Políticas de Segurança
-
Upload
sopoline-morrow -
Category
Documents
-
view
37 -
download
0
description
Transcript of Políticas de Segurança
Políticas de Segurança
Prof. MSc. Rafael Leal Martins
Conceito
• De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.
Expectativas
• Espera-se de uma política de segurança:– Implementação realista;– Definição das áreas de responsabilidade dos usuários, do
pessoal de gestão de sistemas e redes e da direção;– Adaptabilidade a alterações na organização;– Enquadramento para a implementação de mecanismos
de segurança;– Definição de procedimentos de segurança adequados,
além de processos de auditoria;– Estabelecimento de uma base para procedimentos legais
em caso de ataques.
Importância
• É o primeiro e principal passo da estratégia de segurança de uma organização.
• Através dela são definidos todos os aspectos envolvidos na proteção das informações.
• Pode evitar problemas para a empresa:– 1996 – New Jersey, NY, EUA - Omega Engineering • Timothy A. Lloyd implantou uma bomba lógica na rede
que causou prejuízos calculados de U$ 12 milhões!
Planejamento
• Políticas:– Elementos que orientam as ações e implementações
futuras• Normas:– Abordam os detalhes:
• Passos da implementação• Conceitos e projetos de sistemas e controles
• Procedimentos:– São utilizados para que os usuários possam cumprir o que
foi definido na política e os administradores possam configurar os sistemas de acordo com a necessidade
Planejamento
• Padrões de referência:– British Standard (BS) 7799– ISO/IEC 17799
Elementos de uma Política de Segurança
• Vigilância:– Entender a importância– Processo regular e constante
• Atitude:– Postura e conduta– Planejamento correto
• Estratégia:– Criatividade– Adaptabilidade– Produtividade
• Tecnologia:– Escolher as melhores ferramentas– Múltiplas tecnologias adotadas
Elementos de uma Política de Segurança
• Segundo o norma ISO/IEC 17799 uma política de segurança deve seguir as seguintes orientações:– Definições– Declaração de comprometimento– Explicação das políticas, padrões e requisitos– Definição de responsabilidades– Referências
Elementos de uma Política de Segurança
• Não deve conter detalhes técnicos ou procedimentos• Deve conter regras gerais e estruturais que se
aplicam a toda organização• Deve ser flexível para não sofrer alterações
constantes• Deve ser abrangente para permitir possíveis exceções• Deve ser clara e curta para que seja lida e entendida
por todos os funcionários– Acrescentar políticas, normas e procedimentos para áreas
específicas
Considerações para definir uma boa política
• Conhecer os possíveis inimigos• Contabilizar os valores• Identificar, examinar e justificar as hipóteses• Confidencialidade• Avaliar os serviços estritamente necessários• Considerar os fatores humanos• Conhecer os pontos fracos• Limitar acesso• Entender o ambiente• Limitar confiança em sistemas• Implementar segurança física• Considerar a complexidade• Aplicar medidas compatíveis com o negócio
Pontos a serem considerados• Segurança X Serviços• Evolução constante• O que não foi permitido deve ser proibido• Nenhum acesso externo à rede interna deve ser permitido sem
controle de acesso• Simplicidade na implementação de serviços• Realização de testes• Acesso remoto deve ser protegido com autenticação e criptografia• Sistemas devem utilizar senhas criptografadas• Dispositivos móveis devem ter suas informações criptografadas
(VPNs)
Implementação da política
• Parte mais difícil• Ponto mais importante: Educação• Ampla divulgação (total, se possível)• Executivos e Diretores devem apoiar e seguir• Pode levar anos até conseguir o efeito esperado• Deve fazer parte do orçamento da empresa• Aplicar a política rigorosamente (punições)• Auditoria, monitoramento e revisão constantes
Maiores Obstáculos para a Implementação
• Falta de verbas• Falta de visão dos benefícios• Falta de apoio • Visão reativa em vez de pró-ativa• Falta de conhecimento técnico• Falta de comprometimento• Falta de processos disciplinares
Estrutura de uma Política de Segurança
• A política de segurança deve refletir a própria organização
• A política de uma empresa não deve (nem pode) ser aplicada a outra apesar de existirem pontos comuns
• Exemplos de documentos de políticas de segurança
Referências
• NAKAMURA, E. T. Segurança de Redes em Ambientes Cooperativos. Novatec, São Paulo, 2007.
• NBR ISO/IEC 17799 (2001)