1 / 15

Políticas de Segurança

Políticas de Segurança. Prof. MSc. Rafael Leal Martins. Conceito. De acordo com o RFC 2196 ( The Site Security Handbook ), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização. Expectativas.

sopoline-morrow
Download Presentation

Políticas de Segurança

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Políticas de Segurança Prof. MSc. Rafael Leal Martins

  2. Conceito • De acordo com o RFC 2196 (The Site SecurityHandbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

  3. Expectativas • Espera-se de uma política de segurança: • Implementação realista; • Definição das áreas de responsabilidade dos usuários, do pessoal de gestão de sistemas e redes e da direção; • Adaptabilidade a alterações na organização; • Enquadramento para a implementação de mecanismos de segurança; • Definição de procedimentos de segurança adequados, além de processos de auditoria; • Estabelecimento de uma base para procedimentos legais em caso de ataques.

  4. Importância • É o primeiro e principal passo da estratégia de segurança de uma organização. • Através dela são definidos todos os aspectos envolvidos na proteção das informações. • Pode evitar problemas para a empresa: • 1996 – New Jersey, NY, EUA - Omega Engineering • Timothy A. Lloyd implantou uma bomba lógica na rede que causou prejuízos calculados de U$ 12 milhões!

  5. Planejamento • Políticas: • Elementos que orientam as ações e implementações futuras • Normas: • Abordam os detalhes: • Passos da implementação • Conceitos e projetos de sistemas e controles • Procedimentos: • São utilizados para que os usuários possam cumprir o que foi definido na política e os administradores possam configurar os sistemas de acordo com a necessidade

  6. Planejamento • Padrões de referência: • British Standard (BS) 7799 • ISO/IEC 17799

  7. Elementos de uma Política de Segurança • Vigilância: • Entender a importância • Processo regular e constante • Atitude: • Postura e conduta • Planejamento correto • Estratégia: • Criatividade • Adaptabilidade • Produtividade • Tecnologia: • Escolher as melhores ferramentas • Múltiplas tecnologias adotadas

  8. Elementos de uma Política de Segurança • Segundo o norma ISO/IEC 17799 uma política de segurança deve seguir as seguintes orientações: • Definições • Declaração de comprometimento • Explicação das políticas, padrões e requisitos • Definição de responsabilidades • Referências

  9. Elementos de uma Política de Segurança • Não deve conter detalhes técnicos ou procedimentos • Deve conter regras gerais e estruturais que se aplicam a toda organização • Deve ser flexível para não sofrer alterações constantes • Deve ser abrangente para permitir possíveis exceções • Deve ser clara e curta para que seja lida e entendida por todos os funcionários • Acrescentar políticas, normas e procedimentos para áreas específicas

  10. Considerações para definir uma boa política • Conhecer os possíveis inimigos • Contabilizar os valores • Identificar, examinar e justificar as hipóteses • Confidencialidade • Avaliar os serviços estritamente necessários • Considerar os fatores humanos • Conhecer os pontos fracos • Limitar acesso • Entender o ambiente • Limitar confiança em sistemas • Implementar segurança física • Considerar a complexidade • Aplicar medidas compatíveis com o negócio

  11. Pontos a serem considerados • Segurança X Serviços • Evolução constante • O que não foi permitido deve ser proibido • Nenhum acesso externo à rede interna deve ser permitido sem controle de acesso • Simplicidade na implementação de serviços • Realização de testes • Acesso remoto deve ser protegido com autenticação e criptografia • Sistemas devem utilizar senhas criptografadas • Dispositivos móveis devem ter suas informações criptografadas (VPNs)

  12. Implementação da política • Parte mais difícil • Ponto mais importante: Educação • Ampla divulgação (total, se possível) • Executivos e Diretores devem apoiar e seguir • Pode levar anos até conseguir o efeito esperado • Deve fazer parte do orçamento da empresa • Aplicar a política rigorosamente (punições) • Auditoria, monitoramento e revisão constantes

  13. Maiores Obstáculos para a Implementação • Falta de verbas • Falta de visão dos benefícios • Falta de apoio • Visão reativa em vez de pró-ativa • Falta de conhecimento técnico • Falta de comprometimento • Falta de processos disciplinares

  14. Estrutura de uma Política de Segurança • A política de segurança deve refletir a própria organização • A política de uma empresa não deve (nem pode) ser aplicada a outra apesar de existirem pontos comuns • Exemplos de documentos de políticas de segurança

  15. Referências • NAKAMURA, E. T. Segurança de Redes em Ambientes Cooperativos. Novatec, São Paulo, 2007. • NBR ISO/IEC 17799 (2001)

More Related