|
Por Viktor Mota
|
Uma política de segurança é um instrumento importante para proteger uma organização contra ameaças à segurança da informação que a ela pertence ou que está sob sua responsabilidade. Uma ameaça à segurança é compreendida neste contexto como a quebra de uma ou mais de suas três propriedades fundamentais (confidencialidade, integridade e disponibilidade).
A política de segurança não define procedimentos específicos de manipulação e proteção da informação, mas atribui direitos e responsabilidades às pessoas (usuários, administradores de redes e sistemas, funcionários, gerentes, etc.) que lidam com essa informação. Desta forma, elas sabem quais as expectativas que podem ter e quais são as suas atribuições em relação à segurança dos recursos computacionais com os quais trabalham. Além disso, a política de segurança também estipula as penalidades às quais estão sujeitos aqueles que a descumprem. Antes que a política de segurança seja escrita, é necessário definir a informação a ser protegida. Usualmente, isso é feito através de uma análise de riscos, que identifica: recursos protegidos pela política; ameaças às quais estes recursos estão sujeitos;
vulnerabilidades que podem viabilizar a concretização destas ameaças, analisando-as individualmente.
Uma política de segurança deve cobrir os seguintes aspectos: abrangência e escopo de atuação da política; definições fundamentais; normas e regulamentos aos quais a política está subordinada; quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da política; meios de distribuição da política; como e com que freqüência a política é revisada.
requisitos para formação de senhas; período de validade das senhas; normas para proteção de senhas; reuso de senhas; senhas default.
utilização de contas de acesso; utilização de softwares e informações, incluindo questões de instalação, licenciamento e copyright; proteção e uso de informações (sensíveis ou não), como senhas, dados de configuração de sistemas; dados confidenciais da organização; uso aceitável de recursos como email, news e páginas Web; direito à privacidade, e condições nas quais esse direito pode ser violado pelo provedor dos recursos (a organização); uso de antivírus.
backups; diretrizes para configuração e instalação de sistemas e equipamentos de rede; autoridade para conceder e revogar autorizações de acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar endereços e nomes de sistemas e equipamentos; monitoramento de sistemas e equipamentos de rede; normas de segurança física.
- ações previstas em caso de violação da política:
- diretrizes para tratamento e resposta de incidentes de segurança;
- penalidades cabíveis.
Cabe ressaltar que a lista de tópicos acima não é exaustiva nem tampouco se aplica a todos os casos. Cada organização possui um ambiente distinto e os seus próprios requisitos de segurança, e deve, portanto, desenvolver uma política de segurança que se molde a essas peculiaridades. É recomendável, por exemplo, que organizações que possuam uma rede sem fio (wireless) incorporem uma política específica para este tipo de rede à sua política de segurança.
Alguns fatores importantes para o sucesso de uma política de segurança são:
- apoio por parte da administração superior;
- a política deve ser ampla, cobrindo todos os aspectos que envolvem a segurança dos recursos computacionais e da informação sob responsabilidade da organização;
- a política deve ser periodicamente atualizada de forma a refletir as mudanças na organização;
- deve haver um indivíduo ou grupo responsável por verificar se a política está sendo respeitada;
- todos os usuários da organização devem tomar conhecimento da política e manifestar a sua concordância em submeter-se a ela antes de obter acesso aos recursos computacionais;
- a política deve estar disponível em um local de fácil acesso aos usuários, tal como a intranet da organização.
Dentre os itens acima, o apoio por parte da administração superior é essencial. Se a política de segurança não for encampada pela administração, ela rapidamente será deixada de lado pelos demais setores da organização. Além disso, é importante que os seus membros dêem o exemplo no que diz respeito à observância da política de segurança.
Os seguintes fatores influem negativamente na aceitação de uma política de segurança e podem levá-la ao fracasso: - a política não deve ser demasiadamente detalhada ou restritiva;
- o excesso de detalhes na política pode causar confusão ou dificuldades na sua implementação;
- não devem ser abertas exceções para indivíduos ou grupos;
- a política não deve estar atrelada a softwares e/ou hardwares específicos.
Políticas de Uso Aceitável
A política de uso aceitável (AUP - Acceptable Use Policy) é o documento que define como os recursos computacionais da organização podem ser utilizados. Ela deve ser pública e estar disponível a todos os que utilizam a infra-estrutura computacional da organização, sendo recomendável que a autorização para uso dos recursos seja condicionada a uma concordância expressa com os seus termos.
A AUP é geralmente parte integrante da política de segurança global. Para muitas organizações, ela será composta pelos itens da política que afetam diretamente os usuários de recursos computacionais, principalmente os que definem seus direitos e responsabilidades.
Por outro lado, organizações que oferecem acesso a usuários externos (tais como provedores de acesso Internet) devem definir uma política de uso aceitável para esses usuários que seja independente da AUP à qual estão sujeitos os seus usuários internos. É importante que os usuários externos tomem conhecimento dessa política e saibam que o uso dos recursos está condicionado ao seu cumprimento.
|
