necessário haver um plano para
recuperar os danos provocados pela ocorrência recuperar os danos provocados pela ocorrência..
As medidas de recuperação de danos também variam em As medidas de recuperação de danos também variam em
função dos ativos e dos riscos envolvidos. função dos ativos e dos riscos envolvidos.
de Segurança é a definição das equipes responsáveis
de Segurança é a definição das equipes responsáveis
pela elaboração, implantação e manutenção da
pela elaboração, implantação e manutenção da
política.
política.
É importante que sejam definidas claramente as
É importante que sejam definidas claramente as
responsabilidades de cada colaborador, e também
responsabilidades de cada colaborador, e também
que sejam envolvidas pessoas da alta administração
que sejam envolvidas pessoas da alta administração
da organização
pela alta gerência e divulgada para todos na
pela alta gerência e divulgada para todos na
empresa.
empresa.
A partir de então, todos os controles devem se
A partir de então, todos os controles devem se
basear nessa política de segurança, aprovada pela
basear nessa política de segurança, aprovada pela
alta gerência e difundida pela organização.
1.
1. Identificação dos recursos críticosIdentificação dos recursos críticos 2.
2. Classificação das informaçõesClassificação das informações 3.
3. Elaboração de normas e procedimentosElaboração de normas e procedimentos 4.
4. Definição de planos de recuperação, contingência, continuidade de Definição de planos de recuperação, contingência, continuidade de negócios
negócios 5.
5. Definição de sanções ou penalidades pelo não cumprimento da Definição de sanções ou penalidades pelo não cumprimento da política
política 6.
6. Elaboração de um termo de compromissoElaboração de um termo de compromisso 7.
7. Aprovação da alta administraçãoAprovação da alta administração 8. 8. DivulgaçãoDivulgação 9. 9. ImplantaçãoImplantação 10. 10.RevisãoRevisão
Devem ser mapeados todos os procedimentos
Devem ser mapeados todos os procedimentos
executados na organização, informatizados ou
executados na organização, informatizados ou
não, que tenham relevância para as atividades
não, que tenham relevância para as atividades
principais da empresa.
principais da empresa.
Os processos considerados críticos à organização
Os processos considerados críticos à organização
deverão ser tratados de maneira diferenciada na
deverão ser tratados de maneira diferenciada na
política de segurança
Tem como objetivo assegurar que as
Tem como objetivo assegurar que as
informações recebam um nível apropriado de
informações recebam um nível apropriado de
proteção. As informações devem ser classificadas
proteção. As informações devem ser classificadas
para indicar a necessidade, as prioridades e o
para indicar a necessidade, as prioridades e o
grau de proteção e definir necessidade de
grau de proteção e definir necessidade de
medidas especiais de manipulação.
Uso Confidencial Uso Confidencial
aplicada às informações de grande valor a organização, aplicada às informações de grande valor a organização, se divulgadas indevidamente podem causar danos e
se divulgadas indevidamente podem causar danos e prejuízos a organização ou a seus parceiros, expor a prejuízos a organização ou a seus parceiros, expor a
empresa à danos financeiros, perdas de vantagens empresa à danos financeiros, perdas de vantagens competitivas, ou a constrangimento público; violar competitivas, ou a constrangimento público; violar
direitos individuais de privacidade. Seu uso e direitos individuais de privacidade. Seu uso e
disseminação devem ser restritos e controlados. disseminação devem ser restritos e controlados.
Uso Confidencial Uso Confidencial
Ex: arquivos de folha de pagamento e recursos Ex: arquivos de folha de pagamento e recursos
humanos, organogramas, planejamentos de marketing, humanos, organogramas, planejamentos de marketing,
fórmulas de produtos ou processos produtivos, fórmulas de produtos ou processos produtivos,
planejamentos financeiros, listas de preços e acordos planejamentos financeiros, listas de preços e acordos
comerciais. comerciais.
Uso Interno Uso Interno
aplicada às informações restritas aos funcionários e a aplicada às informações restritas aos funcionários e a terceiros.
terceiros.
Quando puder ser revelada a qualquer empregado sem Quando puder ser revelada a qualquer empregado sem causar e expor a empresa a danos financeiros ou
causar e expor a empresa a danos financeiros ou constrangimento público; não violar os direitos constrangimento público; não violar os direitos
individuais de privacidade ou necessitar de controles de individuais de privacidade ou necessitar de controles de
acesso limitados acesso limitados
(Ex: informações sobre projetos internos ou listagem de (Ex: informações sobre projetos internos ou listagem de telefones internos).
Uso Público Uso Público
Quando puder ser revelada a qualquer pessoa, Quando puder ser revelada a qualquer pessoa,
incluindo não funcionários da empresa sem causar ou incluindo não funcionários da empresa sem causar ou
expor a empresa à danos financeiros ou expor a empresa à danos financeiros ou
constrangimento público. constrangimento público.
– acessos externos, internos, físico e lógico; acessos externos, internos, físico e lógico;
– uso da Intranet e Internet; uso da Intranet e Internet;
– uso de correio eletrônico; uso de correio eletrônico;
– uso e instalação de softwares; uso e instalação de softwares;
– política de senhas; política de senhas;
– política de backup; política de backup;
– uso e atualização de anti-vírus; uso e atualização de anti-vírus;
– trilhas de auditoria; trilhas de auditoria;
– padrões de configuração de redepadrões de configuração de rede
continuidade de negócios
continuidade de negócios
Plano de contingência ou plano de recuperação, é um Plano de contingência ou plano de recuperação, é um plano que contém as diretrizes que a empresa deve plano que contém as diretrizes que a empresa deve
seguir em caso de parada no processamento, seguir em caso de parada no processamento,
decorrente de desastre. decorrente de desastre.
Tem como objetivo auxiliar na recuperação imediata do Tem como objetivo auxiliar na recuperação imediata do processamento das informações, levando em
processamento das informações, levando em
consideração a criticidade, de modo que minimize consideração a criticidade, de modo que minimize
eventuais prejuízos à organização. eventuais prejuízos à organização.
cumprimento da política
cumprimento da política
Devem ser definidas punições de acordo com a cultura Devem ser definidas punições de acordo com a cultura da organização. Algumas empresas optam por criar
da organização. Algumas empresas optam por criar níveis de punições relacionados aos itens da política, níveis de punições relacionados aos itens da política,
sendo a punição máxima a demissão ou desligamento sendo a punição máxima a demissão ou desligamento
do funcionário ou colaborador. do funcionário ou colaborador.
Os principais objetivos são dar respaldo jurídico a Os principais objetivos são dar respaldo jurídico a organização e incentivar os usuários a aderirem à organização e incentivar os usuários a aderirem à
política. política.
Utilizado para formalizar o comprometimento dos Utilizado para formalizar o comprometimento dos funcionários em seguir a política de segurança, funcionários em seguir a política de segurança,
tomando ciência das sanções e punições impostas ao tomando ciência das sanções e punições impostas ao
seu não cumprimento. seu não cumprimento.
O termo de compromisso deve ser implantado como um O termo de compromisso deve ser implantado como um aditivo ao contrato de trabalho, para tanto deve ser
aditivo ao contrato de trabalho, para tanto deve ser
assinado pelos funcionários e colaboradores e deve ser assinado pelos funcionários e colaboradores e deve ser
envolvida a área jurídica da organização na sua revisão. envolvida a área jurídica da organização na sua revisão.
Para reforçar o aval da alta administração da Para reforçar o aval da alta administração da
organização, e reafirmar a importância da segurança, é organização, e reafirmar a importância da segurança, é
importante que antes da implantação da Política de importante que antes da implantação da Política de
Segurança seja feito um comunicado da diretoria ou Segurança seja feito um comunicado da diretoria ou
presidência, aos funcionários e colaboradores, presidência, aos funcionários e colaboradores,
comunicando a implantação da Política de Segurança na comunicando a implantação da Política de Segurança na
organização. organização.
A Política de Segurança deve ser de conhecimento de A Política de Segurança deve ser de conhecimento de todos os funcionários, estagiários e colaboradores da todos os funcionários, estagiários e colaboradores da
organização, portanto deve ser amplamente divulgada. organização, portanto deve ser amplamente divulgada.
alguns dos métodos de divulgação mais utilizados: alguns dos métodos de divulgação mais utilizados: campanhas internas e palestras de conscientização; campanhas internas e palestras de conscientização;
destaque em jornal e folhetos internos; Intranet; destaque em jornal e folhetos internos; Intranet;
criação de manual em formato compacto e com criação de manual em formato compacto e com
linguagem acessível aos usuários linguagem acessível aos usuários
A implantação é a etapa final da política de segurança. A implantação é a etapa final da política de segurança. Consiste na aplicação formal das regras descritas na Consiste na aplicação formal das regras descritas na
política da organização, e a assinatura do termo de política da organização, e a assinatura do termo de
compromisso. compromisso.
Deve ser realizada de forma gradativa e Deve ser realizada de forma gradativa e
obrigatoriamente após ao programa de divulgação e obrigatoriamente após ao programa de divulgação e
conscientização dos funcionários. conscientização dos funcionários.
A política de segurança deve ser revisada A política de segurança deve ser revisada
periodicamente, para mantê-la atualizada frente as periodicamente, para mantê-la atualizada frente as
novas tendências e acontecimentos do mundo da novas tendências e acontecimentos do mundo da
segurança da informação. segurança da informação.
Deve ser realizada uma revisão sempre que forem Deve ser realizada uma revisão sempre que forem identificados fatos novos não previstos na política de identificados fatos novos não previstos na política de
segurança vigente, que possam impactar na segurança segurança vigente, que possam impactar na segurança
das informações da organização. das informações da organização.
primeiro lugar, devem ser levantados as
primeiro lugar, devem ser levantados as
ameaças
ameaças
,
,
vulnerabilidades
vulnerabilidades
e
e
riscos
riscos
a que as informações estão
a que as informações estão
sujeitas, para que se possa definir a política com
sujeitas, para que se possa definir a política com
foco a combater estes pontos fracos para a
foco a combater estes pontos fracos para a
organização
elaboração de uma política de segurança visto que
elaboração de uma política de segurança visto que
estes aspectos de ameaças, riscos e vulnerabilidades
estes aspectos de ameaças, riscos e vulnerabilidades
são particulares de cada organização.
elaboração de uma política de segurança visto que
elaboração de uma política de segurança visto que
estes aspectos de ameaças, riscos e vulnerabilidades
estes aspectos de ameaças, riscos e vulnerabilidades
são particulares de cada organização.
implementados por determinam possuem aumentam exploram vulnerabilidades
RISCOS informaçãoativos de
valor dos ativos
afetam impactam requerimentos de segurança controles de segurança eliminam vulnerabilidades
atitude indesejável (roubo, incêndio, vírus etc) que
atitude indesejável (roubo, incêndio, vírus etc) que
potencialmente corrompe, remove, desabilita ou
potencialmente corrompe, remove, desabilita ou
destrói um recurso computacional e,
destrói um recurso computacional e,
conseqüentemente, as informações a ele vinculadas
ou deficiência que pode ser explorada por uma
ou deficiência que pode ser explorada por uma
ameaça. Além disso, a definição dos recursos
ameaça. Além disso, a definição dos recursos
computacionais, a classificação das informações e a
computacionais, a classificação das informações e a
classificação dos tipos de usuários são de suma
classificação dos tipos de usuários são de suma
importância para situar o contexto de atuação da
importância para situar o contexto de atuação da
política de segurança.
importância da conseqüência que o risco provoca
importância da conseqüência que o risco provoca
sobre o ambiente.
sobre o ambiente.
Baixo risco: conseqüência pouco importante. Afeta
Baixo risco: conseqüência pouco importante. Afeta
localmente um serviço ou uma pessoa
localmente um serviço ou uma pessoa
Médio risco: conseqüência razoavelmente
Médio risco: conseqüência razoavelmente
importante. Afeta serviços ou um grupo de usuários
importante. Afeta serviços ou um grupo de usuários
Alto risco: conseqüência fortemente importante.
Alto risco: conseqüência fortemente importante.
Afeta a organização em si ou serviços críticos da
Afeta a organização em si ou serviços críticos da
corporação.
I - fazer uso dos recursos computacionais, nos termos desta Política;
I - fazer uso dos recursos computacionais, nos termos desta Política;
II - ter conta de acesso à rede corporativa;
II - ter conta de acesso à rede corporativa;
III - ter conta de correio eletrônico;
III - ter conta de correio eletrônico;
IV - acessar a INTRANET e a INTERNET;
IV - acessar a INTRANET e a INTERNET;
V - ter acesso aos registros de suas ações através da rede corporativa;
V - ter acesso aos registros de suas ações através da rede corporativa;
VI - ter acesso às informações que lhe são franqueadas, nos termos desta Política,
VI - ter acesso às informações que lhe são franqueadas, nos termos desta Política,
relativamente às áreas de armazenamento privativa e compartilhada;
relativamente às áreas de armazenamento privativa e compartilhada;
VII - ter privacidade das informações na sua área de armazenamento;
VII - ter privacidade das informações na sua área de armazenamento;
VIII - solicitar recuperação das informações contidas na sua área de
VIII - solicitar recuperação das informações contidas na sua área de
armazenamento privativa e compartilhada;
armazenamento privativa e compartilhada;
IX - solicitar suporte técnico.
I - responder pelo uso exclusivo de sua conta;
I - responder pelo uso exclusivo de sua conta;
II - identificar, classificar e enquadrar as informações da rede corporativa,
II - identificar, classificar e enquadrar as informações da rede corporativa,
relacionadas às suas atividades, de acordo com a classificação definida nesta
relacionadas às suas atividades, de acordo com a classificação definida nesta
Política;
Política;
III - zelar por toda e qualquer informação armazenada na rede corporativa contra
III - zelar por toda e qualquer informação armazenada na rede corporativa contra
alteração, destruição, divulgação, cópia e acesso não autorizados;
alteração, destruição, divulgação, cópia e acesso não autorizados;
IV - guardar sigilo das informações confidenciais, mantendo-as em caráter restrito;
IV - guardar sigilo das informações confidenciais, mantendo-as em caráter restrito;
V - manter em caráter confidencial e intransferível a senha de acesso aos recursos
V - manter em caráter confidencial e intransferível a senha de acesso aos recursos
computacionais da organização;
VI - fazer o treinamento para utilização desta Política;
VI - fazer o treinamento para utilização desta Política;
VII - informar à gerência imediata as falhas ou os desvios constatados das regras
VII - informar à gerência imediata as falhas ou os desvios constatados das regras
estabelecidas nesta Política;
estabelecidas nesta Política;
VIII - responder pelos danos causados em decorrência da não observância das
VIII - responder pelos danos causados em decorrência da não observância das
regras de proteção da informação e dos recursos computacionais da rede
regras de proteção da informação e dos recursos computacionais da rede
corporativa, nos termos previstos nesta Política;
corporativa, nos termos previstos nesta Política;
IX - fazer uso dos recursos computacionais para trabalhos de interesse exclusivo
IX - fazer uso dos recursos computacionais para trabalhos de interesse exclusivo
da organização.
I - usar, copiar ou armazenar programas de computador ou qualquer outro
I - usar, copiar ou armazenar programas de computador ou qualquer outro
material, em violação à lei de direitos autorais (copyright);
material, em violação à lei de direitos autorais (copyright);
II - utilizar os recursos computacionais para constranger, assediar, prejudicar ou
II - utilizar os recursos computacionais para constranger, assediar, prejudicar ou
ameaçar qualquer pessoa;
ameaçar qualquer pessoa;
III - fazer-se passar por outra pessoa ou esconder sua identidade quando utilizar
III - fazer-se passar por outra pessoa ou esconder sua identidade quando utilizar
os recursos computacionais da organização;
os recursos computacionais da organização;
IV - instalar ou retirar componentes eletrônicos dos equipamentos da rede
IV - instalar ou retirar componentes eletrônicos dos equipamentos da rede
corporativa, sem autorização;
corporativa, sem autorização;
V - instalar ou remover qualquer programa das estações de trabalho ou dos
V - instalar ou remover qualquer programa das estações de trabalho ou dos
equipamentos servidores da rede corporativa, sem autorização;
equipamentos servidores da rede corporativa, sem autorização;
VI - alterar os sistemas padrões, sem autorização;
VII - retirar qualquer recurso computacional da organização, sem prévia
VII - retirar qualquer recurso computacional da organização, sem prévia
autorização da gerência;
autorização da gerência;
VIII - divulgar informações confidenciais;
VIII - divulgar informações confidenciais;
IX - efetuar qualquer tipo de acesso ou alteração não autorizados a dados dos
IX - efetuar qualquer tipo de acesso ou alteração não autorizados a dados dos
recursos computacionais da organização;
recursos computacionais da organização;
X - violar os sistemas de segurança dos recursos computacionais, no que tange à
X - violar os sistemas de segurança dos recursos computacionais, no que tange à
identificação de usuários, senhas de acesso, fechaduras automáticas ou sistemas
identificação de usuários, senhas de acesso, fechaduras automáticas ou sistemas
de alarme;
de alarme;
XI - utilizar acesso discado através de notebook, quando conectado nas redes dos
XI - utilizar acesso discado através de notebook, quando conectado nas redes dos
prédios da organização.