18 dezembro 2007

Politicas de Segurança



Em toda a Politica de segurança faz-se necessário ter uma ideia clara daquilo que se quer defender, contra quem queremos e quais os entraves que esta politica oferece para o funcionamento normal do sistema. Uma Politica de Segurança de uma empresa define as normas e procedimentos que melhor atendam ao propósito da mesma, minimizados os riscos com perdas e violações de qualquer dos seus bens. Podemos assumir que todos os dados referentes a uma empresa fazem parte do seu patrimonio. Nosso objetivo ao desenvolver esta Politica restringe a defesa das informações e sistemas computacionais de software e hardware da empresa.
Durante o desenvolvimento de uma Politica de Segurança precisamos entrar em contato com os indivíduos na empresa responsáveis pelos dois papeis-chaves para coleta das informações necessárias: os administradores de sistemas (tecnologia aplicada), os diretores da empresa (negocio da empresa). Os demais funcionários são os reais usuários da politica e não podem ser esquecidos quanto as suas necessidades de execução das tarefas - ou seja, estas tarefas não devem ser suprimidas em prol da implementação da politica, sem que ao menos seja-lhe oferecido um caminho alternativo - e quanto as suas reais possibilidades de execução daquela politica - por limitações culturais ou técnicas.
Importante lembrar que o contato com esses personagens precisa ser feito com razoável frequência para que a politica acompanhe as varias mudanças no processo de negocio ou do cunho tecnológico: uma Politica de Segurança é especifica para uma empresa e deve acompanhar o seu desenvolvimento.
Uma Politica de Segurança não pode estar restrita a nenhuma instância de uma provável implementação da mesma. Ela deve ser contruida em forma de procedimentos capazes de serem executados independente da tecnologia aplicada.

Quem faz a politica?

A criação da politica deve ser um esforço associado do pessoal técnico e do pessoal administrativo, que tem o poder de fazer cumprir a politica. Uma politica que não pode ser implementada, nem cumprida, não é útil.
Desde que a politica de segurança pode afetar a todos em uma empresa, tem que se tomar cuidado para se ter certeza de que existe um certo nível de autoridade nas decisões. Embora um grupo particular possa ter a responsabilidade de fazer cumprir a politica, um grupo de mais alto nível pode ter que confirmar e aprovar a politica.

Quem é envolvido?

A politica de segurança, para ser apropriada e efetiva, precisa ter a aceitação e o suporte de todos os indivíduos da empresa. É especialmente importante que os diretores da empresa dêem total apoio ao processo de concepção da politica de segurança, caso contrário, há pouca chance de que ela surta efeito. A lista, a seguir, abrange as pessoas que devem ser envolvidas na criação e revisão dos documentos da politica de segurança:
  • Administrador local de segurança;
  • Administrador de recursos de informática;
  • Staff técnico de recursos tecnológicos;
  • Times de respostas de incidentes de segurança;
  • Representantes de grupos de usuários afetados pela politica de segurança.

Responsabilidades

O elemento chave para uma politica de segurança é a de ser ter certeza de que todo mundo tem conhecimento de suas responsabilidades para manutenção da segurança.

Uma politica de segurança não pode prever todas as possibilidades. Contudo pode garantir (assegurar) que, para cada tipo de problema, existe alguém designado para tratar com ele. Devem existir níveis de responsabilidades associados com a politica de segurança. Em um nível, cada usuário de um recurso computacional deve ter responsabilidade de proteger sua conta. Quando um usuário permite que sua conta seja comprometida, cresce a chance de serem comprometidas outras contas ou recursos.

Gerentes de sistemas podem formar outro nível de responsabilidade. Eles devem ajudar a garantir a segurança do sistema de computação. Gerentes de rede podem ainda pertencer a outro nível.

Comunicação e Politica de Segurança

A politica de segurança, para se tornar efetiva, deve ser comunicada aos usuários do sistema e ao pessoal da manutenção do mesmo. Todos devem assinar um termo indicando que leram, entenderam e concordaram em obedecer a politica. É importante também destacar, que a realização de um forte treinamento com usuários, administradores e demais indivíduos envolvidos e/ou afetados pela politica de segurança, constitui-se em medida fundamental para o sucesso e aceitação dos princípios estabelecidos por tal politica.

Educação do usuário

Usuários devem ser alertados de como o sistema operacional espera ser usado e como protege-lo de usuários não autorizados.

Todos os usuários devem ser informados sobre o que é considerado uso apropriado de sua conta. Isto pode mais facilmente ser feito, no momento que o usuário recebe sua conta, levando ao seu conhecimento os estatutos da politica. Uma politica de uso apropriado, tipicamente, dita coisas tais como de que forma a conta pode ser usada para atividades pessoais, de lazer ou ganho pessoal.

Analise de riscos

A analise de riscos serve para estimar o potencial de perdas associados as vulnerabilidades do sistema e quantificar o prejuízo que pode ocorrer, caso as ameaças se concretizem. O principal objetivo da analise de riscos é tentar identificar proteções eficientes que reduzirão os riscos a um nível aceitável, de modo que se o site (sistema) for atacado, consiga sobreviver com serviços essenciais.

A analise de riscos deve determinar:

  • O que deve ser protegido;
  • O que é necessário para garantir proteção;
  • Como proteger;

Para isso, a analise de riscos segue duas fases:

  • Identificação dos bens;
  • Identificação das ameaças;

Identificação dos Bens

Considere em identificar todas as coisas que precisam ser protegidas. Em principio os bens podem ser agrupados nas seguintes categorias:

  • Hardware;

CPUs, placas, teclados, terminais, estação de trabalho, computadores pessoais, impressoras, disk drives, linhas de comunicação, servidores, roteadores, hubs, switches, etc.

  • Software;

Programas-fonte, programas-objeto, programas utilitários, programas de diagnósticos, sistemas operacionais e programas de comunicação.

  • Dados;

Durante a execução, armazenamento on-line, arquivamentos off-line, auditoria de logs, banco de dados, em transito nos meios de comunicação.

  • Pessoas;

Usuários, administradores, pessoal de manutenção.

  • Documentação;

Programas, hardware, sistemas, procedimentos de administração local.

  • Suprimentos;

Papeis, formulários, meios magnéticos.

Texto Fonte: Politica de Segurança de Rede; Universidade Federal de Pernambuco; Recife-PE





Postar um comentário