Implantação da Segurança e Plano de Segurança

Implantação da Segurança e Plano de Segurança

Implementação da Segurança
Depois de se familiarizar com as ameaças e vulnerabilidades do ambiente, identificados na análise de riscos ou depois da definição formal das intenções e atitudes da organização que estão definidas na política de segurança da informação, devemos tomar algumas medidas para a implementação das ações de segurança recomendas ou estabelecidas.
Devemos instalar ferramentas, divulgar regras, conscientizar os usuários sobre o valor das informações, configurarem os ambientes. Devemos escolher e implementar cada medida de proteção para contribuir com a redução das vulnerabilidades e conseqüentemente, do risco.
Cada medida deve ser selecionada de tal forma, quando em operação, alcance os propósitos definidos. Esses propósitos precisam ser muito claros.
É inútil definir regras para criar e utilizar senhas difíceis de descobrir se os usuários as compartilham ou escrevem em bilhetes e as colam ao lado do monitor.
O exemplo a segui nos permite ter uma idéia do que é necessário para proteção dos ativos na empresa:
· Controle de acesso ao recurso da rede
· Proteção contra vírus
· Segurança para equipamentos portáteis
· ICP – Infra – Estrutura de Chaves Públicas
· Detecção e controle de invasões
· Firewall
· Vpn – Virtual Private Network
· Acesso remoto seguro
· Segurança de correio eletrônico
· Segurança para aplicativos
· Monitoramento e gerenciamento da segurança
· Segurança em comunicação móvel
· Segurança para servidores
Plano de Segurança
A partir da política de segurança, são definidas as ações que devem ser implementadas (ferramentas de software ou hardware, campanhas de conscientização, treinamento) para alcançar o maior nível de segurança.
O plano de segurança deve se basear em um cronograma detalhado e conter, para cada ação, os seguintes pontos descritos:
· Ponto a Considerar
· Descrição
· Exemplo
Plano de Ação
Uma vez definido e aprovado o plano de segurança começa a definição do plano de Ação para as medidas que devem ser implementadas.
Um plano de ação pode ter vários formatos, mas deve apresentar as seguintes características:
· Objetivos bem definidos
· Coerência
· Seqüência
· Flexibilidade
Para concluir um plano de ação correto, é necessário seguir uma ordem rígida para completar cada um de seus elementos. Isso ajuda a não esquecer fatores importantes.
Recomendações dos Fabricantes
É muito importante que as recomendações dos fabricantes dos produtos sejam conhecidas antes da implementação.
Suporte
Pode ser necessária a ajuda de profissionais com a experiência adequada para execução de determinadas.
Planejamento da Implantação
Algumas das coisas a implantar (aplicativos, equipamentos, campanhas de divulgação e conscientização) podem durar vários dias e afetar a vários ambientes, processos e pessoas da organização. Nesses casos, sempre é útil um planejamento separado.
Plataforma de Testes
Em alguns casos, uma plataforma de testes e necessária para avaliar a solução e reduzir os possíveis riscos sobre o ambiente de produção.
Metodologia de Implementação
Ao realizar a implementação propriamente dita e muito importante segui uma metodologia que:
· Defina como dar os passos necessários para executar um plano de ação
· Mantenha um mesmo padrão de qualidade na implementação sem importar quem está executando.
Registro das atividades
Depois da implementação de uma nova medida de segurança, é importante manter o registro do que foi implementado, este registro tem como objetivos principais:
· Manter o controle de todas as medidas implementadas
· Aproveitar a experiência acumulada
As Normas de Segurança da informação
Segundo o Aurélio = Norma é aquilo que se estabelece como base ou medida para a realização de alguma coisa. As normas contribuem para fazer com que os processos de fabricação e fornecimento de produtos e serviços sejam mais eficientes, seguros e limpos.
Diversas normas foram criadas especificamente para o tratamento da questão sobre a segurança da informação.
· ITIL – Infornation Technology Infraestructure Library
· Cobit – Control Objectives for Information and Related Technology
· BS 15000/ISSO 20000 – Normas de Gestão de Serviços
· BS 7799 – British Standard 7799
· ISSO/IEC 17799:2005

Política de Segurança

CONCEITOS BÁSICOS E ELABORAÇÃO DA POLÍTICA SEGURANÇA

A política é elaborada considerando-se o ambiente em que se está trabalhando, para que os critérios estabelecidos estejam de acordo com as práticas internas da empresa e com as práticas de segurança atualmente adotadas a fim de buscar uma conformidade maior com critérios atualizados e reconhecidos em todo o mundo.

CONCEITOS BÁSICOS

Uma política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções que comanda as atuações de trabalho e define os critérios de segurança para que sejam adotados com o objetivo de estabelecer, padronizar e normatizar a segurança e seus processos tanto no escopo humano como no tecnológico. A partir desses princípios, é possível fazer da segurança das informações um esforço comum, como um arsenal informativo documentado e normatizado dedicado à padronização das atividades de cada um dos indivíduos envolvidos na segurança da informação.

ELABORAÇÃO DA POLÍTICA

Para elaborar uma política de segurança das informações, é importante levar em consideração as exigências básicas e as etapas necessárias para a sua produção.

* Exigências da política

* Etapas de produção

EXIGÊNCIAS DA POLÍTICA

A política é elaborada tomando-se como base a, legislação existente, cláusulas contratuais, a cultura da empresa e o conhecimento especializado de segurança dos profissionais envolvidos na sua aplicação e comprometimento. É importante considerar que para a elaboração de uma política de segurança institucional é preciso:

* Criar o Comitê de Segurança responsável por diversas definições que constarão na política;

* Elaborar o documento final.

* Oficializar o uso da política.

O Comitê de SegurançaEsse comitê é formado por um grupo de pessoas responsáveis por atividades referentes à criação e aprovação de requisitos e demandas de segurança na empresa.o Nas reuniões, são definidos os critérios de segurança adotados em cada área e o esforço comum necessário para que a segurança alcance tais critérios. O documento finalNesse documento devem aparecer as preocupações da administração no que se refere à segurança para que todas as normas, procedimentos e instruções possam vir a serem definidos. Deve também conter:

* A definição da própria política e seus objetivos;

* Uma declaração da administração que apóie os princípios estabelecidos e uma explicação das exigências de conformidade com relação a:

* legislação e cláusulas contratuais;

* educação e formação em segurança da informação;

* prevenção contra ameaças (vírus, cavalos de Tróia, hackers, incêndios, intempéries, etc.)

* Deve conter também a atribuição das responsabilidades das pessoas envolvidas, ficando claro os papéis de cada um na gestão e execução dos processos no que diz respeito a segurança;

* Não esquecer que toda documentação já existente sobre como realizar as tarefas deve ser analisada com relação aos princípios de segurança das informações, para aproveitar ao máximo as práticas atuais, avaliando e agregando segurança a essas tarefas.

Oficializar a política

A oficialização de uma política tem como base a sua aprovação por parte da administração da empresa.Deve ser publicada e comunicada de maneira adequada para todos os funcionários, parceiros, prestadores de serviços e clientes.

ETAPAS DE PRODUÇÃO DA POLÍTICA

O trabalho de produção se compõe de etapas distintas, entre outras:

* Objetivos e escopo

* Entrevista

* Investigação e análise de documentos

* Reunião de política

* Glossário da política

* Responsabilidades e penalidades

Objetivos e escopo

Neste ponto, deve-se elaborar a apresentação da política com relação a seus propósitos e conteúdos, buscando identificar resumidamente quais padrões a política tenta estabelecer, além da amplitude que terá em relação a ambientes, indivíduos, áreas e departamentos da empresa. Entrevista

As entrevistas tentam identificar junto aos usuários e administradores da empresa as preocupações que têm com os ativos, os processos de negócio, áreas ou tarefas que executam ou da qual participam. As entrevistas buscam identificar as necessidades de segurança existentes na empresa.

Investigação e análise de documentos

Nesta etapa, são identificados e analisados os documentos existentes da empresa e os que têm alguma relação com o processo de segurança no que se refere à redução de riscos, à diminuição de trabalho repetido e à falta de orientação. Entre a documentação existente, podemos considerar o seguinte: documentação de rotinas operacionais de sistemas, metodologias, políticas de qualidade entre outras.

Reunião de Política

Nas reuniões, realizadas com as equipes envolvidas na elaboração, os temas são levantados e discutidos. Além disso, são redigidos os parágrafos para a composição das normas com base no levantamento do objetivo e do escopo da política.

Glossário da Política

É importante esclarecer qualquer dúvida conceitual que possa surgir no momento da leitura da política. Portanto, recomenda-se que a política tenha um glossário específico no qual sejam especificados os termos e conceitos utilizados.

Responsabilidades e penalidades

É fundamental identificar os responsáveis pelo gerenciamento de segurança dos ativos com o objetivo de estabelecer as relações de responsabilidade para o cumprimento das tarefas, como as normas de aplicação de sanções resultantes de casos de inconformidade com a política elaborada. Dessa forma, busca-se o nível de consciência necessário dos envolvidos com relação às penalidades nos casos de infração da política de segurança.

DOCUMENTOS DA POLÍTICA DE SEGURANÇA

Ao iniciar o processo de elaboração de uma política de segurança, é necessário recompilar e revalidar certas informações com os usuários de ativos e realizar estudos nos documentos existentes. O objetivo dessa tarefa é definir que tipo de adaptação deve ser feita no modelo de padronização existente para atender às características da empresa. Se esses padrões já estiverem definidos, os documentos da política de segurança devem se adaptar a eles para garantir uma proximidade entre a prática de administração existente e a política sugerida. IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA

O sucesso da implantação de um sistema e uma política de segurança na empresa depende em grande parte do profundo conhecimento dos processos envolvidos nessa implantação. Uma vez recebida toda a informação necessária e depois de comunicar os resultados a todo o pessoal da empresa que o processo e a política de segurança possam ser implementados seguindo algum padrão de reconhecimento internacional.