1 / 18

Preparação de uma Política de Segurança

Preparação de uma Política de Segurança. Etapas. Identificar a necessidade de ter “uma política de segurança” Elaborar um guião Definir a política de segurança da empresa Definir as estratégias de realização da segurança Definir o modo de concretizar as estratégias

mariam-holder
Download Presentation

Preparação de uma Política de Segurança

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Preparação de umaPolítica de Segurança

  2. Etapas • Identificar a necessidade de ter “uma política de segurança” • Elaborar um guião • Definir a política de segurança da empresa • Definir as estratégias de realização da segurança • Definir o modo de concretizar as estratégias • Definir os procedimentos de segurança

  3. Definir Política de Segurança • Fazer análise de risco • Política de segurança • Actividades • Responsabilidades • Divulgação e formação do pessoal • Boas práticas • Análise de riscos específica • Contramedidas específicas

  4. Impacto Plano (o que fazer se) Evitar (o quê) Expectativas Controlar (o que fazer) Aceitar o risco (Então o que fazer se ...)

  5. Formato das Políticas de Segurança • Documento escrito • Aprovado ao mais alto nível da hierarquia • Clareza • Concisão • Elaborado pelo responsável directo • Deve ser dirigido para atingir o nível de segurança adequado aos bens a proteger

  6. Formato das Políticas de Segurança • Obrigar ao mínimo número de alterações ao funcionamento da organização • Plano não deve ser demasiado específico • Deve ser fazível • Recursos devem ser quantificados • Deve prever a formação dos intervenientes • Documentação / manuais • Formação directa

  7. Formato das Políticas de Segurança • Deve prever as acções concretas e quem as realiza • Deve prever o que fazer em casos de falha

  8. Procedimentos de Segurança • Fáceis de entender, ou não serão postos em prática • Explicada a sua finalidade, ou serão ignorados • Impostos com energia, ou tentarão contorná-los • Definir sanções para os violadores

  9. Procedimentos de Segurança • Cada empregado só precisa de saber os procedimentos de segurança que lhe dizem respeito • Ao contrário das políticas de segurança, os procedimentos devem ser largamente divulgados • Os procedimentos devem estar escritos e incluir directivas claras

  10. Segurança e Recursos Humanos • Muitas vezes a segurança é quebrada por elementos internos à organização • O infiltrado • Questões económicas - a crise familiar • Detenção de informação sobre a organização interna • Cada técnico de segurança só deve conhecer o estritamente necessário ao desempenho da sua função (níveis de acesso aos recursos) • Smart-cards • Circuito de vídeo

  11. Níveis de Segurança do “Livro Laranja” • Segurança dedicada (D, C1) • Segurança elevada (C2, B1) • Segurança controlada (B2, B3) • Segurança multi-nível (A1)

  12. Níveis de Segurança do “Livro Laranja” • Divisão D • Protecção mínima • Divisão C • Classe C1 - Separação limitada de utilizadores e dados • Classe C2 - Controlo de acesso de utilizadores e dados de maior granularidade

  13. Níveis de Segurança do “Livro Laranja” • Divisão B • Classe B1 - Informação etiquetada e controlo de acesso mandatório sobre alguns utilizadores e os dados que manipulam • Classe B2 - idem a todos os utilizadores • Classe B3 - idem mas com possibilidades de registo de toda a actividade sobre os dados

  14. Níveis de Segurança do “Livro Laranja” • Divisão A • Classe A1 - idem a B3 mas as facilidades de segurança tem de ser provadas por meios formais

  15. Perfil Psicológico doTécnico de Segurança • O Rigoroso • O descuidado • O “calado” • O “gabarolas” • O ex-hacker

  16. Situações Especiais • Entrada de novo funcionário • Funcionário insatisfeito • Funcionário com problemas pessoais • Financeiros • Familiares • Recomendação: rodar o pessoal entre funções compatíveis

  17. Pessoal • Importância do treino inicial • Importância do treino periódico • Divulgação de casos exemplares

  18. Auditoria Revisitada • Auditoria aos procedimentos • Auditoria aos incidentes • Auditoria ao pessoal • Entrevistas individuais (a ameaça pendente) • Revisão das políticas

More Related