UNIVERSIDADE DE BRASÍLIA
INSTITUTO DE CIÊNCIAS EXATAS
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
CURSO DE ESPECIALIZAÇÃO EM GESTÃO DE SEGURANÇA DA
INFORMAÇÃO E COMUNICAÇÕES
INÁ LÚCIA CIPRIANO DE OLIVEIRA MONTEIRO
PROPOSTA DE UM GUIA PARA ELABORAÇÃO DE POLÍTICAS
DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES EM
ÓRGÃOS DA ADMINISTRAÇÃO PÚBLICA FEDERAL
PROF MSC. GILBERTO OLIVEIRA NETTO
Brasília, 23 de Junho de 2009.
Proposta de um Guia para Elaboração de Políticas de Segurança
da Informação e Comunicações em Órgãos da Administração
Pública Federal.
Iná Lúcia Cipriano de Oliveira Monteiro
Monografia de Especialização submetida e aprovada pela Universidade de Brasília como parte do requisito
parcial para obtenção do certificado de Especialista em Gestão de Segurança da Informação e Comunicações
Prof Gilberto Oliveira Netto, Msc. (Orientador).
Serviço Federal de Processamento de Dados
Prof Jorge Henrique Cabral Fernandes, Dr.
Universidade de Brasília
Prof Magda Fernanda Medeiros Fernandes, Dr.
Universidade de Brasília
Brasília, 23 de Junho de 2009
“Dedico este trabalho às minhas filhas
Natália e Deborah, as quais têm participação
fundamental em tudo que faço, mesmo estando
distantes de mim nesta trajetória”
AGRADECIMENTOS
Agradeço a Deus primeiramente, pela
saúde, sabedoria e discernimento e paz.
Agradeço ao Departamento de Segurança da
Informação
e
Comunicações
pela
oportunidade de realização deste curso.
Agradeço ao professor Jorge Fernandes pelo
estímulo constante que me passou durante o
curso e o conhecimento que me proporcionou
um desenvolvimento cultural maior nesta área.
Agradeço chefe da Coordenação Geral de
Gestão da Segurança da Informação e
Comunicações - Cel. Reinaldo Silva Simião que na sua serenidade e sapiência me orientou
nesta proposta de trabalho. Agradeço ao meu
orientador Gilberto Netto pela paciência e
colaboração na execução deste trabalho.
Agradeço a Leidiane, secretaria da UNB, que
muito me ajudou na parte administrativa
durante o curso. Finalmente a minha família
que
mesmo
crescimento.
distante
estimulou
o
meu
“O príncipio da sabedoria é a admissão da
própria ignorância...Todo o meu saber,
consiste em saber, que eu nada sei...”
Sócrates
RESUMO
A necessidade de segurança é um fator que vem transcendendo os limites de uma organização, pois pode ser aplicada a pessoas, processos, tecnologia e a própria informação.
Apesar de vários trabalhos relacionados ao tema Segurança da Informação, pouco enfoque tem sido dado à definição de um conjunto de diretrizes e procedimentos coerentes,
que auxiliem a elaboração de uma Política de Segurança da Informação e Comunicações.
Uma Política deve indicar como as coisas devem acontecer em uma organização no que
se refere à segurança da informação, ou seja, quais as regras, normas e procedimentos que
determinam qual deve ser o comportamento das pessoas que se relacionam com a organização.
Visando atender esta deficiência, este trabalho apresenta uma proposta de um
guia para auxiliar na elaboração de Políticas de Segurança da Informação e Comunicações em organizações da Administração Publica Federal, baseado em uma série de padrões, normas e bibliografias de referência, cuja contribuição é a de um controle essencial
em assuntos relacionados com segurança da informação.
Palavras-chave: Segurança da Informação, Política de Segurança da Informação,
Normas e Padrões de Segurança, e Guia de Política de Segurança da Informação e Comunicações.
ABSTRACT
The need for security is a factor that is transcending the boundaries of an organization, it can be applied to people, processes, technology and information itself. Although
several studies related to the subject of Information Security, little focus has been to define a
set of consistent guidelines and procedures that help the development of an Information Security Policy and Communications. A policy must specify how things should happen in an organization with regard to information security, ie, which rules, standards and procedures that
determine what should be the behavior of people who relate to the organization
Aiming to address this shortcoming, this paper presents a proposal for a guide
to assist in the development of the Information Security Policy and Communications in organizations of the federal public administration, based on a series of standards, rules and bibliographies of reference, whose contribution is to a control key on matters relating to information security.
Key-Words: Information Security, Information Security Policy, Standards and Security
Standards and Policy Guide for Information Security and Communications.
LISTA DE ABREVIATURAS E SIGLAS
APF - Administração Pública Federal
DSIC - Departamento de Segurança da Informação e Comunicações
GSIPR - Gabinete de Segurança Institucional da Presidência da República
IN - Instrução Normativa
PSI - Política de Segurança da Informação
PCSIC - Política de Segurança da Informação e Comunicações
PCN - Plano de Continuidade de Negócios
SI - Segurança da Informação
SIC - Segurança da Informação e Comunicações
TCU - Tribunal de Contas da União
TI - Tecnologia da Informação.
LISTA DE ILUSTRAÇÕES
Figura 1 - Atributos de Segurança da Informação................................................ 25
Figura 2 - Fatores de sucesso da política de segurança ..................................... 31
Figura 3 - Pirâmide da política de segurança da informação .............................. 34
Figura 4 - Proposta de Processo de Atualização da Política de Segurança da
Informação e Comunicações com base no ciclo PDCA....................................... 61
LISTA DE TABELAS
Tabela 1 - Levantamento do GSIPR/DSIC .............................................................. 18
SUMÁRIO
1 Introdução........................................................................................................... 13
1.1
Requisitos Pré-pesquisa................................................................................................16
1.2
Objetivos........................................................................................................................16
1.3
Justificativa ....................................................................................................................17
1.4
Metodologia ...................................................................................................................19
2 Revisão de Literatura e Fundamentos ............................................................. 21
2.1
Definindo uma Política de Segurança da Informação e Comunicações........................21
2.2
Definição de Segurança ................................................................................................23
2.3
Definição de Informação................................................................................................23
2.4
Definições de Segurança da Informação e Segurança da Informação e Comunicações23
2.5
Atributos de Segurança da Informação .........................................................................24
2.6
Norma e Padrões de Segurança ...................................................................................25
2.7
Definição de Politicas ....................................................................................................27
2.8
Tipos de Politicas...........................................................................................................28
2.9
Aspectos que Contemplam uma Política de Segurança da Informação .......................29
2.10
Pontos Críticos para o Sucesso de uma PSI...............................................................30
3 Processos e Roteiros para Elaboração de uma PSI ....................................... 32
3.1
Processos para Elaboração de uma PSI.......................................................................32
3.2
Roteiros para Elaboração de uma PSI ..........................................................................35
4 Guia para Elaboração PCSIC ............................................................................ 40
4.1
Finalidade ou Objetivo da PCSIC ..................................................................................41
4.2
Âmbito da Politica ..........................................................................................................42
4.3
Atribuições ou Responsabilidades.................................................................................42
4.4
Referências....................................................................................................................45
4.5
Conceitos e Terminologia ..............................................................................................46
4.6
Processo Disciplinar de PCSIC .....................................................................................48
4.7
Processo de Atualização de PCSIC ..............................................................................49
4.8
Processo de Aprovação da PCSIC................................................................................49
4.9
Processo de Divulgação da PCSIC ...............................................................................49
4.10
A Vigência da PCSIC ...................................................................................................50
5 Proposta de Diretrizes Gerais de SI ................................................................. 51
5.1
Classificação das Informações ......................................................................................51
5.2
Política de Controles de Acesso ....................................................................................53
5.3
Procedimentos para as Estações de Trabalho ..............................................................54
5.4
Procedimentos para Desenvolvimento e Manutenção dos Sistemas............................54
5.5
Procedimentos sobre Tratamento de Incidentes de Segurança....................................54
5.6
Procedimento sobre Continuidade do Negócio .............................................................55
5.7
Procedimentos sobre gerenciamento dos Riscos .........................................................56
5.8
Procedimentos para Acesso a Internet..........................................................................56
5.9
Procedimentos para o Uso do Correio Eletrônico .........................................................57
5.10
Procedimentos no Acesso de Prestadores de Serviço................................................57
6 Proposta de um Ciclo de Atualização para a PCSIC....................................... 58
6.1
Planejamento.................................................................................................................58
6.2
Implementação ..............................................................................................................59
6.3
Verificação .....................................................................................................................60
6.4
Aperfeiçoamento............................................................................................................60
7 Conclusão ........................................................................................................... 62
Referências bibliográficas ...................................................................................... 65
13
1
INTRODUÇÃO
No mundo contemporâneo e globalizado, onde as informações atravessam fronteiras com
velocidade espantosa, a proteção do conhecimento e da informação é de vital importância para a sobrevivência das organizações. Consciente da importância das informações processadas
nos órgãos e entidades da Administração Pública Federal, o Presidente da República editou o
Decreto nº. 3.505, de 13 de junho de 2000, por meio do qual foi instituída a Política Nacional
de Segurança das Informações e que deveria ser implementada pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
Com esse ato normativo, o governo brasileiro mostrou seu interesse e a necessidade de
proteção para assuntos que mereçam tratamento especial, adotando medidas para prevenir e
tratar vulnerabilidades, ameaças e riscos. A administração pública, em todos os seus níveis e
órgãos, processa informações consideradas “sensíveis”, que requerem a proteção contra os
riscos a que está exposta, para garantir a confidencialidade, integridade, disponibilidade e a
autenticidade da mesma. Assim, o estabelecimento de uma Política de Segurança da Informação organizacional, implementada e formalmente divulgada a todos os servidores, terceiros,
fornecedores ou qualquer indivíduo que possui acesso a um tipo de informação como também, ter o apoio o comprometimento da alta direção, são os primeiros e principais passos de
estratégia de segurança das organizações, pois é por meio dela que a estratégia é montada e
passada para todas as áreas envolvidas nas diversas esferas.
No levantamento de auditoria textual do Tribunal de Contas da União (TCU) (TC008.380/2007-1), realizado nos órgãos e entidades da Administração Pública Federal, foi declarado que 64% dos órgãos/entidades pesquisados, não possuem uma Política de Segurança
da Informação (PSI) formalmente definida. Conforme declarado neste documento do TCU, a
14
ausência da Política de Segurança da Informação é um indício preocupante já que esse documento de diretrizes é um dos primeiros passos na construção de uma gestão da segurança da
informação, presumi-se que essa gestão é inexistente ou incipiente nas organizações da Administração Pública Federal que não a possuem.
Mediante este levantamento supõe-se que a dificuldade dos órgãos em elaborar uma PSI
pode decorrer por falta de pessoal capacitado, falta de recursos, falta de apoio da direção da
organização, não possuir uma área específica de segurança da informação ou mesmo a falta de
um guia prático que possa orientar no processo de elaboração.
E neste sentido o governo, por meio de ações, vem conduzindo esforços para que a implementação da Segurança da Informação e Comunicações seja feita nos órgão da Administração Pública Federal (APF) de modo a atender suas necessidades de forma compatível com
as boas práticas mundiais, tais como, NBR ISO/IEC 27002:2005 - Técnicas de segurança Código de prática para gestão da segurança da informação, no Decreto nº. 3505 de 2000, que
Institui a Política de segurança da Informação nos Órgãos da Administração Pública Federal e
na Instrução Normativa nº. 0001 de 2008 do Gabinete de Segurança da Institucional da Presidência da República (GSI/PR).
Assim, ações de Segurança da Informação e Comunicações são abordadas não só no uso
da tecnologia da informação, mas também, envolvendo as pessoas, os processos, as questões
institucionais e legais.
Um fato marcante foi que em 13 de junho de 2008, o Ministro Chefe do Gabinete de Segurança Institucional de Presidência da República, na condição de Secretário-Executivo do
Conselho de Defesa Nacional estabelece a Instrução Normativa (IN) do Gabinete de Segurança Institucional (GSI)l nº. 01 de 13 de junho de 2008, a qual resolve aprovar orientações para
Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelos
órgãos e entidades da Administração Pública Federal, direta e indireta.
Portanto este trabalho vem com uma proposta de definir um guia prático para auxiliar na
composição de uma Política de Segurança da Informação e Comunicações (PCSIC). Este guia
irá apresentar um conjunto de procedimentos que possam descreve um modelo de orientação
que servirá como um recurso para a implementação de ações e diretrizes para uma PCSIC,
fazendo com que os órgãos da APF atendam ao estabelecido na INSTRUÇÃO NORMATIVA
GSI Nº. 01, DE 13 DE JUNHO DE 2008 e que possam determinar qual deve ser o comporta-
15
mento das pessoas que se relacionam com a organização no que se refere a segurança da informação.
16
1.1
Requisitos Pré-pesquisa
1.2
Objetivos
1.2.1.1 Objetivo Geral
O objetivo geral deste trabalho de monografia e preencher a lacuna no que tange a elaboração de Políticas de Segurança da Informação e Comunicações para a APF com a proposta
de um guia preliminar para elaboração de Políticas de Segurança da Informação e Comunicações.
1.2.1.2 Objetivos Específicos
São objetivos específicos deste trabalho:
Propor uma estrutura do documento de uma PCSIC;
Analisar modelos de elaboração de políticas existentes na literatura;
Apresentação de itens que devem constar em uma Política de Segurança da Informação e Comunicações (PCSIC); e;
Exemplos para cada tópico da política, ou seja, do que deve conter em cada item do
guia da PCSIC.
Em complementação, serão propostos mais 02(dois) itens como objetivos específicos:
1) Proposta de um direcionamento para ações de segurança da informação e comunicações, enunciando procedimentos considerados mínimos para conter em uma PCSIC; e;
2) Proposta de um ciclo de atualização para a PCSIC.
17
1.3
Justificativa
A informação é a base para o conhecimento, é um elemento essencial para a geração do
conhecimento. Portanto para a organização sua importância representa um valor, um bem, um
ativo, e deve ser protegido e preservado.
Partindo da importância da informação, é necessário estabelecer uma relação entre a Segurança da Informação (SI) e sua relevância para a organização. Segundo Sêmola (2003), a
Segurança da informação é usada para referenciar uma área do conhecimento dedicada à proteção de informação contra acessos não autorizados, altercações indevidas ou sua indisponibilidade.
Sendo assim, o desenvolvimento de uma Política Segurança da Informação e Comunicações em uma organização é uma importante ferramenta para combater ameaças à informação.
Esta idéia já está bem amadurecida e é constatado por pesquisas nacionais de que as organizações e empresas precisam de suas políticas, relatando os aspectos humanos, culturais e tecnológicos de uma organização/empresa e levando m consideração os processos e a missão como
também, a legislação organizacional.
Este trabalho irá adotar o termo Política de Segurança da Informação e Comunicações
(PCSIC) conforme recomendado na IN nº. 01 do GSI, cuja definição é a de um documento
aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo
suficientes à implementação da Segurança da Informação e Comunicações (SIC). Sendo assim, uma PCSIC tem a complexidade de não só proteger os ativos informacionais como também de ser considerada como a prática de gestão de riscos de incidentes que impliquem no
comprometimento da Disponibilidade, Integridade, Confidencialidade e Autenticidade que se
dá no acrônimo DICA.
Muitas vezes, os responsáveis nas organizações por elaborar política de segurança da informação, se baseiam na norma ISO/IEC 27002:2005, que é o mais completo padrão para o
gerenciamento da segurança da informação e fornece orientações para a formulação de PSI. O
processo de elaboração de uma PSI é uma tarefa que requer um comprometimento de vários
setores para a sua eficácia. Uma PSI deve indicar como as coisas devem acontecer na organização no que se refere à segurança
18
Políticas de Segurança da Informação devem ser vistas, como um ponto de forte importância e impacto. Não se deve encarar uma PSI como mais um modismo passageiro que freqüentemente aparece em todas as áreas de atividades. (Caruso, Steffen, 1991).
Portanto, se o relatório do TCU relata que as organizações não possuem Política de Segurança da Informação, e esta serve de base para decisões da alta direção em assuntos relacionados com segurança da informação, seria benéfico se ter um guia de auxiliasse na elaboração
de Políticas de Segurança da Informação, já que esta é um documento que deve estabelecer
princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais e, conseqüentemente, as informações por eles manipuladas. Este guia prático deverá ser definido para propor procedimentos que sejam claros, factíveis e aplicáveis e
com o perfil da organização e da missão que ela almeja.
Outro ponto de impacto foi levantamento efetuado pelo GSIPR/DSIC, junto aos Ministros, Secretários-Executivos, Chefes de Gabinete, Secretários de Planejamento Orçamento e
Administração, e Coordenadores Gerais de Modernização em Informática em trinta e sete Órgãos da APF a respeito da Instrução Normativa nº. 01/2008/GSIPR/DSIC (Departamento de
Segurança da Informação e Comunicações), que relata em seu texto a necessidade de orientar
a condução de políticas de segurança da informação e comunicações já existentes ou a serem
implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta,
foi demonstrado que:
Perguntas
% de SIM
A instituição possui algum tipo de política de SIC?
72%
A Política de SIC foi amplamente divulgada no âmbito interno da instituição?
30%
Existe estrutura de SIC na instituição?
50%
Existe previsão orçamentária para investimento em SIC na instituição?
38%
A Instrução Normativa do GSI Nº. 1, de 13 de junho de 2008, apresenta orientações claras e objetivas sobre 86%
gestão de SIC na instituição?
Tabela 1 - Levantamento do GSIPR/DSIC
Fonte: Tabela retirada da palestra proferida no V Simpósio de Tecnologia da Informação da
Marinha do Brasil. GSIPR/DSIC, 2008.
Confrontando o relatório do TCU com este levantamento do GSIPR, fica claro que os órgão da APF estão em desalinho com as Normas, Auditorias e Boas práticas atuais, pois quando se pergunta sobre qualquer política , os mesmo relatam obter, ou seja, política de se-
19
nhas,política de acesso a rede, dentre outras porém, o TCU relata, através do Relatório de Auditoria, que alguns órgãos não possuem política de segurança da informação.
Por conta de possíveis dificuldades em elaborar uma PCSIC ou até mesmo um desentendimento do que é Política de Segurança da Informação e Comunicações e vendo que os órgãos estão se empenhando em planejar e estabelecer ações para atingir o que determina a Instrução Normativa (como é visto percentual do quadro acima de 86%), a elaboração de um
guia, que mostre os passos considerados importantes de constarem no documento da política,
poderá colaborar com os órgãos da APF na tarefa de composição de Políticas de Segurança da
Informação e Comunicações, haja vista a sua necessidade nos órgãos para disciplinar a Gestão
de SIC na APF.
1.4
Metodologia
A pesquisa tem uma proposta que a caracteriza como uma Pesquisa Documental. Ela pro-
põe ser um instrumento para mostrar de forma clara, sugestionável, flexível, abrangente, e
com simplicidade, os caminhos para se preparar um Guia para Elaboração de Política de Segurança da Informação e Comunicações (PCSIC) com uma descrição de técnicas e métodos a
serem utilizados na criação desta. Para isto será realizada uma pesquisa bibliográfica de gestão de segurança da informação, política de segurança da informação, boas práticas em segurança da informação, norma de segurança da informação, metodologia e implantação de política de segurança da informação. A partir desta pesquisa serão selecionados os procedimentos
considerados mais pertinentes para elaboração de um guia e até mesmo mesclando processos,
procedimentos e técnicas para uma possível ajuda organizacional na elaboração de sua política de segurança da informação e comunicações. Será proposto um ou mais procedimento para
cada tópico do guia aventado.
Com base nos itens definidos na norma NBR ISO/IEC 27002:2005 - Técnicas de segurança – Código de prática para gestão da segurança da informação, no Decreto nº. 3505 de
2000, que Institui a Política de segurança da Informação nos Órgãos da Administração Pública Federal e na IN nº. 0001 de 2008 do GSI que disciplina a gestão de segurança da informação e comunicações na administração pública federal, direta e indireta, e dá outras providências, será elaborado um guia com os procedimentos concisos, com controles considerados -
20
neste trabalho - como necessários e relevantes, ações de como as atividades possam ser feitas
e o estabelecimento de critérios e métodos para elaboração da PCSIC.
21
2
2.1
REVISÃO DE LITERATURA E FUNDAMENTOS
Definindo uma Política de Segurança da Informação e Comu-
nicações
A definição de uma PCSIC deve ser estruturada a partir do entendimento da missão da
organização e atendendo aos requisitos legais e regulamentares. Para que uma PCSIC seja eficiente, deve garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações e descrever claramente o comprometimento da alta direção. É recomendado para a
sua elaboração, ter profissionais de diversos departamentos ou setores da organização, formando um Comitê de Segurança da Informação e Comunicações com conhecimento em segurança da informação com a finalidade de compor o documento da política.
Segundo Beal (2005) a política estabelece as linhas-mestras a serem seguidas na implementação da segurança da informação, formalizando todos os aspectos relevantes para a proteção, o controle e o monitoramento de seus ativos de informação.
As intenções e atitudes da organização deverão estar definidas na política de segurança da
informação e comunicações. A PCSIC tem que refletir a preocupação da alta direção com a
proteção da informação e assim, o seu comprometimento é demonstrado.
Para Campos (2007), a política pode ser um documento único com todas as diretrizes,
normas e procedimentos, portanto, as diretrizes, as normas e procedimentos devem existir de
forma documentada, com um controle de versão e revisão para garantir a pertinência e a relevância desses documentos. É importante destacar que na política, procedimentos são desdobramentos das normas que, por sua vez, são desdobramento das diretrizes. Se há relação desses três elementos na política, então esta é considerada alinhada.
22
Portanto a PCSIC deverá ser um documento simples e de fácil entendimento, pois será lida por todos na organização.
Para Ferreira (2006), as políticas, normas e procedimentos de segurança da informação
devem ser:
Simples;
Compreensível, ou seja, escrita de maneira clara e objetiva;
Homologada e assinada pela Alta Administração;
Estruturada, estabelecendo padrões;
Alinhada com a estratégia da missão da organização;
Orientada aos riscos, ou seja, direcionar para os riscos da organização;
Flexível, ou seja, moldáveis aos novos requerimentos de tecnologia;
Protetora dos ativos de informação, priorizando os de maior valor e de maior
importância;
Positiva e não apenas concentradas em ações proibitivas ou punitivas;
Deve conter atribuições de regras e responsabilidades;
Deve conter a forma de educar os usuários;
Deve ser dinâmica, ser atualizada sempre que necessário;
Deve ser acessível a todos; e
Deve ser exeqüível, ou seja, descreva regras de comportamentos que possam
ser cumpridas, fáceis de executar, sejam na área tecnológica ou humana.
23
2.2
Definição de Segurança
No dicionário eletrônico “Houaiss” segurança consiste na ação ou efeito de assegurar e
garantir alguma coisa, estado, qualidade ou condição de uma pessoa ou coisa que está livre de
perigos, de incertezas, assegurada de danos e riscos eventuais.
Portanto, segurança é o estado ou condição que se estabelece num determinado ambiente,
através da utilização de medidas adequadas para que se possa assegurar a boa conduta das atividades em um determinado local.
2.3
Definição de Informação
Segundo Campos (2007) a definição de informação é ambígua e incerta, variando entre as
diversas áreas de trabalho, cultura e ciências. Porém, há um consenso de que a informação é
ao mesmo tempo composta de dados e componentes do conhecimento, ou seja, dados que gera uma informação que constitui o conhecimento.
Entende-se também por informação todo o dado ou conteúdo que tenha valor para a organização ou pessoa, sendo assim ela é um bem e deve ser protegida de forma adequada e
compatível com o tipo missão da organização, portanto, subentende-se que é o principal patrimônio sendo ponto crucial para sobrevivência das instituições.
2.4
Definições de Segurança da Informação e Segurança da In-
formação e Comunicações
Segurança da informação conforme definido pela ISO/IEC 27002:2008, é a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do
negócio, minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades.
24
Para Beal (2005), segurança da informação pode ser entendida como o processo de proteger informações das ameaças para garantir a sua integridade, disponibilidade e confidencialidade. Porém, segurança da informação não pode ser encarada como “guardar em um cofre
todas as informações disponíveis”, mas sim elaborar uma boa política de proteção evitando
riscos e vulnerabilidade.
Entretanto, O DSIC/GSIPR, órgão responsável pela aprovação das orientações para Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, define segurança da informação e comunicações como ações que objetivam viabilizar e assegurar a disponibilidade,
a integridade, a confidencialidade e a autenticidade das informações.
Portanto, observa-se então que SI ou SIC é essencial para o planejamento estratégico da
organização, pois objetiva ações em prol da segurança institucional.
2.5
Atributos de Segurança da Informação
No caso da Segurança da Informação, os atributos de segurança relevantes aos ativos
de informação são basicamente três. Eles formam a chamada pirâmide ou tríade da SI, são
consideradas propriedades fundamentais para segurança da informação.
Mas, a autenticidade também é considerada como mais um atributo ou qualidade para
a segurança da informação, desenvolvendo assim com o acrônimo DICA, de acordo com a IN
nº. 01 do GSI a qual foram considerados esses conceitos:
Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade.
Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental.
Confidencialidade: propriedade de que a informação não esteja disponível ou revelada
a pessoa física, sistema, órgão ou entidade não autorizado e credenciado.
25
Autenticidade: propriedade de que a informação foi produzida, expedida, modificada
ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou
entidade.
A figura a seguir demonstra os atributos, propriedade ou qualidade de segurança da informação:
AUTENTICIDADE
CONFIDENCIALIDADE
INTEGRIDADE
DISPONIBILIDADE
INFORMAÇÃO
Figura 1 - Atributos de Segurança da Informação
Fonte: Quadro constituído com base no livro “Sistema de Segurança da Informação”
Campos, 2007, p.17.
2.6
Norma e Padrões de Segurança
A partir de 2007, a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de
numeração como ISO/IEC 27002 que é um código de práticas para a gestão segurança da informação. Esta norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes e princípios gerais sobre metas geralmente aceitas para a gestão da segurança
da informação.
Na norma ISO/IEC 27002 a definição de controle compreende a forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que
podem ser de natureza administrativa, técnica, de gestão ou legal.
26
Segundo Campos (2007), um controle é todo e qualquer mecanismo utilizado para diminuir a fraqueza ou a vulnerabilidade de um ativo, seja esse ativo uma tecnologia, uma pessoa,
em processo ou um ambiente.
De acordo com a norma ISO/IEC 27002:20008, existem 11(onze) seções de controle de
segurança da informação, os quais são dispostos abaixo com seus respectivos objetivos:
Política de segurança da informação: Dispor uma orientação e apoio da direção para a segurança da informação. A política deve ter uma abrangência ampla, publicada e comunicada a todos os servidores e partes externas. A política
deve ser analisada criticamente em intervalos planejados ou quando necessário.
Organização da segurança da informação: Gerenciar a segurança da informação dentro da organização. Estabelecimento de uma estrutura de gestão para planejar e controlar a implementação da segurança da informação na organização.
Gestão de ativos: Alcançar e manter a proteção adequada dos ativos da organização. Orientação sobre realização de inventário dos ativos informacionais,
recomendações de classificação da informação considerada crítica rotulandoa.
Segurança em recursos humanos: Garantir a segurança da informação em
três momentos diferentes da “vida” profissional do servidor na organização,
que é antes da contratação, durante a contratação e no encerramento ou mudança de contratação.
Segurança física e do ambiente: Prevenir o acesso físico não autorizado, danos e interferência com as instalações e informações da organização.
Gerenciamento das operações e comunicações: Garantir a operação segura e
correta dos recursos de processamento da informação. Diretrizes para a proteção de dados a informações durante o processo de comunicação.
Controle de acesso: Controlar o acesso à informação e assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação.
27
Aquisição, desenvolvimento e manutenção de sistemas de informação: Garantir que segurança é parte integrante de sistemas de informação. Diretrizes
para o uso de controles de segurança em todas as etapas do ciclo de vida dos
sistemas.
Gestão de incidentes de segurança da informação: Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo
hábil. Abrange controles que cuidam da organização caso ela sofra um incidente de segurança que está previsto ou não.
Gestão de continuidade de negocio: Recomendação para que a organização se
prepare para neutralizar as interrupções às atividades organizacionais e proteja
os processos críticos na ocorrência de uma falha ou desastre significativo.
Conformidade: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Busca verificar a conformidade legal e técnica da organização e de evidencias das auditorias feitas para garantia destas conformidades.
Embora o conteúdo da política de segurança possa variar de acordo com o tipo da instituição, o seu tamanho, área de atuação, cultura organizacional, missão, estágio de maturidade,
grau de informatização, ativos informacionais críticos, entre outros aspectos, ela deverá abranger, sempre que cabível, os controles relacionados acima.
A relação entre os controles de segurança da informação e o guia proposto é o estabelecimento de mecanismos que possam garantir a diminuição das vulnerabilidades dos ativos
informacionais da organização.
2.7
Definição de Politicas
Conforme Ferreira (2003) política é o texto de alto nível de documentação, que dá di-
recionamento geral e significado aos objetivos da administração.
28
2.7.1
Definição de Política de Segurança da Informação e Comunicações
O DSIC/GSIPR adota o termo Política de Segurança da Informação e Comunicações
(PCSIC), ele inclui as comunicações para defender que a PSI é mais do que somente tecnologia, ou seja, abrange pessoas, o meio no qual trafegam as informações, os recursos tecnológicos, a infra-estrutura da segurança da informação, dentre outros.
Sua definição é a de que é o documento aprovado pela autoridade responsável pelo órgão
ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer
diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações.
2.8
Tipos de Politicas
A definição de tipos de políticas de segurança está de acordo com Ferreira (2003). O que
é relatado é uma definição concisa para ressaltar os tipos de políticas que poderão ser adotadas na APF, ou mesmo mesclá-los.
2.8.1
Política do Tipo Regulatória
O formato e o conteúdo de uma política regulatória são definidos como se fosse uma série
de especificações legais. Ela descreve com riquezas detalhes do que deve ser feito quem deve
fazer e fornecer algum tipo de parecer, relatando porque tal ação é importante.
Portanto, políticas regulatória são implementadas devido às necessidades legais que são
impostas à organização.
2.8.2
Política do Tipo Consultiva
Uma política consultiva sugere quais ações ou métodos devem ser utilizados para a realização de uma determinada tarefa ou atividade. A característica desta política é prover aos usuários conhecimentos básicos das atividades cotidiana da organização.
29
2.8.3
Política do Tipo Informativa
Uma política informativa possui caráter apenas informativo. Nenhuma ação é desejada e
não existem riscos, caso não seja cumprida. Este tipo de política não é tão rigorosa quanto à
regulatória ou consultiva.
2.9
Aspectos que Contemplam uma Política de Segurança da In-
formação
De acordo com Ferreira (2003), em seu livro Segurança da Informação, os aspectos que
contemplam uma Política de Segurança são:
- Especificação da política
A política deve ser breve, utilizar palavras simples e formalizar o que é esperado dos
servidores da organização. Deve fornecer informações suficientes para saber se os procedimentos descritos na política são aplicáveis para eles ou não. Deve descrever sua finalidade
específica, ou seja, se é orientada a pessoa, departamentos e/ou equipamentos.
- Declaração da Alta administração
Uma declaração do comprometimento da direção, apoiando as metas e princípios da
segurança da informação. Esta formalização demonstra aos servidores que a alta autoridade
mostra seu comprometimento para que a política de segurança da informação seja adequadamente cumprida.
- Autores/patrocinadores da política
Os nomes dos profissionais ou equipes, que desenvolveram a política devem estar especificados no documento.
- Fazer referência a outras políticas, regulamentos ou regimentos.
Em organizações é comum que as políticas de segurança em vigor façam referência a
outros regulamentos internos já existentes.
- Procedimentos para requisição de exceção à política
30
É importante preparar e divulgar a política, mas também é essencial ter um processo
para requisição de exceção a ela.
- Procedimentos para mudanças da política
Algumas organizações não atualizam suas políticas, sendo assim, é necessário ter um
procedimento para atualização dela. Há situações que podem requerer somente revisões técnicas, mas outras necessitarão de justificativas detalhadas para solicitar mudanças nas políticas.
- Punições para àqueles que violarem a política
A alta administração deve demonstrar que poderão ocorrer punições rígidas aos servidores da organização caso haja um desrespeito ou violarem as políticas internas.
- Data de publicação, validade e revisão da política.
A política e seus documentos complementares devem possuir assinatura do principal
executivo, data da última atualização e do início de sua vigência.
2.10 Pontos Críticos para o Sucesso de uma PSI
De acordo com Emílio Nakamura (2007), quatro fatores críticos são considerados importantes para um bom resultado da Política de Segurança:
a) Vigilância: significa que todos os membros da organização devem entender a importância da segurança para a mesma, fazendo com que atuem como guardiões para monitorarem os sistemas e a rede;
b) Atitude: significa a postura e a conduta quanto à segurança. Sem atitude necessária,
a segurança proposta não terá nenhum valor, para isso, é essencial que os funcionários da organização tenham compreensão e cumplicidade quando à Política definida;
c) Estratégia: diz respeito a ser criativo quanto às definições da política e do plano de
defesa contra intrusões;
31
d) Tecnologia: a solução tecnológica deve ser adaptativa e flexível, a fim de suprir as
necessidades estratégicas da organização.
Atitude
Vigilância
Política de Segurança de Sucesso
Estratégia
Figura 2 - Fatores de sucesso da política de segurança
Fonte: Nakamura, 2007, p.193.
Tecnologia
32
3
PROCESSOS E ROTEIROS PARA ELABORAÇÃO DE
UMA PSI
3.1
Processos para Elaboração de uma PSI
A política, preferencialmente, deve ser criada antes da ocorrência de problemas com a se-
gurança, ou depois, para evitar que problemas ocorram novamente. O processo de elaboração
de uma política de segurança deve ter a definição do seu escopo, ou seja, a amplitude que terá
em relação a ambientes, indivíduos, áreas e departamentos da organização. É importante ter
uma comissão composta por servidores de outros setores da organização. Estas pessoas trazem consigo os requisitos de segurança dos locais em que elas trabalham. Fazer o levantamento de informações, tais como organograma completo da organização, cultura organizacional, missão ou negócio da organização, ativos que devem ser cobertos pela política, vulnerabilidades e ameaças que devem ser prevenidas e avaliação das medidas e controles a serem implantados. Isto será o planejamento estratégico.
É necessário definir uma cadeia de responsabilidades e papéis dentre os funcionários e diretores da organização, para, em seguida, apresentar proposta de confecção da política ressaltando os resultados da análise de ameaças e vulnerabilidades feitas, de modo que os responsáveis possam avaliar a viabilidade da implementação dentro da empresa, além de averiguar a
conformidade da política com as lei e regulamentações estabelecidas na organização.
Segundo André Campos (2007), o objetivo da política é estabelecer um padrão de comportamento que seja conhecido por todos na organização.
33
É possível ter uma política de segurança da informação como um documento único com
todas as diretrizes, normas e procedimentos ou como um documento com as diretrizes e diversos outros com as normas e os procedimentos individuais.
O fato é que diretrizes têm papel estratégico, precisam expressar a importância que a organização dá para a informação, além de comunicar aos servidores seus valores e seu comprometimento em incrementar a segurança à sua cultura organizacional.
As normas têm caráter tático, detalham situações, ambientes, processos específicos e fornecem orientação para o uso adequado das informações. Critérios como criação e manutenção
de senhas, descartes de informação em mídia magnética, desenvolvimento e manutenção de
sistemas, uso da internet, acesso remoto, uso de notebook, e classificação da informação são
exemplos de normas de uma política de segurança da informação.
Os procedimentos deverão estar presentes na política de segurança da informação em
maior quantidade por seu perfil operacional, onde é necessário descrever cada ação e atividade associada a cada situação distinta de uso das informações.
Uma visão conceitual da política de segurança da informação está demonstrada na ilustração 3:
34
Estratégicos
Diretrizes
Normas
Tático
Humanos
Ativos
Tecnológicos
Ativos
Físicos
Ativos
Organização
Cultura da
Operacional
Negócio/Missão
Natureza do
Procedimentos
Figura 3 - Pirâmide da política de segurança da informação
Fonte: Ferreira, Araújo, 2006, p.60.
3.1.1
Análise e Avaliação de Risco
Risco é tudo que pode afetar os negócios da organização e impedir o alcance de seus objetivos. A análise de risco possibilita identificar o grau de proteção que os ativos de informação de cada processo da organização precisam, para assim, pode proporcionar a proteção adequada.
As organizações utilizam a análise risco para determinar o nível de risco e ameaças associadas com seus sistemas informatizados. Uma vez compreendidos os riscos que envolvem os
ativos informacionais, é possível decidir o que fazer em relação a esses riscos identificados:
Eliminá-los, Minimizá-los, Compartilhá-los ou Assumi-los.
35
3.2
Roteiros para Elaboração de uma PSI
Neste item, são relacionados roteiros de três autores para a elaboração de Política de Se-
gurança da Informação. Esses roteiros são evidenciados por apresentarem informações em um
formato prático, estruturado e de fácil entendimento.
3.2.1
Política de Segurança da Informação segundo Ferreira Araújo - Primei-
ro Roteiro
Segundo Ferreira e Araújo (2006), o desenvolvimento das políticas, normas e procedimentos de segurança da informação é dividido em quatro fases.
Na primeira fase faz-se o levantamento de informações tais como: Obtenção dos padrões,
normas e procedimentos de segurança, entendimento das necessidades e uso dos recursos da
tecnologia da informação e obter informações sobre os ambientes de negócio. Nesses ambientes são processados os negócios, as tendências de mercado e o reconhecimento das áreas de
risco. É necessário que obtenha informações sobre o ambiente tecnológico que são os Workflow entre ambientes, redes de aplicações e Plataformas computacionais.
Na segunda fase há o desenvolvimento do Conteúdo das Políticas e Normas de Segurança. Neste é realizado o gerenciamento e definição da Política de Segurança Informação, seu
objetivo, os fatores críticos de sucesso, o gerenciamento da versão e manutenção da política e
a referência para outras políticas, padrões e procedimentos.
Nesta fase há também o levantamento das atribuições e responsabilidades com a criação
de um comitê de segurança da informação, definição de regras e responsabilidades, quem é o
proprietário das informações, qual será a área de Segurança da Informação, quem são os usuários das informações, os recursos humanos utilizados e será realizado um processo de auditoria interna. È realizado nesta fase critérios para classificação das informações, onde se verifica
os níveis de classificação, de reclassificação de armazenamento e descartes das informações.
Por último, são feitos os procedimentos de segurança de informações, tais como: notificação e gerenciamento de incidentes de segurança da informação, processo disciplinar, aquisição e uso de hardware e software, proteção contra software malicioso, segurança e tratamento de mídias, uso de Internet, uso de correio eletrônico, utilização dos recursos de TI, gerenciamento e controle da rede, uso de controles de criptografia e gerenciamento de chaves, inven-
36
tário dos ativos de informação, controle de acesso físico às áreas sensíveis, segurança física e
a supervisão de visitantes e prestadores de serviços.
Na terceira fase há a elaboração dos procedimentos de segurança da informação através
de pesquisa sobre as melhores práticas em segurança da informação utilizadas no mercado,
desenvolvimento de procedimentos e padrões para discussão com Alta Administração, de acordo com as melhores práticas de mercado e com as necessidades e metas da organização e
formalização dos procedimentos para integrá-los às políticas corporativas.
Finalmente, na quarta fase há a revisão, aprovação e implantação das políticas, normas e
procedimentos de segurança da informação. Há a efetiva implantação das políticas, normas e
procedimentos de segurança da informação por meio das seguintes iniciativas: Atuação junto
à área responsável pela comunicação, divulgação das responsabilidades dos colaboradores,
demonstrando a importância das políticas, normas e procedimentos de SI, realização de palestras referentes às políticas, normas e procedimentos de SI, tendo por público-alvo a Presidência, Diretorias e Gerências e a realização de palestras referentes às políticas, normas e procedimentos de SI, tendo por público-alvo outros colaboradores da organização.
3.2.2
Política de Segurança da Informação segundo Adriana Beal – Segundo
Roteiro
Para Adriana Beal (2003), o conteúdo de uma Política de Segurança da Informação deve
abranger dez aspectos, sempre que cabível.
Primeiramente há a definições sobre a estrutura da gestão adotada para administrar as
questões de segurança da informação, indicação de quem é responsável e presta contas pela
segurança em todos os níveis da organização e quais as linhas hierárquicas existentes entre as
funções de segurança.
No segundo aspecto há a classificação e controle dos ativos de informação com orientações sobre realização de inventários dos ativos informacionais, formas de classificação da informação considerada crítica e a verificação de responsabilidades pela manutenção dos controles para proteger as informações.
37
No terceiro aspecto, há o interesse nos aspectos humanos da segurança com a definição
sobre a política de segurança de pessoal (processo de admissão e demissão, requisitos de segurança aplicáveis a funcionários e prestadores de serviço, treinamento em segurança) e diretrizes do comportamento esperado em relação ao uso dos diversos tipos de recursos computacionais (e-mail, Internet, Intranet, sistemas de informação etc.).
A segurança do ambiente físico é o quarto aspecto a considerar. São definidas diretrizes
para a proteção dos recursos e instalações de processamento de informações críticas ou sensíveis do negócio contra acesso não autorizado, dano ou interferência.
A seguir vem a segurança do ambiente lógico, considerado quinto aspecto, com a definição de diretrizes para garantir a operação correta e segura dos recursos computacionais e proteger a integridade dos serviços.
Na segurança da informação, sexto aspecto, são estabelecidas diretrizes para a proteção
de dados e informações durante e processo de comunicação. No decorre da elaboração de uma
PSI há a necessidade de fazer a prevenção e tratamento de incidentes com definição de diretrizes para a prevenção, detecção, notificação, investigação e tratamento de incidentes de segurança, bem como para a emissão de relatórios e eles relacionados este será o sétimo aspecto
a considerar pelo autor.
Chegando neste ponto de elaboração, o autor considera que é precípuo o desenvolvimento
ou aquisição, implantação e manutenção de sistemas. Estabelecendo assim, diretrizes para o
uso de controles de segurança e orientações a respeito do uso da avaliação de risco para a identificação dos sistemas que irão merecer medidas extras de proteção.
No nono aspecto, é realizada a gestão da continuidade do negócio, com recomendações
para que a organização se prepare para neutralizar as interrupções às atividades organizacionais e proteção dos processos críticos na ocorrência de uma falha ou desastre.
E por fim, há a conformidade da política com desenvolvimento de diretrizes para a preservação da conformidade com requisitos legais (proteção dos direitos autorais e da privacidade), com as normas e diretrizes internas e com os requisitos técnicos de segurança, procedimentos a serem adotados em caso de violação da política de segurança e descrição das punições a que estão sujeitos os infratores.
38
3.2.3
Política de Segurança da Informação Baseado na Norma Técnica NBR
ISO/IEC 27002:2005 – Terceiro Roteiro
Baseado no Código de prática para a gestão da segurança da informação o documento da
Política de Segurança da Informação deverá conter aspectos relevantes para que a sua elaboração seja alinhada com os objetivos e estratégia do negócio ou missão da organização.
Inicialmente haver uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação.
Convém que haja uma declaração do comprometimento da direção apoiando as metas e
princípios da segurança da informação. Deverá conter uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise; avaliação e gerenciamento de
risco.
Seria conveniente ter uma explanação das políticas, princípios, normas e requisitos de
conformidade de segurança da informação específicos para a organização. Nesta fase, terá de
verificar e analisar a conformidade com a legislação e com requisitos regulamentares e contratuais, os requisitos de conscientização, treinamento e educação em segurança da informação,
realizar o processo de gestão de continuidade do negócio e declarar as conseqüências caso
haja violação na política de segurança da informação.
Haverá uma fase de definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação. Terá
de ter uma fase de referências à documentação que possam apoiar a política, como por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.
Por fim, a política de segurança da informação deverá ser comunicada para toda a organização de forma relevante, acessível e compreensível para todos os usuários.
Portanto, as políticas bem-elaboradas, geralmente, possuem os mesmos conceitos. Algumas são mais severas e outras mais sutis. Com base nos roteiros expostos, a proposta do guia
para elaboração de uma Política de Segurança da Informação e Comunicações (PCSIC) demonstrara o caminho a seguir para práticas em SI que poderá mudar de acordo com cada organização.
39
Estes exemplos de roteiros têm como objetivo facilitar a estruturação de uma política de
segurança. Nesta pesquisa bibliográfica foram compiladas várias informações dedicadas à
confecção de tópicos necessários para criar e publicar uma Política de Segurança da Informação e Comunicações e esta serviu como base de consulta.
É recomendado que se realize a análise se riscos antes elaboração da PCSIC. Entende-se
como análise de risco um conjunto de técnicas e ferramentas para identificar, estimar, monitorar e administrar os acontecimentos que possam colocar em risco as operações que uma organização executa, ou seja, a sua missão organizacional.
Contudo comparando uma organização a organismos que precisam de “medicamentos”
adequados para combater suas vulnerabilidades, há a possibilidade de que praticar a medicação antes mesmo de se fazer os exames completos.
Então há a possibilidade de iniciar a processo de elaborar a PSI antes de realizar a análise
de risco ou depois da PSI já está implementada na organização. Entretanto a análise de risco
gera recomendações para a política, ou seja, se ela já estiver implementada, melhorias serão
feitas após a realização da análise de risco.
Portanto analisando os roteiros acima detalhados e tomando como base para conclusão
deste trabalho, será proposto um método, uma forma de proceder ao documento de políticas
de segurança da informação e comunicações.
40
4
GUIA PARA ELABORAÇÃO PCSIC
Foi declarada anteriormente a intenção de propor um guia para elaboração de uma PCSIC, que fosse estruturada, voltado para refletir a cultura da organização, abrangente de forma
clara, simples, e flexível o suficiente para que não sofra alterações freqüentes. Analisando os
roteiros propostos no capítulo anterior e tendo um desafio a ser enfrentado, este capítulo apresenta a proposta deste guia básico.
Como já foi mencionado, o conteúdo de uma PCSIC varia de acordo com o tipo de instituição, área de atuação, cultura organizacional, grau de informatização, requisitos de segurança, estágio de maturidade da segurança da informação, entre outros aspectos.
Portanto, a proposta do guia foi baseada nos autores mencionados, nos seus roteiros e levando em conta a proposta sugerida de preparar um guia claro, com concisão, de fácil entendimento e acessível. Para isso, são apresentadas algumas alternativas e sugestões para cada
tópico sugerido no guia. O guia é composto por dez etapas e em cada etapa serão apresentadas
sugestões de exemplos pertinentes aos itens.
A proposta é de que o documento deverá ser estruturado incluindo os seguintes itens:
Finalidade ou Objetivo da Política de Segurança da Informação e Comunicações;
Âmbito da Política de Segurança da Informação e Comunicações;
Atribuições ou responsabilidades;
Referências;
41
Conceitos e Terminologias;
Processo Disciplinar da PCSIC;
Processo de Atualização da PCSIC;
Processo de aprovação da PCSIC;
Processo de divulgação da PCSIC;
A vigência da PCSIC;
Os itens são detalhados a seguir:
4.1
Finalidade ou Objetivo da PCSIC
Neste item deve-se dizer o que se pretende alcançar com a implantação de uma política
de segurança da informação e comunicações. A que fim a PCSIC se destina, seu propósito.
Abaixo são apresentados quatro exemplos de finalidades.
Ex.1: Prover a organização de ações para garantir a disponibilidade, integridade, confidencialidade e autenticidade (DICA) das informações.
Ex.2: Estabelecer um padrão de comportamento que seja conhecido por todos na organização e que sirva de base para decisões da alta direção em assuntos relacionados com segurança da informação.
Ex.3: Objetivo de viabilizar, de forma segura e confiável, a operacionalização de sistemas, de processos, de procedimentos e de dados institucionais estabelecendo critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações.
Ex.4: Prover a organização de normas para segurança da informação e comunicações, estabelecendo responsabilidades e diretrizes, como também, atitudes adequadas para o uso dos
recursos tecnológicos, acesso e modificações não autorizados de informações e dados nos
termos dos Decretos 3505, 4553, observando a norma NBR ISO/IEC 27002:2007 e a Instrução Normativa nº. 01 do GSIPR.
42
4.2
Âmbito da Politica
Neste item deve-se dizer a Delimitação das ações da PCSIC, sua abrangência. Na sua a-
plicabilidade deve haver a definição do limites de atuação do que precisa ser protegido, abrangendo pessoas, processos, sistemas e equipamentos.
Portanto, o escopo da política de segurança da informação e comunicações deve abranger
alguns serviços e áreas da organização.
Ex.1: Esta política se aplica às atividades de todos os servidores, colaboradores, estagiários e prestadores de serviços que exercem atividades no âmbito da “organização” ou quem
quer que venha a ter acesso a dados ou informações sobre a mesma.
Ex.2: O âmbito da política inclui todas as unidades, áreas, departamentos, empregados e
pessoal subcontratado que acessem aos sistemas de informação organizacional, bem como, os
colaboradores externos.
Ex.3: A Política de Segurança da Informação e Comunicações da organização se aplica
aos servidores, estagiários e prestadores de serviço, que fazem uso dos recursos matérias e
tecnológicos.
Ex.4: Esta política deve ser de conhecimento de todos os usuários que utilizam os recursos de processamento da informação, sendo de responsabilidade de cada um o seu cumprimento.
Assim sendo, no âmbito de uma Política de Segurança da Informação e Comunicações é
evidenciada a estrutura organizacional que se utiliza dos recursos de informações e que devem
seguir as diretrizes desta política, como forma de gerenciar suas atividades.
4.3
Atribuições ou Responsabilidades
Neste item são definidas as atribuições e responsabilidades esperadas dos servidores, es-
tagiários e colaboradores da organização. Descrever a estrutura de responsabilidade no atendimento a política, regras de trabalho e hierarquia de responsabilidade.
43
A definição de responsabilidades individuais deve ser clara, de modo a facilitar o gerenciamento da segurança da informação em toda a organização. Sendo assim, os servidores da
organização são responsáveis pelas informações de que fazem uso.
As responsabilidades podem ser classificadas em função da posição hierárquica do servidor, do perfil de cada um dentro da organização ou dentro do comportamento individual esperado de cada servido dentro da organização. É recomendada a elaboração de um “Termo de
Responsabilidade do Usuário” e um “Termo de Recebimento de Estação de Trabalho” para
servidores, onde eles declaram ter pleno conhecimento das normas vigentes e do uso de recursos computacionais da organização. Esta e uma forma de garantir validade jurídica ao documento elaborado, pois há a assinatura dos termos. A seguir são relacionadas às propostas de
atribuições e responsabilidades dos servidores existentes em uma organização:
4.3.1
Alta Administração/Coordenação em Geral
Ex.1: A alta direção é responsável por executar e fazer executar a Política de Segurança
da Informação e Comunicações organizacional.
Ex.2: A alta direção é responsável por aprovar a aprovar Política de Segurança da Informação e Comunicações.
Ex.3: A alta direção é responsável por prover recursos necessários para a aplicabilidade
da Política de Segurança a Informação e Comunicações.
Ex.4: A alta direção é responsável por coordenar as ações e metodologias de análise de
risco e plano de continuidade de negócios.
Logo, a Alta administração tem responsabilidade de apoiar a política e manter compromisso com a sua continuidade e resultados, devem solicitar que todos pratiquem os procedimentos constados na PCSIC.
44
4.3.2
Profissionais em Tecnologia da Informação são Responsáveis:
Ex.1: Apóiam na implementação, implantação e compreensão da política de segurança da
informação e comunicações.
Ex.2: Executam as orientações técnicas e procedimentos estabelecidos na política.
Ex.3: São responsáveis pela criação de um treinamento que aborde os temas de segurança
da informação, como utilizar os sistemas computadorizados de forma segura e quais as responsabilidades dos usuários.
Portanto, esses profissionais tem a responsabilidade proteger o ativo informacional, orientado, treinando e conscientizado os usuários da informação.
4.3.3
Profissionais da Área Jurídica
Ex.1: São responsáveis por auxiliar a alta direção quanto aos aspectos legais referentes à
segurança da informação definidos na PCSIC.
Ex.2: São responsáveis por estabelecer que punições sejam aplicadas aos servidores, estagiários, prestadores de serviço da organização que desrespeitarem ou violarem da política definida.
Ex.3: São responsáveis por analisar a conformidade da PCSIC com a legislação vigente.
Ex.4: São responsáveis por auxiliar na revisão periódica da PCSIC.
Sendo assim, o papel desses profissionais é de relevância na elaboração de uma PCSIC, pois estabelecem punições pelo não-cumprimento da política.
4.3.4
Os Detentores de Informação/Custodiante
Ex.1: São responsáveis pela classificação, reclassificação e guarda das informações que
lhes pertence.
Ex. 2: São responsáveis pela autenticidade e integridade das informações que lhes pertence.
45
Ex.3: Preservar a integridade e guardar sigilo das informações de que fazem uso, bem como zelar e proteger os respectivos recursos computacionais de informações.
Portanto suas responsabilidades são de garantir que as informaçõese os ativos estejam
classificados de forma conviniente.
4.3.5
Os Usuários
Ex.1: São responsáveis em cumprir as determinações contidas na PCSIC.
Ex.2: São responsáveis pelo recurso computacional que lhe foi designado.
Ex.3: São responsáveis por observar e acatar as recomendações da Política de Segurança
da Informação e Comunicações organizacional.
Ex. 4: São responsáveis por utilizar os Sistemas de Informações e os recursos computacionais somente para os fins previstos pelos na PCSIC.
Os usuários que fazem uso dos ativos informacionais são responsáveis pela disponibilidade integridade, confidencialidade e autenticidade dos mesmos.
4.4
Referências
Relacionar as referências legais e normativas utilizadas para a elaboração da PCSIC. Nes-
ta fase, declaram-se os decretos, as normas e outras legislações que preconizam a política. Algumas normas existentes sobre Política de Segurança da Informação e Comunicações são propostas abaixo:
O Decreto nº. 3505, de 13 de junho de 2000 institui a Política de Segurança da
Informação nos Órgãos e Entidades da Administração Pública Federal.
Norma Brasileira ABNT NBR ISO/IEC 27002:2007 – Esta norma estabelece
diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a
Gestão de Segurança da Informação em uma Organização.
Instrução Normativa do Gabinete de Segurança Institucional da Presidência da
República nº. 01, de 13 de Junho DE 2008, disciplina a Gestão de Segurança
46
da Informação e Comunicações na Administração Pública Federal, direta e indireta.
4.5
Conceitos e Terminologia
É importante esclarecer qualquer dúvida conceitual que possa surgir no momento da lei-
tura da política. Portanto, recomenda-se que a política tenha um glossário específico no qual
sejam especificados os termos e conceitos utilizados, tais como:
Ativo: Qualquer coisa que tenha valor para a organização [ISO/IEC 133351:2004].
Ativo Informacional: Dado, informação (patrimônio composto por todos os dados e informações), ou recurso aplicado ao tratamento da informação.
Antivírus: Programa especificamente desenvolvido pata detectar, anular e eliminar vírus de computador.
Disponibilidade: Propriedade de que a informação esteja acessível e utilizável
quando requerida por uma pessoa física ou sistema, órgão ou entidade.
Integridade: Propriedade de que a informação não foi modificada ou destruída
de maneira não autorizada ou acidental.
Confidencialidade: Propriedade de certas informações que não podem ser disponibilizadas ou divulgadas sem autorização para pessoas, entidades ou processos.
Autenticidade: Propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade.
Controle de acesso: São restrições de acesso a um ativo da organização.
Direito de acesso: Privilégios associado a uma pessoa, cargo, ou processo para
ter acesso a um ativo.
47
Internet: Associação mundial de redes de computadores interligadas, que utilizam protocolos de comunicação de dados. A Internet provê um meio abrangente de comunicações através de transferência de arquivos, conexão à distância, serviços de correio eletrônico, etc.
Intrusão: Invasão ou tentativa de invasão á um sistema protegido.
Hardware: É a parte física do computador, ou seja, é o conjunto de componentes eletrônicos, circuitos integrados e placas.
Engenharia Social: Método de abordagem que usa persuasão abusa da ingenuidade ou confiança de uma pessoa para obter informações ou acesso não autorizado.
Chave Pública: É um conjunto de princípios, processos, tecnologias e agentes,
implementados por organizações públicas e privadas, com o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital.
Certificação Digital: É um documento eletrônico assinado digitalmente por
uma autoridade certificadora, e que contém diversos dados sobre o emissor e o
seu titular. A função principal do certificado digital é a de vincular uma pessoa ou uma entidade a uma chave pública.
Assinatura Digital: Código utilizado para verificar a integridade de um texto ou
mensagem. Também pode ser utilizado para verificar se o remetente de uma
mensagem é mesmo quem diz ser.
Órgão Público: Qualquer ente da Administração Publica Direta ou Indireta,
Fundações, Autarquias e Empresas Públicas.
Organização: Termo genérico que designa qualquer instituição, entidade etc.
Provedores de Acesso: São computadores denominados servidores que oferece
acesso a uma rede de computadores.
Sigilo: Classificação dada a informação cujo conhecimento é restrito a pessoas
físicas, órgãos ou entidades credenciadas ao seu tratamento.
48
Site: Páginas contendo informações, imagens, fotos, vídeos, sons, que ficam
armazenadas em provedores de acesso à internet, para serem acessadas por
qualquer pessoa que se conecte à rede.
Software: Programa de computadores.
Usuários: Funcionários, servidores, prestadores de serviço, clientes, fornecedores e estagiários.
Vulnerabilidade: São fragilidades associada aos ativos que os tornam suscetíveis as ameaças.
Ameaça: São agentes ou condições causadoras de incidentes contra ativos. Exploram as vulnerabilidades, ocasionando perda da DICA.
Download: Baixar um arquivo ou documento de outro computador, através da
Internet.
Upload: Envio de um arquivo de seu computador para outro, através da Internet
4.6
Processo Disciplinar de PCSIC
Neste tópico a administração deve demonstrar que punições serão aplicadas aos servido-
res, estagiários, prestadores de serviço da organização que desrespeitarem ou violarem a política. Caso haja um rompimento ou um desrespeito à PCSIC, haverá um estabelecimento de
sanções e penalidades. A punição pode ser desde uma simples advertência verbal ou escrita
até uma ação judicial. A expectativa de punição é essencial para ajudar a inibir comportamentos que podem acarretar desrespeito à PCSIC.
Como exemplo de violação de uma Política de Segurança da Informação e Comunicações
tem o fornecimento ou empréstimo de senha que possibilite o acesso de pessoas não autorizadas a sistemas de informações, divulgação de informações sigilosas ou reservadas, inserção de
dados falsos em sistemas de informação, modificação ou alteração não autorizada de sistemas.
Quando detectada uma violação, é necessário averiguar suas causas, conseqüências e circunstâncias nas quais ocorreu.
49
4.7
Processo de Atualização de PCSIC
A política de segurança deve ser revisada periodicamente, para mantê-la atualizada com
as novas tendências e acontecimentos em segurança da informação. O intervalo para a atualização poderá ser realizado quando forem identificados fatos novos. Nesta fase do guia de elaboração da PCSIC é realizada uma auditoria interna com a finalidade de se fazer uma revisão
dos processos da política levando em conta as atividades da organização que será abrangida
pela política. O objetivo desta auditoria é avaliar se a organização está operando dentro dos
padrões desejados pela Política de Segurança da Informação e Comunicações.
Como proposta de atualização, convém não exceder um período de no máximo 02(dois)
anos.
4.8
Processo de Aprovação da PCSIC
Neste tópico é recomendado que a PCSIC seja aprovada pelo mais alto dirigente da orga-
nização. Deve-se homologar a implementação de ações relativas à segurança da informação,
normas complementares e procedimentos de segurança da informação.
4.9
Processo de Divulgação da PCSIC
A Política de Segurança da Informação e Comunicações deve ser de conhecimento de to-
dos os funcionários, estagiários e colaboradores da organização, portanto deve ser amplamente divulgada, inclusive e principalmente para novos servidores e novos colaboradores. Os métodos de divulgação podem variar de organização para organização. São detalhados métodos a
seguir.
Campanhas internas de conscientização;
Palestras de conscientização;
Campanhas para aderir mais colaboradores em SIC;
Destaque em jornal e folhetos internos;
Uso da Intranet da organização; e
50
Criação de uma cartilha em formato compacto.
Uma vez que a PCSIC seja de conhecimento de todos, não poderá ser admissível que
as pessoas aleguem o desconhecimento das regras nelas estabelecidas.
4.10 A Vigência da PCSIC
Na vigência irá ser declarado o tempo de que a uma PCSIC irá vigorar, ou seja, estar em
vigor ou em execução.
O aval e a assinatura na PCSIC da alta administração da organização, são para reafirmar a
importância da segurança, é importante que antes da implantação da PCSIC, seja feito um
comunicado da diretoria ou presidência, aos servidores, colaboradores dentre outros, sobre a
implantação da Política de Segurança da Informação e Comunicações na organização.
51
5
PROPOSTA DE DIRETRIZES GERAIS DE SI
A PCSIC deve ser clara e objetiva. Neste documento deve concentrar os princípios de
uma política de segurança da informação e comunicações, ou seja, nas noções básicas e elementares para elaboração deste documento. Recomenda-se que os detalhes sejam deixados
para outros documentos mais específicos, os quais também deverão ser formalizados.
Para que o documento da política de segurança da informação e comunicações não seja
extenso, é comum citar, na política, a existência de outras normas inter-relacionadas, procedimentos, práticas e padrões, em que são descritas as regras de forma mais detalhadas.
Com base nas bibliografias mencionadas, este trabalho propõe-se definir regras gerais de
segurança, ou seja, instruções, procedimentos ou normas que podem ser criados como documentos individuais de acordo com a necessidade de cada organização.
Recomenda-se estabelecer métodos ou procedimentos sobre, no mínimo, para os seguintes temas:
5.1
Classificação das Informações
Segundo Ferreira (2006) a classificação da informação é o processo de estabelecer o grau
de importância das informações mediante seu impacto n missão da organização. Portanto,
quanto mais importante, estratégica e decisiva para a manutenção ou sucesso da organização,
forem as informações, maior será sua importância.
Toda informação classificada, quando passar por alteração de conteúdo , deve ser submetida a novo processo de classificação, com o objetivo de rever o nível mais adequando.
52
Para Ferreira (2006) há três (03) níveis de classificação para as informações, porém, são
propostos mais dois (02) níveis de classificação utilizados nas Forças Armadas.
5.1.1
Informação Não Classificada ou Pública
Informação não classificada ou pública é aquelas que não necessitam de sigilo algum,
podendo ter livre acesso para os usuários. Caso esta informação seja divulgada fora da organização, não trará impactos à missão organizacional.
5.1.2
Informação Interna ou Ostensiva
Para informação interna ou ostensiva o acesso externo às informações deve ser evitado.
Contudo, se estes dados tornaram-se públicos, as conseqüências não serão críticas.
5.1.3
Informação Confidencial
As informações dessa classe devem ser confidenciais dentro da organização e protegidas
do acesso externo. Se os dados forem acessados por pessoas não autorizadas, poderá ocorrer
comprometimento da operação da organização.
5.1.4
Informação Secreta
Este tipo de informação requer rigorosas medidas de segurança e seu teor pode ser do conhecimento de agentes públicos que, embora sem ligação íntima com seu estudo ou manuseio,
sejam autorizados a deles tomarem conhecimento em razão de sua responsabilidade funcional.
5.1.5
Informação Ultra-Secreta
Este tipo de informação requer excepcionais medidas de segurança e seu teor só deve ser
do conhecimento de agentes públicos ligados ao seu estudo e manuseio. Este tipo de classificação é usado no âmbito de Poder Executivo, pelo Presidente da República, Vice-Presidente
da República, Ministros de Estado e autoridade com as mesmas prerrogativas, Comandante da
53
Marinha, do Exército e da Aeronáutica, e chefes de Missões Diplomáticas e Consulares permanentes no exterior.
5.2
Política de Controles de Acesso
A política de controle de acesso deve atentar os controles de acesso lógico e físico Deve
abranger o recurso informatizado que se pretende proteger, o usuário a quem se pretende dar
certos privilégios e acesso e as áreas físicas consideradas seguras sejam protegidas contra acesso de pessoa não autorizada.
5.2.1
Controle de Acesso Lógico
Controle de acesso lógico são medidas e procedimentos com o objetivo de proteger as informações contra acesso não autorizado de pessoas ou programas. Deve abranger o recurso
informatizado que se pretende proteger e o usuário a quem se pretende dar certos privilégios e
acesso. A proteção dos recursos está baseada na necessidade de acesso de cada usuário, a sua
identificação e autenticação são feitas por uma Identificação do Usuário (User ID) e uma senha durante o processo de logon.
5.2.2
Controle de Acesso Físico
Para obtenção de acesso a qualquer ambiente, os indivíduos devem ser autenticados e autorizados por algum tipo de sistema, para isso, é necessário que haja uma identificação das
áreas. Para Ferreira (2006) a segurança física é a base para a proteção de qualquer investimento feito por uma organização. Há organizações onde o perímetro deve ser definido como uma
área física isolada e haverá pessoas ou grupo de pessoas com direito de acesso. As áreas de
segurança consideradas críticas, deverão ter controles mais rígidos de acesso. Qualquer acesso
á dependências da organização, desde as áreas de trabalho até àquelas consideradas críticas
deve ser controlada sempre fazendo necessária sua formalização.
È fundamental que os sistemas de segurança sejam implementados para garantir que em
todos os locais da organização o acesso seja realizado apenas por servidores autorizados. As
áreas também devem ser protegidas contra incêndio e desastres naturais.
54
5.3
Procedimentos para as Estações de Trabalho
Convém que as estações de trabalho sejam disponibilizadas aos usuários como uma fer-
ramenta de apoio às atividades profissionais e seu uso deve ser restrito às ações relacionadas
com a missão organizacional. Seria ideal que para que sejam disponibilizadas as estações de
trabalho, cada usuário assinasse um o “Termo de Recebimento da Estação de Trabalho” onde
deverá ter rotinas padronizadas para todas as estações, como por exemplo, softwares instalados.
Também poderá haver procedimentos específicos quanto ao uso de estações de trabalho
móveis como os Notebooks ou outros que surgirem a cada dia. Não deverão ter informações
organizacionais armazenadas neles, pois estes poderão ser perdidos ou roubados quando usados fora dos limites da organização.
5.4
Procedimentos para Desenvolvimento e Manutenção dos Sis-
temas
Convém que na política tenha procedimentos quanto ao desenvolvimento de sistemas.
Deve haver orientações relatando que os sistemas serão de uso da organização juntamente
com e seu código fonte.
Para manter as informações disponíveis é essencial possuir procedimento de backup e
restauração das informações. É importante que os sistemas sejam documentados e ter rotinas
de manutenção tanto corretivas quanto preventivas.
5.5
Procedimentos sobre Tratamento de Incidentes de Segurança
Um incidente de segurança pode ser definido como uma ação ou omissão, intencional ou
acidental, que resulta no comprometimento ou no risco de comprometimento da informação e
das comunicações. (definição do DSIC na Resolução sobre Gestão de Segurança da informação e Comunicações na APF). Alguns exemplos de incidentes de segurança:
Tentativas de ganhar acesso não autorizado a sistemas ou dado;
Ataques de negação de serviço;
55
Uso ou acesso não autorizado a um sistema;
Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;
Roubo ou extravio de informações;
Perda de informações ou equipamentos que armazenam dados críticos;
Engenharia social;
Desrespeito à política de segurança.
Convém aos servidores observar e relatar suspeitas de incidentes na organização. Deve
existir um procedimento de notificação desta observação ou suspeita que deverá ser realizado
de modo que seja formal, como por exemplo, enviando um e-mail ou por um sistema de informação na intranet da organização, pois assim, haverá um relato formalmente arquivado.
5.6
Procedimento sobre Continuidade do Negócio
Deverá ser elaborado plano de continuidade, ou seja, conjunto de procedimentos emer-
genciais a serem adotados na eventualidade da ocorrência de um determinado incidente de
segurança da informação. Um Plano de Continuidade de Negócios (PCN) deverá ser acionado
sempre que houver um evento específico que possa causar interrupção da continuidade do negócio da organização. Premissas deverão ser adotadas na elaboração do PCN:
- Os procedimentos de emergência devem ser feitos de modo a recuperar as condições
de trabalho dentro de prazos que garantem o menor impacto ao negócio;
- Todos os procedimentos deverão ser documentados;
- Deverá ter treinamento constante para os responsáveis (operadores/ executores) dos
procedimentos, afim de atualização dos mesmos;
- Os procedimentos deverão ser testados e melhorados.
56
5.7
Procedimentos sobre gerenciamento dos Riscos
Tudo que pode afetar os negócios da organização e impedir o alcance dos objetivos é
considerado como risco, ou seja, tudo que possa causar a interrupção ou prejuízos aos processos da organização.
Esta fase poderá começar com a identificação das ameaças mais prováveis e suas ocorrências, acham-se as vulnerabilidades descobertas na organização que possibilitará a tomada
de decisão em relação aos riscos principais. Conhecendo os riscos principais pode-se tomar
uma das seguintes medidas: eliminá-los, minimizá-los, compartilhá-los ou assumí-los. Portanto, a norma indica diretrizes para determinar o nível a avaliar riscos e trata-los.
Para a Norma ABNT NBR ISO/IEC 27002:2005 a organização deve definir os critérios
para determinar se os riscos podem ser ou não aceitos. Riscos podem ser aceitos se for avaliado que o risco é baixo, ou que o custo do tratamento não é economicamente viável para a organização.
5.8
Procedimentos para Acesso a Internet
O propósito desses procedimentos é assegurar o uso adequado da internet na organização.
São definidas regras para proteger o negócio/missão da organização. Embora o acesso á internet seja indispensável no local de trabalho, o seu uso pelos servidores tem de ser aderente às
atividades fins da organização.
Para isso, procedimentos que regulem o serviço de acesso à internet, precisam ser elaborados com o intuito de coibir o seu uso indevido. As seguintes ações constituem uso indevido:
Acessar páginas de conteúdo considerado ofensivo ou ilegal;
Acessar sites que apresentem vulnerabilidades de segurança ou afetem a segurança e integridade da organização;
Utilizar programas de troca de mensagens (bate-papo);
Obter arquivos na internet (fazer download) que não estejam relacionados com
as atividades funcionais;
57
Transmitir ou criar material difamatório; e;
- Outros aspectos que a organização julgar necessários.
5.9
Procedimentos para o Uso do Correio Eletrônico
Procedimentos para a utilização do correio eletrônico institucional pelos usuários devem
considera que a sue uso é uma concessão do órgão ou entidade da Administração Pública Federal e não um direito do usuário e será cancelada nas hipóteses de vacância, remoção, redistribuição, licenças por um período longo, afastamento ou qualquer outra espécie de desligamento.
O estabelecimento de diretrizes para o uso adequado do correio eletrônico tem como objetivo fornecer aos usuários orientações quanto as suas responsabilidades, as penalidades
quanto ao uso não apropriado do correio, o espaço disponível par as caixas-postais, o tamanho
máximo de mensagens enviadas e recebidas, o tamanho das pastas, os direitos de cada usuário, dentre outros aspectos.
5.10 Procedimentos no Acesso de Prestadores de Serviço
Prestadores de serviço poderão acessar informações da organização de duas formas: fisicamente e logicamente. Os acessos físicos poderão acontecer na atividade de operação de suporte técnico ou atendimento técnico, ou seja, quanto terceirizado precisam acessar fisicamente salas, computadores, entre outros ativos informacionais. Os acessos lógicos podem se fazer
preciso quando há uma interação de um sistema da organização com parceiros, fornecedores,
quando há uma relação de envio e recebimento de informações organizacionais.
É importante que a relação com a prestadora de serviço seja regulada, para que todos estejam cientes de sua responsabilidade com segurança da informação. Esse tipo de operação é
feito com um contrato bem elaborado. `
É precípuo que procedimentos quanto ao acesso de terceiros aos sistemas e instalações da
organização sejam elaborados e implementados, de forma que não ocorram riscos de incidentes de segurança da informação. Esses procedimentos são controles para diminuir as vulnerabilidades envolvidas nas operações com terceirizados, tais como o uso de identificação e controles de acesso físico ou conexões em canais criptográficos para os acessos lógicos.
58
6
PROPOSTA DE UM CICLO DE ATUALIZAÇÃO PARA A
PCSIC
Com base no “PDCA” (Plan-Do-Check-Act), referenciado pela norma ABNT NBR ISO/IEC 27001:2006, definido como um método gerencial para promover a melhoria contínua,
são sugeridos procedimentos de atualização para a política de segurança da informação e comunicações através do ciclo de planejamento, implementação, verificação e aperfeiçoamento.
Esses procedimentos serão detalhados como forma de propor uma metodologia para que a
PCSIC seja um documento dinâmico, e ser revisado e reavaliado de tempo em tempo.
Esta análise critica visa verificar o quanto a política ainda precisa ser melhorada, ou seja,
reavaliar o seu planejamento, reavaliar os controles, considerar a evolução tecnológica, analisar os incidentes de segurança da informação que ocorreram no período, verificar se o seu
conteúdo está adequado com os objetivos da organização e pesquisar se há novas ameaças e
vulnerabilidade, Abaixo são descriminados os procedimentos para a atualização da política de
segurança da in formação e comunicações:
6.1
Planejamento
Esta é a fase de planejar as ações para elaboração da política de segurança da informação
e comunicações, considerando os requisitos estabelecidos pelo planejamento organizacional.
Para planejar, algumas ações serão necessárias:
Avaliar se a finalidade e o âmbito da PCSIC estão compatíveis, verificar se não
houve mudanças;
Identificar e reavaliar os ativos a serem protegidos;
59
Identificar as vulnerabilidades destes ativos, ou seja, reavaliar os riscos;
Identificar os impactos que a perda da DICA pode causar nestes ativos;
Planejar a classificação das informações, ou seja, assegurar que haja a reclassificação da informação para rever o nível de classificação mais adequado no
momento;
Planejar programas de conscientização e treinamento;
Avaliar a necessidade atualização das atribuições de responsabilidades;
Reavaliar e atualizar as diretrizes, normas e procedimentos; e;
Atualizar a necessidades de recursos tecnológicos novos.
6.2
Implementação
É a fase em que a Política de Segurança da Informação e Comunicações é efetivamente
posta em execução, ou seja, é inserida e implementada. Na atualização recomenda-se para esta fase o seguinte:
Executar as ações da PCSIC com base no escopo e objetivo;
Executas a novas atribuições de responsabilidades;
Reavaliar o níveo de conscientização de todos os servidores dentre outros;
Reavaliar e Implementar os programas de conscientização e treinamento,
Reavaliar os fatores críticos de sucesso para a implantação e implementação da
PCSIC;
Atualizar os procedimentos capazes de detectar incidentes em rede computacionais;
Implantação de recursos tecnológicos atualizados; e;
Executas as diretrizes, normas e procedimentos reavaliados.
60
6.3
Verificação
É a fase onde é realizada a tarefa de monitorar a execução da Política de Segurança da In-
formação e Comunicações, visando acompanhar o decurso da PCSIC. Será preciso:
Avaliação e análise da PCSIC se estão sendo executadas por todos, se está sendo eficiente e eficaz para a organização;
Monitorar o comprometimento dos profissionais com a PCSIC;
Monitorar os procedimentos de divulgação da PCSIC;
Acompanhar o comportamento individual de cada usuário visando verificar se
está condizente com a sua responsabilidade;
Acompanhar novos conceitos no que concerne a SI;
Medir os resultados obtidos na verificação da execução da PCSIC.
6.4
Aperfeiçoamento
É a fase do ciclo na qual é realizado a ações de correção, ajuste e aperfeiçoamento das
ações no que concerne a PCSIC.
Propor à autoridade melhorias para a execução da PCSIC;
Executar estas melhorias;
Ajuste das melhorias de acordo com o objetivo e escopo da PCSIC; e;
Comunicar as melhorias realizadas.
61
PLANEJAMENTO
APERFEIÇOAR
IMPLEMENTAÇÃO
VERIFICAÇÃO
Figura 4 – Proposta de Processo de Atualização da Política de Segurança da Informação e Comunicações com base no ciclo
PDCA
62
7
CONCLUSÃO
No inicio do planejamento deste trabalho foi explanado a importância de uma Política de
Segurança da Informação para as organizações da APF. Pois a mesma representa a base para
todas as questões relacionadas à proteção da informação e gestão de segurança da informação.
E foi demonstrado nos Levantamento de Auditoria do Tribunal de Contas da União - TCU
(TC-008.380/2007-1) e o Levantamento efetuado pelo GSIPR/DSIC a respeito da Instrução
Normativa nº. 01/2208/GSIPR/DSIC, que os órgãos ainda não têm um planejamento relativo
para a elaboração de uma Política de Segurança da Informação.
A partir desse momento, uma série de desdobramento passou a acorrer sobre o tema e cada vez mais a Política de Segurança da Informação e Comunicações foi ganhando importância
e aplicação prática nas organizações. Com isto foram abordados conjuntos de princípios básicos que abrande o tema Segurança da Informação como fundamentos para a elaboração de
uma Política de Segurança da Informação.
Por meio do estabelecimento de uma desta Política de Segurança da Informação e Comunicações nas organizações, a Alta Administração comunica aos participantes desta, o que é
esperado de cada um e quais sanções pela não aplicação ou pelo não seguimento das normas
estipuladas na política.
Neste sentido foi proposto um guia, um roteiro, um passo-a-passo que fosse simples, escrito de maneira clara e concisa, com a inclusão de alguns itens mínimos considerados pertinentes, estruturado para a elaboração de uma política alinhada, sempre que possível, com a
missão da organização, flexível, protetora dos ativos de informação, positiva, devendo conter
a definição os deveres, responsabilidades e autoridades, devendo conter a forma de educar e
conscientizar os usuários e principalmente, apoiada pela Alta Administração organizacional.
Dificuldades foram encontradas em função de que cada organização possuiu uma determinada
63
missão, possui uma cultura em SIC, recursos tecnológicos distintos, profissionais que não
possuem conhecimentos específicos para elaboração de uma PCSIC, autoridades que não apóiam e nem se comprometem na tarefa de implementação deste documento por desconhecerem a importância e a necessidade de uma PCSIC, o fator humano que não é conscientizado
sobre os problemas de Segurança da Informação, a necessidade dos órgãos da APF em atenderem a IN n.º 01 do GSI, foram fatores de motivação para a confecção do Guia para Elaborar Política de Segurança da Informação e Comunicações como forma de colaborar nas questões de Segurança da Informação.
A elaboração de uma Política de Segurança da Informação e Comunicações é somente
um estágio inicial no processo de Segurança da Informação, o estabelecimento desta só será
efetivo por meio do comprometimento de todos, uma vez que o sucesso da aplicação da PCSIC está diretamente relacionado à sua ampla divulgação e à correta compreensão de seus
dispositivos.
O trabalho não acaba com a implementação da política, é necessário o treinamento e
conscientização dos servidores, colaboradores, estagiários e outros da organização. Dessa
forma, a idéia do guia poderá ser seguida pelas organizações, não como uma solução pronta,
mais sim, como um marco inicial na elaboração de documento da política.
Por fim, foi recomendado que na elaboração da PCSIC sejam estabelecidas diretrizes gerais e também uma sugestão de uma atualização do guia como forma de manutenção dos procedimentos da política, pois esta é um ciclo que deve ser sempre planejada, implementada,
monitorada e aperfeiçoada para assim obter um ambiente com menor risco.
Portanto, a elaboração de uma Política de Segurança da Informação e Comunicações baseia-se em um pressuposto de que nas organizações o principal elemento diferencial são os
seus ativos e eles precisam ser protegidos tanto para a imagem organizacional quanto para a
credibilidade para com os servidores, colaboradores, fornecedores, estagiários e outros componentes pertinentes à organização.
Por conseguinte a elaboração de uma Política de Segurança da Informação e Comunicações torna-se uma premissa de máxima importância para realizações das atividades da organização com mais eficácia, confidencialidade e integridade, visando assim um bom desempenho
na missão que a organização objetiva atingir. A PCSIC, para que seja colocada em prática e
encarada com seriedade por todos os membros da organização, deve ter total apoio da alta
64
administração, a qual deve se comprometer em implantá-la. Esse comprometimento deve ser
expresso na política de tal forma que os objetivos de segurança da informação sejam compatíveis com os objetivos estratégicos da organização
É certo evidenciar que nunca a segurança da informação foi tão valorizada como nos últimos tempos; a informação recebe o seu real valor. Sendo assim, justifica-se a necessidade da
realização de várias pesquisas nesta área, em especial no que se refere às pessoas, planejamentos, processos, enfim, aspectos pertinentes a segurança da informação para as organizações.
65
REFERÊNCIAS BIBLIOGRÁFICAS
BEAL, Adriana – Segurança da Informação: princípios e melhores práticas para a proteção
dos ativos de informação nas organizações. São Paulo: Atlas, 2005.
CAMPOS, André – Sistema de Segurança da Informação: Controlando os Riscos. 2. ed. / André Campos. – Florianópolis: Visual Books, 2007.
CARUSO, Carlos A. A., STEFFEN, Flavio Deny: Segurança em Informática e de Informações. São Paulo: Senac/SP, 1999.
FERREIRA, Fernando Nicolau Freitas e ARAUJO, Marcio Tadeu – Política de Segurança da
Informação: Guia Prático para Elaboração e Implementação – Rio de Janeiro: Editora Ciência
Moderna LTDA., 2006.
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel
Books, 2000.
FERREIRA, Fernando Nicolau Freitas – Segurança da Informação – Rio de Janeiro: Editora
Ciência Moderna LTDA., 2003.
NAKAMURA, Emílio Tissato, GEUS, Paulo Licio de: Segurança de Redes em Ambientes
Cooperativo – Novatec, 2007.
66
SÊMOLA, Marcos. Gestão da Segurança da Informação – Uma visão executiva. 10. Ed. Rio
de Janeiro: Elsevier, 2003.
ABNT NBR ISSO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação Requisitos - ABNT. 2006.
ABNT NBR ISO/IEC 27002 – Tecnologia da Informação- Técnicas de segurança - Código de
Prática para a Gestão da Segurança da Informação. Associação Brasileira de Normas Técnicas
– ABNT, 2005.
Tribunal de Contas da União. Boas Práticas em Segurança da Informação. Disponível em:
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_pr
aticas
MARCIANO, João Luiz. MARQUES, Mamede Lima. O Enfoque Social da Segurança da Informação. Disponível em: http://www.scielo.br/pdf/ci/v35n3/v35n3a09.pdf
Rodrigues, Emanuel Brito. Fonseca, Julia. Segurança da Informação. Disponível
em:http://www.scribd.com/doc/323335/20070914-Seguranca-da-Informacao
NIC BR Security Office (NBSO). Cartilha de Segurança para Internet.(2003) [on-line]. Disponível em: http://nbso.nic.br/docs/cartilha.
Brasil. Decreto nº. 3.505, de 13 de junho de 2000: Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Disponível em:
http://www.certisign.com.br/Decreto.zip
Brasil. Decreto 4553, de 27 de dezembro de 2002 - Define procedimentos para a classificação de informações sensíveis. Disponível em:
http://www.planalto.gov.br/ccivil_03/decreto/2002/D4553.htm
INSTRUÇÃO NORMATIVA GSI Nº 01, DE 13 DE JUNHO DE 2008 - Disciplina a Gestão
de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indi-
67
reta, e dá outras providências. Disponível em:
http://www.planalto.gov.br/gsi/cgsi/legislacao.htm#Instru%C3%A7%C3%A3o_Normativa
ALVES, Gustavo Alberto. Segurança da Informação – Uma Visão Inovadora da Gestão – Rio
de Janeiro: Editora Ciência Moderna LTDA, 2006.
Download

proposta de um guia para elaboração de políticas de segurança da