Implantação da Segurança e Plano de Segurança

Implantação da Segurança e Plano de Segurança

Implementação da Segurança
Depois de se familiarizar com as ameaças e vulnerabilidades do ambiente, identificados na análise de riscos ou depois da definição formal das intenções e atitudes da organização que estão definidas na política de segurança da informação, devemos tomar algumas medidas para a implementação das ações de segurança recomendas ou estabelecidas.
Devemos instalar ferramentas, divulgar regras, conscientizar os usuários sobre o valor das informações, configurarem os ambientes. Devemos escolher e implementar cada medida de proteção para contribuir com a redução das vulnerabilidades e conseqüentemente, do risco.
Cada medida deve ser selecionada de tal forma, quando em operação, alcance os propósitos definidos. Esses propósitos precisam ser muito claros.
É inútil definir regras para criar e utilizar senhas difíceis de descobrir se os usuários as compartilham ou escrevem em bilhetes e as colam ao lado do monitor.
O exemplo a segui nos permite ter uma idéia do que é necessário para proteção dos ativos na empresa:
· Controle de acesso ao recurso da rede
· Proteção contra vírus
· Segurança para equipamentos portáteis
· ICP – Infra – Estrutura de Chaves Públicas
· Detecção e controle de invasões
· Firewall
· Vpn – Virtual Private Network
· Acesso remoto seguro
· Segurança de correio eletrônico
· Segurança para aplicativos
· Monitoramento e gerenciamento da segurança
· Segurança em comunicação móvel
· Segurança para servidores
Plano de Segurança
A partir da política de segurança, são definidas as ações que devem ser implementadas (ferramentas de software ou hardware, campanhas de conscientização, treinamento) para alcançar o maior nível de segurança.
O plano de segurança deve se basear em um cronograma detalhado e conter, para cada ação, os seguintes pontos descritos:
· Ponto a Considerar
· Descrição
· Exemplo
Plano de Ação
Uma vez definido e aprovado o plano de segurança começa a definição do plano de Ação para as medidas que devem ser implementadas.
Um plano de ação pode ter vários formatos, mas deve apresentar as seguintes características:
· Objetivos bem definidos
· Coerência
· Seqüência
· Flexibilidade
Para concluir um plano de ação correto, é necessário seguir uma ordem rígida para completar cada um de seus elementos. Isso ajuda a não esquecer fatores importantes.
Recomendações dos Fabricantes
É muito importante que as recomendações dos fabricantes dos produtos sejam conhecidas antes da implementação.
Suporte
Pode ser necessária a ajuda de profissionais com a experiência adequada para execução de determinadas.
Planejamento da Implantação
Algumas das coisas a implantar (aplicativos, equipamentos, campanhas de divulgação e conscientização) podem durar vários dias e afetar a vários ambientes, processos e pessoas da organização. Nesses casos, sempre é útil um planejamento separado.
Plataforma de Testes
Em alguns casos, uma plataforma de testes e necessária para avaliar a solução e reduzir os possíveis riscos sobre o ambiente de produção.
Metodologia de Implementação
Ao realizar a implementação propriamente dita e muito importante segui uma metodologia que:
· Defina como dar os passos necessários para executar um plano de ação
· Mantenha um mesmo padrão de qualidade na implementação sem importar quem está executando.
Registro das atividades
Depois da implementação de uma nova medida de segurança, é importante manter o registro do que foi implementado, este registro tem como objetivos principais:
· Manter o controle de todas as medidas implementadas
· Aproveitar a experiência acumulada
As Normas de Segurança da informação
Segundo o Aurélio = Norma é aquilo que se estabelece como base ou medida para a realização de alguma coisa. As normas contribuem para fazer com que os processos de fabricação e fornecimento de produtos e serviços sejam mais eficientes, seguros e limpos.
Diversas normas foram criadas especificamente para o tratamento da questão sobre a segurança da informação.
· ITIL – Infornation Technology Infraestructure Library
· Cobit – Control Objectives for Information and Related Technology
· BS 15000/ISSO 20000 – Normas de Gestão de Serviços
· BS 7799 – British Standard 7799
· ISSO/IEC 17799:2005

Política de Segurança

CONCEITOS BÁSICOS E ELABORAÇÃO DA POLÍTICA SEGURANÇA

A política é elaborada considerando-se o ambiente em que se está trabalhando, para que os critérios estabelecidos estejam de acordo com as práticas internas da empresa e com as práticas de segurança atualmente adotadas a fim de buscar uma conformidade maior com critérios atualizados e reconhecidos em todo o mundo.

CONCEITOS BÁSICOS

Uma política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções que comanda as atuações de trabalho e define os critérios de segurança para que sejam adotados com o objetivo de estabelecer, padronizar e normatizar a segurança e seus processos tanto no escopo humano como no tecnológico. A partir desses princípios, é possível fazer da segurança das informações um esforço comum, como um arsenal informativo documentado e normatizado dedicado à padronização das atividades de cada um dos indivíduos envolvidos na segurança da informação.

ELABORAÇÃO DA POLÍTICA

Para elaborar uma política de segurança das informações, é importante levar em consideração as exigências básicas e as etapas necessárias para a sua produção.

* Exigências da política

* Etapas de produção

EXIGÊNCIAS DA POLÍTICA

A política é elaborada tomando-se como base a, legislação existente, cláusulas contratuais, a cultura da empresa e o conhecimento especializado de segurança dos profissionais envolvidos na sua aplicação e comprometimento. É importante considerar que para a elaboração de uma política de segurança institucional é preciso:

* Criar o Comitê de Segurança responsável por diversas definições que constarão na política;

* Elaborar o documento final.

* Oficializar o uso da política.

O Comitê de SegurançaEsse comitê é formado por um grupo de pessoas responsáveis por atividades referentes à criação e aprovação de requisitos e demandas de segurança na empresa.o Nas reuniões, são definidos os critérios de segurança adotados em cada área e o esforço comum necessário para que a segurança alcance tais critérios. O documento finalNesse documento devem aparecer as preocupações da administração no que se refere à segurança para que todas as normas, procedimentos e instruções possam vir a serem definidos. Deve também conter:

* A definição da própria política e seus objetivos;

* Uma declaração da administração que apóie os princípios estabelecidos e uma explicação das exigências de conformidade com relação a:

* legislação e cláusulas contratuais;

* educação e formação em segurança da informação;

* prevenção contra ameaças (vírus, cavalos de Tróia, hackers, incêndios, intempéries, etc.)

* Deve conter também a atribuição das responsabilidades das pessoas envolvidas, ficando claro os papéis de cada um na gestão e execução dos processos no que diz respeito a segurança;

* Não esquecer que toda documentação já existente sobre como realizar as tarefas deve ser analisada com relação aos princípios de segurança das informações, para aproveitar ao máximo as práticas atuais, avaliando e agregando segurança a essas tarefas.

Oficializar a política

A oficialização de uma política tem como base a sua aprovação por parte da administração da empresa.Deve ser publicada e comunicada de maneira adequada para todos os funcionários, parceiros, prestadores de serviços e clientes.

ETAPAS DE PRODUÇÃO DA POLÍTICA

O trabalho de produção se compõe de etapas distintas, entre outras:

* Objetivos e escopo

* Entrevista

* Investigação e análise de documentos

* Reunião de política

* Glossário da política

* Responsabilidades e penalidades

Objetivos e escopo

Neste ponto, deve-se elaborar a apresentação da política com relação a seus propósitos e conteúdos, buscando identificar resumidamente quais padrões a política tenta estabelecer, além da amplitude que terá em relação a ambientes, indivíduos, áreas e departamentos da empresa. Entrevista

As entrevistas tentam identificar junto aos usuários e administradores da empresa as preocupações que têm com os ativos, os processos de negócio, áreas ou tarefas que executam ou da qual participam. As entrevistas buscam identificar as necessidades de segurança existentes na empresa.

Investigação e análise de documentos

Nesta etapa, são identificados e analisados os documentos existentes da empresa e os que têm alguma relação com o processo de segurança no que se refere à redução de riscos, à diminuição de trabalho repetido e à falta de orientação. Entre a documentação existente, podemos considerar o seguinte: documentação de rotinas operacionais de sistemas, metodologias, políticas de qualidade entre outras.

Reunião de Política

Nas reuniões, realizadas com as equipes envolvidas na elaboração, os temas são levantados e discutidos. Além disso, são redigidos os parágrafos para a composição das normas com base no levantamento do objetivo e do escopo da política.

Glossário da Política

É importante esclarecer qualquer dúvida conceitual que possa surgir no momento da leitura da política. Portanto, recomenda-se que a política tenha um glossário específico no qual sejam especificados os termos e conceitos utilizados.

Responsabilidades e penalidades

É fundamental identificar os responsáveis pelo gerenciamento de segurança dos ativos com o objetivo de estabelecer as relações de responsabilidade para o cumprimento das tarefas, como as normas de aplicação de sanções resultantes de casos de inconformidade com a política elaborada. Dessa forma, busca-se o nível de consciência necessário dos envolvidos com relação às penalidades nos casos de infração da política de segurança.

DOCUMENTOS DA POLÍTICA DE SEGURANÇA

Ao iniciar o processo de elaboração de uma política de segurança, é necessário recompilar e revalidar certas informações com os usuários de ativos e realizar estudos nos documentos existentes. O objetivo dessa tarefa é definir que tipo de adaptação deve ser feita no modelo de padronização existente para atender às características da empresa. Se esses padrões já estiverem definidos, os documentos da política de segurança devem se adaptar a eles para garantir uma proximidade entre a prática de administração existente e a política sugerida. IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA

O sucesso da implantação de um sistema e uma política de segurança na empresa depende em grande parte do profundo conhecimento dos processos envolvidos nessa implantação. Uma vez recebida toda a informação necessária e depois de comunicar os resultados a todo o pessoal da empresa que o processo e a política de segurança possam ser implementados seguindo algum padrão de reconhecimento internacional.

Conceitos de Análise de Risco

Como o próprio nome indica, é realizada para identificar os riscos aos quais estão submetidos os ativos de uma organização, ou seja, para saber qual é a probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio.

ESCOPOS DA ANÁLISE DE RISCOS
*Escopo humano

*Escopo tecnológico
*Escopo dos processos
*Escopo físico

Humanos
A análise de riscos também se destina à compreensão da maneira como as pessoas se relacionam com os ativos. Assim, é possível detectar as vulnerabilidades provenientes de ações humanas, sendo igualmente possível fazer recomendações para aumentar a segurança no trabalho humano e garantir a continuidade dos negócios da organização. Essa análise pretende inicialmente identificar vulnerabilidades no usuário e organização.

Aspectos a analizar:

* As pessoas que fazem uso do Internet Banking

* Os técnicos que dão suporte aos usuários ou que administram os ativos da organização

* Os responsáveis pelo planejamento e coordenação do trabalho

Tecnológico

A análise de riscos realizada no ambiente tecnológico pretende alcançar o conhecimento das configurações e da disposição topológica dos ativos de tecnologia que compõem toda a infra-estrutura de suporte das informações para comunicação, processamento, tráfego e armazenamento.
Aspectos a analizar

* Os servidores de arquivos, nos quais se encontram as informações sobre o produto

* Um servidor de banco de dados que armazena as informações das contas dos clientes do Internet Banking

*Um roteador que permite a conectividade da empresa com a Internet
*Um servidor Web que permite que se façam consultas ao produto pela Internet (em suas plataformas respectivas: Windows®, Unix®, etc.)

Processual

A análise dos fluxos de informações da organização e a maneira como elas transitam de um lado para outro, como são administrados os recursos em relação à organização e à manutenção. Dessa forma, será possível identificar os links entre as atividades e os insumos necessários para sua realização com o objetivo de identificar as vulnerabilidades que podem afetar a confidencialidade, a disponibilidade e a integridade das informações e, conseqüentemente, do negócio da empresa. Aspectos a analizar:

*Identificar as pessoas envolvidas no fluxo de informações; é possível avaliar a necessidade real de acesso aos ativos que elas têm;

*Avaliar o impacto proveniente do uso indevido das informações por pessoas não-qualificadas.

Físico

A análise física de segurança busca identificar, na infraestrutura física do ambiente em que os ativos se encontram, vulnerabilidades que possam trazer algum prejuízo às informações e a todos os outros ativos. O enfoque principal desse escopo de análise são os ativos do tipo organização, pois são os que fornecem o suporte físico ao ambiente em que estão sendo manipuladas as informações.

Aspectos a analizar:

*Identificar possíveis falhas na localização física dos ativos tecnológicos;

*Avaliar o impacto de acessos indevidos às áreas nas quais se encontram os ativos tecnológicos;

*Avaliar o impacto dos desastres naturais na infra-estrutura tecnológica da empresa. A análise de riscos pode ser realizada de acordo com diferentes escopos. Em geral todos são considerados, já que a implentação da segurança pretende corrigir o ambiente em que se encontram as informações. Ou seja, envolve atividades relacionadas ao ciclo de vida da informação:

* Geração

* Tráfego

* Processamento

* Armazenamento

STRIDE

A identificação dos riscos de segurança deixa as idéias mais claras e ajuda a exibir os mais prováveis. A informação é reunida na forma de ameaças, vulnerabilidades, pontos fracos e medidas preventivas. O modelo STRIDE proporciona uma estrutura valiosa e fácil de lembrar para identificar as ameaças e os possíveis pontos fracos.STRIDE são as siglas em inglês dos diferentes tipos de ataques possíveis.

*Falsificar: Falsificar mensagens de correio eletrônicoReproduzir pacotes de autentucação

*Alterar: Reproduzir pacotes de autenticação Alterar dados durante a transmissãoTrocar dados em arquivos

*Repúdio: Eliminar um arquivo essencial e negar o atoAdquirir um produto e negar posteriormente que adquiriu o mesmo

*Divulgação da informação: Expor a informação em mensagens de errosExpor o código de sites da Web

*Negação de serviço: Inundar uma rede com pacotes de sincroniaInundar uma rede com pacotes ICMP falsos

*Elevação de privilégios: Explorar a saturação de um buffer para obter privilégios no sitemaObter privilégios de administrador de forma ilegítima
Na verdade, a análise de segurança é o reconhecimento de todo o ambiente em que se pretende implementar segurança para quesejam cumpridos os propósitos a seguir:Identificar as vulnerabilidades para que sejam corrigidas;

* Conhecer os elementos constituintes da infra-estrutura de comunicação, de processamento e de armazenamento da informação, afim de dimensionar onde serão feitas as análises e que elementos serão considerados;

* Conhecer o conteúdo da informação manipulada pelos ativos com base nos princípios de confidencialidade, integridade e disponibilidade;

* Dirigir ações para incrementar os fatores tecnológicos e humanos nas áreas críticas e desprotegidas;

* Permitir uma gestão periódica de segurança com o objetivo de identificar novas ameaças e vulnerabilidades, além da verificação da eficácia das recomendações fornecidas.

DEFINIÇÃO DA EQUIPE ENVOLVIDA E DAS ENTREVISTAS AOS USUÁRIOS

Um dos aspectos importantes para a realização da análise dos riscos é dimensionar de forma adequada o recurso humano necessário para a sua elaboração. Isso é importante dado o custo que representa para a empresa, mas é da escolha que fazemos desse recurso que vai depender o êxito da análise de riscos. A entrevista realizada com os usuários nos permite conhecer cada um dos processos da empresa através dos olhos dos participantes que levam tais processos a cabo. Além disso, eles têm a oportunidade de receber um feedback que nos permite conhecer com maior profundidade os possíveis riscos em suas atividades diárias. A entrevista com os usuários dos processos de negócio permite:

* Obter detalhes sobre a forma em que são gerenciados, implementados e utilizados;

* Fazer um mapeamento da importância desses processos diante das circunstâncias organizacionais em que você se encontra;

* Definir o nível de capacitação necessária da equipe envolvida;

* Conhecer de que forma ocorre o fluxo de informação dentro dos processo processos

ANÁLISE TÉCNICA DE SEGURANÇA

A análise técnica de segurança é uma das etapas mais importantes da análise de riscos. Através dela, são feitas coletas de informações sobre a forma em que os ativos:

* Foram configurados;

* Foram estruturados na rede de comunicação;

* A forma como são administrados por seus responsáveis.

A análise técnica constitui a forma em que se obtêm as informações específicas de gerenciamento geral dos ativos da empresa. Dessa maneira, é possível identificar, através de suas configurações, como são utilizados e manipulados, buscando-se encontrar vulnerabilidades de segurança. No processo de análise técnica da segurança, são considerados diversos tipos de ativos, de acordo com o escopo definido no início do projeto, com o propósito de monitorar as vulnerabilidades presentes através de erros de configuração ou desconhecimento das possibilidades de ataque. Dentre os ativos tecnológicos analisados, podemos listar os seguintes:

ESTAÇÕES DE TRABALHO:

Dependem da forma como estão configuradas para evitar que os usuários permitam a ocorrência das ameaças. Entre os exemplos de vulnerabilidades comuns desse tipo de ativos estão:

* ausência de protetor de telas bloqueado por senha, permitindo que as máquinas sejam utilizadas por pessoas não-autorizadas quando o seu usuário não estiver por perto;

* ausência de configurações de segurança permitindo a instalação ou execução de arquivos maliciosos;

* ausência de controles que impeçam a instalação de software pirata ou não homologado pela organização;

* periodicidade de atualização dos programas antivírus;

* presença ou ausência de documentos confidenciais;

* forma de utilização da estrutura de servidores de arquivos, que garantam de uma maneira mais eficiente o backup dos dados, ou seja, sua disponibilidade

SERVIDORES:

O enfoque principal deve ser nos arquivos de configuração e na definição de usuários que têm direitos de administração do ambiente, uma vez que são os privilégios de administração os que mais ameaçam os ambientes de tecnologia e também são os mais desejados pelos invasores.

EQUIPAMENTOS DE CONECTIVIDADE:

A análise de equipamentos de conectividade concentra-se na detecção de configurações que põem em risco as conexões realizadas pela rede de comunicação que suporta um processo de negócios. Deve-se identificar nessa análise a forma como esses ativos foram configurados:

* Dispositivos de roteamento;

* Modems;

* Switches;

* Firewalls;

* Concentradores de VPN.

BANCOS DE DADOS:

A forma como o banco de dados conversa com os demais aplicativos é um dos primeiros elementos que devem ser analisados. Também são avaliados os níveis de confidencialidade, integridade e disponibilidade das informações que estão lá,para que se possam identificar as necessidades de proteção e configuração de segurança e para que as informações disponíveis estejam de acordo com os princípios da segurança exigidos para as informações.

CONEXÕES:

As conexões de comunicação entre as redes devem estar seguras: fibra óptica, satélite, rádio, antenas, etc. Para isso, é importante realizar análise da forma com que as conexões estão configuradas e dispostas na representação topológica da rede. Isso garante que a comunicação seja realizada em um meio seguro, segregado, criptografada se for necessário, livre de possibilidades de rastreamento de pacotes ou mensagens, e também livre de desvio do tráfego para outros destinos indesejados.

APLICATIVOS:

Devem garantir que estejam configurados de acordo com os princípios de segurança necessários com relação à disponibilidade das informações, à forma como as lê, guarda etransmite. Também deve ser considerada a maneira como o aplicativo foi desenvolvido, como seu código-fonte é atualizado e armazenado etc.

ANÁLISE DE SEGURANÇA FÍSICA

A análise de segurança física se inicia com a visita técnica nos ambientes onde são realizadas as atividades relacionadas direta ou indiretamente com os processos de negócio que estão sendo analisados. Esses ambientes devem ser observados com relação a diversos aspectos:
* organização do espaço no sentido de como estão acomodados os móveis e os computadores;

* áreas de circulação de pessoas e lugares de trânsito intenso livres de ativos valiosos;

* que os ativos mais importantes estejam localizados em áreas de acesso controlado, isolado de pessoas que não estejam autorizadas a operá-los. Sistemas de combate a incêndio É considerada a disposição dos mecanismos de combate a incêndio, observando que estejam nos locais adequados:

* detectores de fumaça;

* sprinklers;

* extintores de incêndio portáteis.

Controle de acesso Trata da disposição de sistemas de detecção e autorização de acesso físico às pessoas. Para isso, utiliza:

* paredes, cercas, gaiolas e racks;

* câmeras de vídeo;

* seguranças;

* portas e catracas de acesso com autenticação.

Continuidade de operação Envolve a garantia de condições físicas e ambientais necessárias para operação dos ativos, tais como:

* proteção da rede elétrica (estabilizadores e no-breaks);

* suprimento ininterrupto de energia elétrica, se necessário;

* controle de temperatura e umidade no ambiente. Exposição ao clima e meio-ambiente Disposição de janelas e portas em áreas críticas:

* Preocupação quanto à sua localização próxima a ativos críticos;

* Se os ativos críticos recebem luz solar ou possibilidade de ameaças causadas por fenômenos da natureza, como granizo ou chuvas fortes

Introdução à Segurança da Informação

A Segurança da Informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas: impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem.
Os princípios básicos da segurança da informação é a Integridade, a Confidencialidade e a Disponibilidade da informação.
A Integridade permite garantir que a informação não tenha sido alterada de forma não autorizada e, portanto, é íntegra.
O receptor deverá ter a segurança de que a informação recebida, lida ou enviada é exatamente a mesma que foi colocada à sua disposição pelo emissor para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original.
Os princípios da Confidencialidade da informação tem como objetivo garantir q apenas a pessoal correta tenha acesso a informação.
Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não autorizadas.
Para que um informação possa ser utilizada, ela deve estar disponível. A Disponibilidade é o terceiro princípio básico de Segurança de Informação.
Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, o trânsito e o armazenamento.
Assim, o ambiente tecnológico e os suportes da informação deverão estar funcionando corretamente para que a informação armazenada neles e que por eles transita possa ser utilizada pelo usuário.
Toda e qualquer informação, que seja um elemento essencial para os negócios de uma organização deve ser preservada pelo período necessário, de acordo com sua importância. A informação é um bem como qualquer outro e por isso deve ser tratada como um Ativo.
Ativos são elementos que sustentam a operação do seu negócio e estes sempre trarão consigo Vulnerabilidade que, por sua vez, submetem os ativos a Ameaças.
Exemplos de Ativos: hardware, software, backup, humano.
As Ameaças as ameaças são causa de um incidente indesejado, que caso se concretize pode resultar em dano. Ameaças exploram as falhas de segurança, que denominamos pontos fracos.
As Vulnerabilidades são elementos que, ao serem explorados por ameaças, afetam a confidencialidade, a disponibilidade e a integridade das informações de um indivíduo ou empresa. Um dos primeiros passos para a implementação da segurança é rastrear e eliminar os pontos fracos de um ambiente de tecnologia da informação.
Risco é a probabilidade de que as ameaças explorem os pontos fracos, causando perdas ou danos aos ativos e impactos no negócio, ou seja, afetando : a confidencialidade, a integridade e a disponibilidade da informação.
As Medidas de Segurança são ações orientadas para a eliminação ou redução de vulnerabilidades, com o objetivo de evitar que uma ameaça se concretize. Essas medidas são o primeiro passo para o aumento da segurança da informação em um ambiente de tecnologia da informação e devem considerar a totalidade do processo.

Medidas globais de Segurança

Análise de Risco ------- Política de ------- Especificações de ------- Adminitração de
Segurança Segurança Segurança

Apartir desse conhecimento, tomam-se ou realizam-se ações de segurança que podem ser do tipo:

• 
  
  Preventivo: buscando evitar o surgimento de novos pontos fracos e ameaças


• 
  
  Perceptivo: orientado para a revelação de atos que possam pôr risco as informações.


• 
  
  Corretivo: orientado para a correção dos problemas de Segurança á medida que ocorrem.

Análise de Risco é uma medida que busca rastrear vulnerabilidades nos ativos que possam ser explorados por ameaças. A análise de riscos tem como resultado um grupo de recomendações para a correção dos ativos a fim de que possam ser protegidos.
Diretiva de Segurança é uma medida que busca estabelecer os padrões de segurança que devem ser seguidos por todos os envolvidos no uso e na manutenção de ativos. É uma forma de administrar um conjunto de normas para guiar as pessoas na realização de seu trabalho. É o primeiro passo para aumentar a consciência da segurança das pessoas, pois está orientada para a formação de hábitos, por meio de manuais de instrução e procedimentos opcionais.
Especificações de Segurança são medidas que objetivam instruir a correta implementação de um novo ambiente tecnológico através do detalhe de seus elementos constituintes e a forma como os mesmos devem estar dispostos para entender aos princípios da segurança da informação .
Administração da segurança são medidas integradas para produzir a gestão dos riscos de um ambiente. A administração da segurança envolve todas as medidas mencionadas anteriormente, a do tipo preventiva, perceptiva e corretiva.

Portanto Segurança é...
...uma atividade cujo o propósito é:

• 
  
  proteger os ativos contra acessos não-autorizados,


• 
  
  evita alterações indevidas que possam pôr em risco sua integridade


• 
  
  maximizar a disponibilidade da informação
  

E é instrumentada por meio de políticas e procedimentos de segurança que permitem: a identificação e o controle das ameaças e pontos fracos, levando em consideração a preservação da confidencialidade, integridade e disponibilidade das informações.