Avaliação do Risco - Parte 1

Como  um gerente de segurança está assegurado que os ativos da companhia estão sendo protegido? 

Se são precisas melhorias, como  determinar quais porções do que é necessária para o para modificar o sistema de segurança, ou se o mais recente controle de acesso sensor tecnologia é necessária? 

Uma avaliação de risco pode responder estas perguntas e pode promover um desenvolvimento estruturado de modificações de sistema de segurança. Se corretamente aplicado, uma avaliação de risco, melhora e alinha o apoio da administração sênior por encarecimentos sistemáticos de segurança . Isso permite a uma companhia a aplicar recursos de segurança da maneira mais custo-efetiva para a área de segurança, com o melhor aproveitamento da relação custo-benefício. 

Quando uma companhia decide que este tipo de análise de risco está garantindo, o gerenciamento do projeto, tipicamente o diretor ou responsável  da segurança, deveria desenvolver um plano  identificando:  

-         tarefas principais;

-         marcos ou objetivos ;

-         e    recursos.  

O processo para cada companhia pode variar de acordo com as preocupações de operações, mas toda análise de risco deveria começar com a formação de comitê de avaliação, e seu componente principal deveria ser uma análise de vulnerabilidade, exposição desta vulnerabilidade, medidas de proteção e aceitação ou não dos riscos.  

Política de Segurança - Parte 20

Os principais benefícios de uma boa política de segurança

Após a adoção de uma metodologia para a criação da política de segurança e a sua devida implementação, a organização tende a se tornar mais segura a cada revisionamento da política.

É importante que se tenha como prioridades na implementação de política de segurança, como objetivo principal a proteção de ativos de informação da organização. Sem isto, não é possível implantar tamanha mudança cultural dentro da organização.

Com a implantação correta, distribuída a todas as ramificações da empresa, é possível que o plano de segurança seja passível de alcançar sucesso.

Conclusão

 

Conforme visto em todas as metodologias de criação e manutenção de politica de segurança,  é possível que as organizações tenham isto, como base para o sucesso do plano de segurança.

O ponto principal durante a criação e revisão de politicas de segurança, é a questão da mudança cultural de uma organização. Não terá pleno sucesso, metodologias que façam com que os usuários finais, tenham  que aceitar  (muitas vezes “goela  abaixo”) mudanças em suas formas de trabalho e rotinas diárias.

Por mais, que se fale a respeito, durante o plano de conscientização, que as pessoas estarão recebendo novas maneiras de se trabalhar a informação, a resistência (dependendo do metodo empregado para o plano de conscientização) irá ser grande, pois as pessoas não aceitam facilmente novas formas de controle.

Todas as pessoas, gostam de liberdade. Porém toda liberdade tem seu limite, e um dos principais papéis da política de segurança, é delimitar as fronteiras de tais liberdades, quando no ambiente operacional, principalmente de computação distribuida.

Com isso, podemos verificar a importância de toda a concepção até a implantação definitiva da politica de segurança.

Política de Segurança - Parte 19

Exceções para exigências de segurança de informação 

Organizações devem ter uma política de exceção de segurança, até mesmo se as exceções são limitadas a condições extremas ou situações de emergência. Até mesmo a segurança básica controla, como deve ser a autenticação de usuários, deveria estar sujeito a exceção , por exemplo, preservar o  anonimato ou segregação de deveres. O dono de informação e pelo menos um nível de administração sobre o dono deveria ser juntamente responsável para autorizar qualquer exceção. Tal autorização pode ser estendida a níveis mais altos para exceções significantes. O dono de informação deveria ser responsável para informar os , provedores de serviço, e usuários da informação, como também a unidade de segurança de informação, sobre as exceções. A auditoria e unidades legais podem desempenhar bons papéis no processo. 

Um exemplo de uma forma de exceção inclui os tópicos seguintes: método alternativo a ser usado, controle de dial-up  para um microcomputador não conectado a uma rede, comunicação controlada, controle de comunicação de informação sensível sem criptografar , e uma categoria  para exceções adicionais. Esta lista demonstra a gama larga de exceções que uma organização pode precisar cobrir, e demonstra a ênfase em assuntos  particulares que freqüentemente podem surgir. A categoria de situações de coberturas de um padrão de proteção específico não pode ser totalmente ou parcialmente  ignorado sem uma substituta alternativa. 

 

 

Política de Segurança - Parte 18

Acordos de segurança ou Confidencialidade

Organizações de grande porte exigem que  os empregados  assinem um acordo de segurança no contrato inicial para o  emprego l e em uma base anual depois disso. Este é um modo excelente para alcançar responsabilidade, porque assegura que os membros da organização   para a revisão as políticas e entende que eles serão seguramente  responsáveis para a execução de penalidades a eles. Acordos também poderiam incluir a não divulgação  de segredos de comércio, um código de éticas, e assuntos de privacidade. Muitos bancos usam acordos de segurança para os seus executivos,  normalmente não são exigidos para os empregados de baixo nível que assinem tais acordos embora eles devam se os seus deveres s envolverem documentos estratégicos ou de alto confiança sobre  ativos. 

Organizações freqüentemente só requerem acordos de segurança para os consultores externos e contratados, enquanto assumem  que o acordo de empregado comum  estipula aderência às políticas da organização e cobrirá  somente algumas nuances da polítca. O ambito motivacional e assuntos de responsabilidade , podem afetar a empregados e contratados  quando avaliações,  e sanções não acompanharem estes acordos. Assinando tais de  acordos não é bastante; as pessoas precisam ser motivadas .  

Um bom exemplo de acordo de confidencialidade precisa descrever e deixar claro os deveres e direitos a que está sendo submetido o assinante de tal acordo. 

Os acordos devem ser bilaterais, ou seja, deve garantir o sigilo dos dados para ambas as partes.

Um bom exemplo de modelo pode ser visto no link abaixo.

http://blog.api.adv.br/wp-content/uploads/2012/01/Modelo-de-Termo-de-Sigilo-e-Confidencialidade-de-Empregado-para-API2.pdf

Política de Segurança - Parte 17

Motivação e materiais de consciêntização

Também podem ser usados materiais de promoção para motivar a segurança  entre os usuários e gerentes, particularmente esses devem ser dispersado amplamente às organizações . Afinal de contas, segurança está nas mãos deles, e é difícil ou impossível de monitorar o desempenho deles com respeito a segurança Muitas organizações usam uma combinação dos seguintes materiais: 

 

·        vídeos 

·        relatórios informativos 

·        panfletos, brochuras, 

·        sinais 

·        cartazes 

·        café assalta 

·        canetas e lápis 

·        blocos de rato de computador impresso 

·        screensavers 

·        bandeiras de logon 

·        bloco de notas 

·        artefatos de mesa 

·        camisetas 

·        adesivos 

 

Materiais de promoção devem ser consistentes com as práticas culturais da organização e devem ser projetados  para atrair às audiências apropriadas. Algumas organizações para patrocinarem  a segurança de informação promovem  seminários  todos os anos para elevar a consciência dos empregado quanto à segurança (embora alguns peritos de segurança discutem que durante este tipo de evento as pessoas dedicam atenção para depois ignorar a segurança durante o resto do ano). Um CEO que acredite fortemente em uma prática de mesa limpa ao término de cada workday ou dia de trabalho se a segurança monitorando ache qualquer documento de companhia de divulgação restrita  na escrivaninha de um empregado ou um computador que ainda ligado sem proteções de senha, o empregado tem que visitar o CEO para explicar como aconteceu.

Em algumas empresas foi verificado  alguns esforços de promoção em que os usuários interpretam como piadas ruins. É provável que estes esforços tenham um efeito negativo em segurança como vídeos Instrutivos são especialmente vulneráveis a desgastar o tratamento. Porque a maioria das pessoas é acostumado com  alta qualidade (em termos de produção, não necessariamente conteúdo), programas de  alta qualidade , e segundo seus padrões o uso  de materiais de treinamento em vídeo somente serão aceitáveis se forem do tipo “best-seller” , dessa maneira a aceitação terá indices  muito altos. Episódios de teatro   com concentrações irreais de violações óbvias de segurança e soluções são os piores ofensores. 

Mas não importa como efetivar  a  promoção e materiais de treinamento  e  treinamentos de conscientização  de empregados sobre a  crescente  necessidade de  segurança, conscientização não é bastante sem a motivação de todas pessoas sem que elas vejam uma posição de confiança em  proteger  os ativos da organização. (Veja Dr. Mich E. O papel " da  Psicologia Social e em Segurança de informações (Infosec): “Fatores psicológico-sociais na Implementação de Política  de Segurança de Informação” .Ele provê um guia excelente e  inclui 35 recomendações,  incluindo limites de  mudanças culturais a passos com  pequenas dicas. Este paper  ganhou o prêmio de melhor  papel na 16º E.U.A. Conferência de Segurança de Computador Nacional, patrocinada por NIST e NCSC em 1993.) 

Política de Segurança - Parte 16

Motivação para segurança por interesses próprios

É visto que as áreas de  segurança pecam  em muitas  organizações   em seu ponto de vista  de como a  unidade de segurança de informação e controles técnicos poderem  afetar o  desempenho dos usuários da organização e administradores de sistema para assegurar que os controles e práticas trabalhem efetivamente . Muitos usuários a praticam  de lábios , eles têm poucos esforços de segurança quando eles não estão sendo assistidos ou até sofreram uma perda,   mas a segurança deteriora no final das contas por falta de uma motivação natural, contínua em face à pressão dominando de desempenho de trabalho.

Em contraste, computadores mantêm seus perfis de segurança porque é construído no sentido de usarem tais recursos quando customizados para isto (isto é se administradores e usuários não  mexam com estes recursos). É necessário  construir a base de segurança no desempenho das pessoas. Muitos peritos de segurança de informação reclamam a que não pode ser feito, porque o desempenho de segurança não pode ser medido, contudo eles estão ansiosos em tentar medir o risco de perda de informação. Eles reclamam que os gerentes não poderão sustentar a discussão explícita de segurança em avaliações anuais  de seu pessoal  , por causa das pressões de motivar desempenho de trabalho de pessoal que conta para o sucesso dos gerentes. 

Se os empregados sabem que observando medidas de segurança inibirão a habilidade deles para alcançar objetivos de trabalho especificada pela administração, como  incentivar eles a  levar a cabo estas medidas? A motivação primária para segurança de informação tem que vir de recompensas e penalidades diretamente associado com desempenho de trabalho; caso contrário, os membros da organização vêem a segurança como estando em conflito com o desempenho de trabalho deles/delas. Empregados sabem que eles podem melhorar o desempenho deles/delas e podem receber posição e renda  e avanço nos trabalhos deles/delas evitando os constrangimentos de segurança por exemplo, um empregado pode trabalhar mais rapidamente e melhor sem ter que pausar para fazer auxilio, usar software pirata, evitando  armazenar informação sensível sem segurança.

 Os interesses pessoais de desenvolvimento no  trabalho e compensação financeira são  motivadores primário em um emprego, e deve ser incluída a segurança de informação como regra para  evitar o conflito com eles. A organização tem que fazer três coisas para satisfazer esta necessidade fundamental para a  segurança realmente ter sucesso: 

 

1.           Inclua tarefas específicas para proteger, e definir o  responsável para  o empregador estar incluindo  descrições de aplicação da segurança  nos cargos.

 

2.      Inclua avaliações específicas e discussões com apoio dos empregados   para a prática de segurança em avaliações de desempenho anuais de trabalho . Note qualquer esforço exemplar no interesse de segurança como também qualquer violação de segurança caso aconteça.

 

3.      Motive os gerentes principais (diga-se aí a diretoria da organização) para  assegurar o apoio deles pela segurança e a ênfase sincera deles  nas avaliações do desempenho de trabalho dos empregados . Empregados geralmente seguem a dianteira dos gerentes que devem desempenhar um  papel modelo para segurança de informação  .

 

Os gerentes podem considerar que vários fatores podem servir para avaliar performance de segurança em avaliações de desempenho  anuais, enquanto que incluindo, mas não limitado a: 

 

·        Ações que causem  ou resultem  em  perdas de informação relacionadas  .

·        Fidelidade e efetividade de executar tarefas de segurança  .

·        Endossos  de desempenho de segurança a bons  empregados por coordenadores de segurança, clientes, e parceiros.

 

·        Recompensas e prêmios  para desempenho de segurança exemplar 

·        Citações de violação de segurança 

·        Elogios e críticas incluídaa em relatórios de auditoria para a alta gerência.

·        Informar sobre suspeitos de vulnerabilidade  e incidentes de perda.

·        Usando controle efetivo de segurança, como software anti-vírus .

·        Freqüência de treinamentos  e apresentações de planos de consciêntização.

·        Familiaridade com documentos de segurança atualizados.

Em alguns procedimentos de avaliação, o processo começa com um gerente que declara suas expectativas em relação ao empregado, seguido  pelo empregado que declara suas metas  por escrito. Identificado isto , o próximo passo deveria incluir uma declaração geral em proteger os ativos da organização, especificando  que  ativos específicos devem ser protegido,  serem mantidos, e controles novos ou modificações de controles que poderão serem feitos. Isto requer identidade clara de donos, provedores, guardas, e usuários dos ativos e controles, desde que os donos " de controle " ou operadores precisem ser diferenciados desses que são constrangidos pelo controle. 

Outra tática útil é desenvolver descrição de cargo e práticas de avaliação que endereçam a  segurança às suas prática diárias, então os aplique a título de teste em alguns unidades particularmente satisfatórias antes de rodar o conceito fora para um número maior de unidades. Por exemplo, você poderia começar com TI e as unidades de segurança para demonstrar a viabilidade da experiência. Especialistas de segurança em qualquer organização deveriam ser os primeiros em ter segurança no desempenho  de suas funcões e criar motivações incorporado nas suas revisões . Embora os títulos de cargo  podem não identificar os aspectos de segurança das posições , eles geralmente possuem muito da informação sensível dentro de uma organização e idnetifica quem têm deveres sensíveis. O sucesso  da segurança requer motivação  extra e consciência de sua importância à organização. 

Política de Segurança - Parte 15

Motivando  os usuários finais  para segurança de informação

Se não pode ser feita com que a segurança de informação seja transparente para usuários, deve, pelo menos, ser de fácil compreensão .Isto requer que freqüentemente seja minimizado os constrangimentos que impõe tais assuntos  e achar modos para motivar as pessoas para usar os procedimentos de segurança. 

Os três principais  motivos importantes em negócios para apoiar segurança é: reação  a perda, evitar negligência, e agregar  valores estratégicos aos  negócios. 

Quase todos nós somos mais amenos a segurança depois que nós sofremos uma perda. E nós geralmente ganhamos paz de mente tendo segurança para a que é comparável (ou melhor que) a outras, semelhantes organizações. Finalmente, se segurança aumenta nosso negócio, por exemplo nos dando uma vantagem estratégica em cima de nossos competidores, aí  nós somos motivados continuar ou aumentar isto. 

Um quarto motivator importante que é identificado em algumas organizações  é, o uso de recompensas para quem pratica a segurança de informações nos negócios. Envolve  recompensa financeiras ou caso contrário e penalidades em revisões de desempenho de trabalho anuais.

 

Fatores de motivações

Uma organização que trata sériamente  as questões sobre segurança reconhece a necessidade por fatores motivadores e afeição a objetos que sirvam para  desenvolverem algum aceitação  de programa de  segurança. Tal programa deveria empregar os  seguintes fatores de motivação: 

 

·        Antecipação e recebimento de recompensas 

·        Medo e experimentação de sanções 

·        Ética, honestidade, trabalho, convicções sociais e religiosas 

·        Experiência de perda pessoal 

·        Outras tipos de  perda  

·        Agradecimento e dedicação do empregado 

·        Proteção de investimento de esforço, dinheiro ou outro recurso 

·        Proteção ou adiantamento por boa  reputação 

·        Desejo competitivo de superar limites ou baselines 

·        Desenvolvimento de novas aptidões

Um exemplo extremo de motivação seria requerer de um empregado ou, mais praticamente, um contratado para pagar um depósito ou unir-se  para indenizar o empregador contra perda dos atos de indivíduos. Outro seria usar experiência de perda para reforçar a necessidade por segurança. Porém, os dois universais, motivadores são recompensas e sanções. Recompensas normalmente envolvem avanço de trabalho, remuneração financeira (freqüentemente na forma de gratificações específicas por comportamento de segurança exemplar), e a satisfação de um trabalho bem feito. Recompensas também podem ser prêmios ou reconhecimento por  desempenho exemplar em uso da segurança , ganhando uma competição entre grupos que mais  ou  menos informou o auditor de segurança  ou para o número mais alto de dias contínuos sem um acidente ou ocorrência de ações de insegurança. Recompensas podem ser placas de reconhecimento para se manter em escritórios, propoganda dos ganhadores em canais de televisão , ou vagas especiais em estacionamento com  privilégios. 

Sanções tipicamente   envolvem perda de posição ou remuneração, mas há muitos outros tipos de sanções que as organizações podem aplicar .Uma publicação interna que anuncia que alguém (sem revelar nomes) tenha  revelado  uma senha publicamente e é requerido a  todo o mundo no grupo mudar as senhas imediatamente quando tal lapso aconteça. Isto produz uma  pressão para manter segredo de senhas, porque ninguém gostou de ter que aprender uma nova. Demissão e ação legal são os tipos mais severos de sanções.  

Política de Segurança - Parte 14

Guias por Implementar Padrões - parte 2

Algumas organizações distribuem os documentos eletronicamente, mas
muitos usuários as imprimem antes de ler de qualquer maneira porque eles não gostam de ler texto de telas. Isto ainda faz das diretrizes de papel impresso a forma mais popular. Diretrizes também incluem métodos por alcançar segurança como baseline, revisões , teste de segurança de sistemas , e como usar planos de recuperação empresariais. Alguns guias são tamanho formato manual impresso; outros estão em brochura ou em forma de panfleto. Organizações deveriam os distribuir com a assinatura de algum executivo para expressar ainda um pouco de autoridade e uma mensagem sobre o uso deles/delas em um memorando de cobertura ou carta.

Um exemplo é Diretrizes para Systems de UNIX :Usando as praticas de ferramentas de Segurança Unix do site Unix Security entre outros Métodos. Trata da plataforma de UNIX genérica mas descreve o uso de uma ferramenta de segurança comercial específica. O nome do autor especificamente é identificado, enquanto permitindo para os leitores voltar para a fonte para ajuda adicional. Foi escrito para os administradores de sistemas e administradores de segurança de computador e sistemas UNIX dentro de uma unidade empresarial, ele reconhece mas não tolerara a prática de prover estas duas posições com a mesma pessoa. As referências do autor , os padrões aplicáveis no material de prefácio claramente indica que este documento completa, em lugar de substituir, esses padrões. O autor inclui várias seções dos padrões primários ao término das Diretrizes documenta, endereços , os tópicos de administração, integridade de sistema geral e controle da segurança de rede ,14 padrões de segurança, e workstation e padrões de LAN.

Práticas do SANS Instutue também é outro bom exemplo. O documento aplica a qualquer uma organização que patrocinou as Diretrizes. O documento discute vulnerabilidade de segurança prováveis de acordo com a filosofia expressada por aquela administração de forma que o leitor irá entender as ramificações de várias exposições de segurança. O documento define a terminologia que usa. Por exemplo, deve-se pretender implementar imediatamente; deve-se pretender seguir a ação indicada a menos que haja uma razão significante para fazer caso contrário; e designa meios que um artigo de controle ou prática pode ser opcionalmente usados para aumentam adicionalmente a segurança de sistema. Também inclui seções em terminologia de segurança, responsabilidades de pessoal, segurança física de LANs, auditoria e recuperação de desastre. O Apêndice inclui um checklist de conferencia de avaliação, amostra de tela de advertência , declaração de confidência, e há um índice.

Política de Segurança - Parte 13

Guias por Implementar Padrões - parte 1

Especialistas de segurança de informação precisam descrever controles de modos uniformes. Os padrões, ou menos comumente, as diretrizes, também deveria prover ajuda para selecionar, enquanto implementando, controles operacionais. Muitos padrões descrevem proteções mas não definem as características ou ressaltar quais que eles deveriam ter. Em um ambiente de computação distribuído, é crucial dar as pessoas que são freqüentemente sem experiência em segurança, orientação em o que constitui uma boa proteção, e explicar como instalar e opera-la.



DIRETRIZES (Guidelines) E APOIO TÉCNICO

Existem muitos tipos de diretrizes, incluindo algumas que são técnicas e especificas para plataformas, que tratam do gerenciamento e metodologias próprias. Algumas organizações confundem os assuntos usando o intercambio entre diretrizes ,com políticas e padrões dentro do mesmo documento.

Um dos papéis primários do administrador de segurança de informação é escrever o material necessário para comunicar segurança aos usuários de computação distribuídos. Mas desde que eles não podem ficar suficientemente especialistas provavelmente nem tudo dos assuntos técnicos sejam necessários, outros peritos têm que desenvolver as partes técnicas do material para diretrizes de segurança. Os documentos deveriam possuir integridade e autenticidade, ser auto-explicativo, útil, e não inibidor . Eles podem ser escritos em modo de um só tempo para uso on-line, como encorajado pela administração de boa base de conhecimento.

Uma companhia cria grupos de tarefa de peritos para escrever drafts de diretrizes .O pessoal de segurança de informação central os converte então em padrão, de forma editada. Os editores profissionais não são usados, mas um departamento de publicações faz a maquilagem e imprimindo. Diretrizes compartilhanda entre toda a organização são freqüentemente muito benéficas a todas as partes porque muitas diretrizes são orientadas a sistemas em particular (políticas descentralizadas) em lugar de aplicações específicas; embora muitas diretrizes são para plataforma dependentes, elas não possuem organização dependentes. Formas eletrônicas de diretrizes os fazem mais fácil de compartilhar e modificar, até mesmo quando elas são dependentes de outras áreas para sua aplicabilidade. Vendedores também podem prover diretrizes que, em alguns casos, é desenvolvido em cooperação com os clientes deles/delas.

Política de Segurança - Parte 12

Ainda sobre exemplos de Padrões

Padrões variam amplamente entre organizações, enquanto demonstrando a diversidade de culturas corporativas e o uso de suas terminologias. Muitos dos padrões não são consistentes com respeito a políticas descritivas ou obrigatórias.

Um NIST ou padrão industrial é um exemplo, enquanto o Information Security Code of Practice for Information Security Management é um outro exemplo

Uma grande corporação industrial multinacional divide seu Guidebook em duas seções: um em Avaliação de Risco que requer 200 páginas; e um em Políticas de Segurança, Padrões, e Guidelines que levam outras 100 páginas. O Guidebook também inclui vários formulário de auto avaliação , alguma cobertura de vulnerabilidade de engenharia social, e em na segunda seção uma discussão útil de lei norte-americana inclusive o Ato de Segurança de Computador de 1987 e resumos de outras leis pertinentes.

Políticas, guias, e padrões não são distinguívéis no Guidebook com exceção de pistas de execução implícitas em palavra uso como deva, esteja seguro para, impor graus de imperativos. O estilo é uma mistura de texto de bulleted formal e prosa informal que atraem a usuários. O documento provê conselho e instruções como Como Informar um Incidente na descrição da unidade de CERT interna. Também provê nomes, números de telefone, e locais de escritório de administradores de segurança que requerem serem atualizados freqüentemente.

Política de Segurança - Parte 11

Alguns exemplos de Padrões e informações distribuida

Uma boa prática na organização e operação prática da política de Segurança é a utilização de padrões ou standards para operações de TI e de práticas operacionais nas organizações

Esta seção discute só padrões internos, esses que só se aplicam dentro de uma organização e entre suas unidades empresariais. Padrões externos têm freqüentemente um longo tempo para adoção e até serem reconhecidos ou incorporados em padrões internos como apropriado.

Padrões de segurança de informação internos são controles obrigatórios e práticas aplicadas pela organização à extensão que divergências requerem aprovação de administração explícita. Algumas unidades empresariais podem ser tão incomuns ou distintas nas atividades de processamento de informação deles que a necessidade deles requerem por padrões de segurança especializados, mas estas deveriam ser exigências de padronização.

Em um ambiente de computação distribuído, as unidades funcionais podem revisar e aprovar padrões estabelecidos por uma unidade central para aplicabilidade e praticidade , desde que não é possível estar atento de todas as implicações fora das unidades funcionais. Algumas unidades têm uma central de atendimento (lidando com clientes) e um escritório por trás (lidando com o processar da informação do cliente e administração da unidade). Um escritório de corretagem de seguranças local é um exemplo típico. Eu consideraria que estes são duas unidades separadas para propósitos de segurança, por causa da necessidade para segregação de deveres e teor diferente dos padrões para os carregar a tipos diferentes das pessoas (por exemplo, investigadores, vendedores, pessoas de serviço gerais , e as pessoas de escritório).

Enquanto uma política puder ser única em uma ou duas páginas em comprimento, um documento de padrões interno pode variar de dez a mais de 100 páginas, enquanto dependendo de sua extensão e detalhes. Comprimento também depende de quanto você pretende comunicar na forma de diretrizes que apóiam os padrões. (Diretrizes são consideradas descritivas em lugar de obrigatório).

Algumas organizações, por longa prática ou tradição, não seguem estas definições. Uma organização pode fazer suas diretrizes obrigatória, enquanto outra faz seu descritiva de padrões.

Por exemplo, o Departamento de REINO UNIDO de Comércio e Indústria nomeou suas diretrizes publicadas que representam as opiniões de coletivo de nove organizações de melhores práticas " UM Código de Prática para Administração " de Segurança de Informação. Não é um código por qualquer definição correta de código. O Código é agora um padrão britânico que é desciritivo [em lugar de obrigatório, qual código insinua] e não obrigou através de lei. No final das contas, considerando a facilidade e frequentemente de comunicar informação internacionalmente através das novas mídias, será de grande benefício se as organizações estiverem mais íntimas com estes significados. Os Princípios de Segurança de Sistemas Geralmente Aceitados independentemente patrocinados (GASSP) é um passo principal nesta direção.)

Nota:GASSP é a sigla de Generally Accepted Systems Principles ,muito usada no Reino Unido – Inglaterra.

Política de Segurança - Parte 10

A Política de Segurança da Informação e a Cultura das Organizações

Política também é importante em ambientes de computação distribuídos como meios de estabelecer disciplina de segurança para um grupo grande, discrepante de usuários e unidades de negócio que geralmente são localizados só por comunicações formais e auditoria. É particularmente importante quando a organização possui contratos com pessoal temporário pesadamente.

A Política deveria aderir às práticas aceitadas de uma organização, contudo tirando proveito de todos os métodos práticos por influenciar o comportamento e disseminar informação dentro do ambiente de computação distribuído.

Pode-se desejar incluir um código de ética como parte da política ou recorrer a um código separado na política. É recomendável um código separado que acompanha a política em todo caso, a política deveria especificar um código e sua execução .

Política de Segurança - Parte 9

Checklist de Tópicos para Política de segurança da Informação

Uma política de segurança de informação deveria cobrir cada dos artigos seguintes, ou tendo uma razão específica por omitir isto, de acordo com noções de padrões adotados pela organização .

• Importância de ativos .
• Necessidade para segurança (Diretrizes Legais nos Princípios de Segurança de Informação podem ser úteis – Exemplo ISO 27001).
• Leis administrativas e regulamentos .
• Aderência para leis, regulamentos, padrões industriais, e padrões de cuidado devido .
• Aplicabilidade para todo o corpo pessoal e terceiros contratados.
• Elementos , funções, e escopo de segurança .
• Tipos, representações, formas, e mídia de informação coberta.
• Perdas definidas.
• Valor Estratégico e tático de segurança .
• Classificação de informação .
• Privacidade (as Diretrizes de Privacidade podem ser úteis)
• Responsabilidade, motivação, recompensas e penalidades
• Relatórios de perdas suspeitadas e tentativas de violações.
• Resposta a emergência, recuperação de desastre, e continuidade empresarial

• Gerenciamento da segurança e sua equipe.
• Tarefa de implementação de segurança
• Especificação de padrões, diretrizes, treinamento, e consciência
• Divergências , exceções, e mudanças para políticas e padrões
• Especificação execução de comportamento ético

Também deveria incluir um glossário, um apêndice que contém requisitos legais documentado, e opcionalmente uma lista de objetivos de controle:

• Administração de segurança
• Segregação
• Exceções de padrões
• Segurança física
• Controles administrativos e operacionais
• Monitorando, usando softwares de controles lógicos
• Identificação e autenticação
• Trilhas de auditoria, diagnósticos, e relatórios de violações
• Disponibilidade de informação e utilidade
• Integridade de informação e autenticidade
• Informação Confidencial e posse
• Registro de software comercial
• Desenvolvimento de aplicação
• Uso de teste dados
• Controles internos de aplicação
• Transações
• Uso da Internet
• Operação de redes e características de administração de sistemas de segurança
• Segurança de rede
• Servidor de arquios, firewall, router, switch, bridge, hub , modem, linhas de comunicações, e controles de gateways

• Comunicações
• Status
• Sinais de advertências
• Dial-up

• Planejamento e teste de reassunção empresarial
• Segurança pessoal
• Desenvolvimento e aquisição de segurança
• Cliente, contratante e segurança de outsourcing
• Avaliação e teste de produtos
• Revisões de segurança

Política de Segurança - Parte 8

Importância de Política

Políticas são significativamente mais importantes em um ambiente de computação distribuído que um ambiente centralizado por causa do desafio aumentado de constranger atividade de um local remoto. Tais políticas também devem estar completas e claramente têm que declarar tais medidas são para reduzir o quanto estar seguro é importante para a organização e que tal mensagem seja por eles são compreendida.

Políticas deveriam incluir descrições gerais e responsabilidade para unidades empresariais e funções em lugar de os nomes de indivíduos, de forma que eles podem transcender mudanças organizacionais, e deveria ser limitado a conceitos gerais em lugar de controles específicos (se você tem que incluir controles particulares). Por exemplo, uma política declara que:
“Cada usuário de computador deve ser autenticado por um método aceitável” em lugar de o mais específico.
“Cada usuário de computador deve ser autenticado por uma senha de seis-caráter” não precisa ser mudado quando símbolos substituíres senhas

Política de Segurança - Parte 7

Tipos de politicas

Estabelecer políticas de segurança é muito mais um assunto cultural, do que propriamente criar normas e padrões a serem seguidos. Apoio de administração, teor, e distribuição dependem de história, experiência de perda, tipo de negócio, filosofias pessoais de administração de cúpula, políticas prévias, e outros fatores na organização.

Se a cultura apoiar políticas escritas específicas em vários assuntos como TI, vários serviços internos e éticas, então é provável que uma política escrita de segurança de informação existirá. Algumas organizações têm uma política de não ter escrito políticas.

Se uma organização tem uma política escrita e distribui isto ao longo da organização, deveria ser obrigatório seu conhecimento e deveria refletir as exigências de administração de cúpula para comportamento organizacional. Quando políticas são escritas, há um nível suficientemente alto de abstração, elas não precisam ser tão rígidas que não possam sofrer alterações com o decorrer dos negócios. Na verdade, no ritmo em que andam as grandes organzações (com fusões, vendas de unidades, novos produtos e mercados) a política de segurança, deve acompanhar as mudanças nos negócios.

Quando são escritas políticas ao nível mais alto de abstração, elas geralmente são compostas só de alguns páginas menos que cinco. Algumas organizações incluem exigências operacionais na forma de objetivos de controle com as declarações de política deles. Outros combinam breve, declarações de política de alto-nível com padrões mais detalhados, criando um documento que contém políticas e padrões. Este tipo de documento pode criar problemas, porém, se quiser mostrar para qualquer um suas políticas e, fazendo assim, também tem que revelar vice-versa sua padronização. É prática geralmente boa para separar política de alto-nível de padrões específicos .

Políticas operacionais são tipicamente mais longas que declarações de política de alto-nível; algumas organizações recorrem a estes como documentos de padrões. O principal executivo da organização é quem normalmente assina tal documento para dar a isto a própria autoridade. Algumas organizações publicam isto em um panfleto e incluem um quadro do CEO ou presidente e cita uma mensagem pessoal deste indivíduo.

Política de Segurança - Parte 6

Política de segurança - Responsabilidades de redação

O pessoal de segurança de informação deveria escrever as políticas e padrões e passar para aprovação da alta gerência e após, submeter ao departamento de TI para implementações debaixo da direção do pessoal de segurança de informação e este deveria ser responsável para traçar políticas apropriadas e atualizações de política.

Como uma alternativa, algumas organizações nomeiam a responsabilidade a um grupo de tarefa debaixo dos patrocínios de um comitê de administração; este é um arranjo comum quando as políticas estão sendo escritas ou atualizadas junto com uma reorganização ou reengenharia mais drástica da unidade de segurança de informação.

Geralmente não é uma idéia boa delegar a criação da política que a consultores externos, pois desde o estilo e forma das políticas deveria ser consistente, coexistente com a organização e deveria refletir a cultura da organização.

Antes de traçar novas políticas, pode-se achar útil revisar as políticas de outras organizações semelhantes e os usa como modelos para seu próprio.

Política de Segurança - Parte 5

Breve Metodologia geral para disseminação de Segurança da Informação

Nos próximos paragrafos, é esboçado uma metodologia sugerida para administrar segurança de informação indiretamente por gerentes de usuários de informação e TI , também pelos líderes ao longo da organização.



1.Forme um comitê com representantes da administração (de cúpula) das unidades da organização nas quais a maioria utiliza informática.
A aprovação do comitê também tenderá a manter o princípio de top-down na ordem de decisões de segurança de informação.

2.Crie consciência e motivação para segurança de informação
Uma boa idéia é amar a segurança ao desempenho de trabalho, informando aos usuários das informações contidas em sistemas computacionais sobre as ameaças e vulnerabilidadse, e fazendo disponível a eles soluções de proteção válidas para fins particulares e controles para evitar negligência.
Faça das questões de segurança uma parte de descrições de cargo e inclua como uma exigência em salário e avaliações de desempenho junto com descrição de recompensas e penalidades. (Os gerentes precisam de treinamento e motivação para administrar tais avaliações.)
Indique a necessidade para evitar negligência satisfazendo a um padrão de cuidados devidamente relativos para outras organizações semelhantes como competidores e dentro da organização entre unidades semelhantes. Tenha certeza que a organização trata a negligência seriamente.
Ilustre as conseqüências à organização de fracassos de segurança por estudos de caso de perdas.
Demonstre a efetividade e facilidade de uso de muitos dos controles de segurança que podem ajudar evitam e reduzem perda.

3.Se a organização for grande divida a tarefa. Designe os multiplicadores de segurança de informação distribuídos em unidades de usuário locais e filiais .

Os multiplicadores podem ser responsáveis em:

- Orientar administradores de sistemas internos e Internet .
- Deverão fazer uso de controles de defesas (alertas, monitoramento, etc).
- Disseminar o uso correto de senhas
- Inicializar e monitorar controles físicos e de sistemas como práticas de mesas limpas e bases de sistemas criticos à suas unidades .
- Elaborar relatório de eventos incomuns e perdas para administração.
- Submeter pedidos de exceção de padrões (modificação de normas e controles para aderência ao negócio)
- Prover guias de segurança (manuais, material promocional)
- Treinar aos usuários quanto a questões de Segurança da Informação
- Distribuir os procedimentos para segurança da unidade de segurança de informação central

Creio que a forma de maior sucesso para disseminação da cultura de Segurança da Informação seja constantes campanhas promocionais na organização procurando motivar os usuários a aderirem as práticas de segurança e assim reduzir a exposição a riscos do elo mais fraco de qualquer sistema ou infra-estrutura de sistemas computacionais: o usuário.

Em minha prática, também de dizer não a qualquer solicitação de uso ou práticas que possam criar riscos aos ativos de informação da organização, é recomendável compartilhar e demonstrar os riscos envolvidos no uso incorreto daquele ativo. Geralmente os usuários ao entender os riscos, acabam concordando em manter os controles e práticas para proteger aquele ativo de informação.

Política de Segurança da Informação - Parte 4

A natureza de tamanho, e locais de unidades de segurança de informação

O tamanho, talentos, e local de uma unidade de segurança de informação dependem em grande parte na natureza, cultura, local, e tamanho da organização que deseja implanta-la.

Hoje nós vemos muitas unidades de segurança de informação com responsabilidades técnicas e administrativas combinadas localizadas embaixo da árvore de TI.

Em uma companhia com alta maturidade no assunto, um vice-presidente sênior de segurança de informação reporta-se diretamente ao CIO. Em outro caso, a unidade informa ao departamento legal, e em outro para o Controller ou CFO
.
Geralmente, organizações não esperam gastar muito dinheiro em segurança, e não é forçado a gastar a não ser por força como obedecer leis ou regulamentos que eles são “obrigados” a levar a cabo a função de orçamentos próprios para este fim.

A grande realidade no Brasil é que as empresas somente gastam com Segurança da Informação por causa de um ou a combinação dos seguintes fatores:

- Obrigações legais (SOX, CVM entre outros regulamentos);
- Recorrências de problemas e incidentes de segurança;

Somente instituições financeiras enxergam na Segurança de seus dados, alguma vantagem competitiva.

Muitos vão da mesma maneira; logo preferem se arriscar com os custos de perdas de informação, desde que eles não saibam medir ou mensurar as perdas , relativo ao dinheiro gasto em segurança para reduzir tais perdas. Muitas organizações só estão começando agora a entender que é mais fácil e mais importante arcar com algum custo orçamentário antes de uma ocorrência, onde a perda é maior.

Logo, aquela história do ROI de Segurança acaba sendo demonstrado na equação de redução do risco.

Algumas pessoas argumentam o exemplo do seguro do carro para justificar gastos com Segurança da Informação; o seguro não vai aumentar o valor do seu carro mas no caso de um sinistro ou roubo irá diminuir e muito o impacto financeiro que este trará ao segurado.

Política de Segurança da Informação - Parte 3

Ajustando a Segurança da Informação na Organização

A unidade de segurança de informação em uma organização normalmente é uma área , departamento, ou seção dentro da gestão de tecnologia ; alternativamente, pode ser uma unidade administrativa semelhante ao Jurídico , contabilidade, recursos humanos.

Segurança de informação pode estar sendo chamado segurança de dados, segurança de computador, segurança, ou segurança de sistemas, embora quaisquer destes nomes pode aplicar a só uma parte da unidade de segurança de informação. Segurança patrimonial é o nome da unidade responsável para administrar segurança física de ativos tangíveis.

Raramente a unidade de segurança de informação é uma parte da unidade de segurança de industrial, porque informática normalmente não é suficientemente entendida pelo pessoal de segurança de industrial ou patrimonial tradicional que freqüentemente tem um fundo policial ou militar.

Semelhantemente, informática é uma parte da unidade de auditoria (e é aconselhável que não seja), porque a unidade de auditoria precisa da independência para examinar o desempenho da unidade de segurança de informação objetivamente. Identificamos a unidade de auditoria como uma ferramenta mais poderosa da segurança , por causa do forte fator de monitoramento e de que alguém está monitorando os controles estabelecidos pela Segurança da Informação
Qualquer organização que incorpora a unidade de segurança de informação em auditoria tem um problema sério para resolver.

Políticas de segurança de informação, padrões, controles, administração, práticas, procedimentos, e documentos de orientação são coletivamente chamados de ferramentas de segurança de informações. Peritos de segurança reconhecem os documentos seguintes para uso em segurança de informações:

Política: Largos princípios , dita modelos de cobertura , instruções, controla objetivos (opcional).
Padrões (Standards): Controles obrigatórios de objetivos e descrições bem como princípios de implementação a serem aplicados.
Diretrizes (Guidelines): Implementação de uma política clara, ajuda e controla descrições aos fornecedores e departamentos de compra.
Treinamento e materiais de promoção: Manuais, folhetos, apresentações , vídeos, e artefatos.

As unidades de segurança de informação e tomadores de decisão dentro de uma organização típica incluem:
Conselhos de administração/executivo. Executivos com a missão de administração de cúpula da unidade de segurança de informação.
Segurança de informação. O provedor primário de política de segurança de informação, padrões, e orientação.
Equipe de segurança de dados. Unidades de tecnólogos que desenvolvem e mantêm segurança em computadores e redes.

coordenadores de segurança de informação. Os administradores e consultores dentro das unidades e debaixo da administração de linha pontilhada da unidade de segurança de informação.
Administradores de plataforma e gerentes de LAN&WAN, rede e sistema(equipe de TI). Gerentes de serviços locais às unidades de negócios .

Donos de aplicação e Informações, provedores, custodiantes, e usuários. Pessoas nas unidades responsável pela o informação da organização.

Ataque cibernético ao FMI

Até o FMI não escapa das tentativas de ataquesde hackers!


http://economia.estadao.com.br/noticias/not_71157.htm

Política de Segurança da Informação - Parte 2

Estatísticas de Incidentes de Segurança reportados ao CERT.BR

É muito interessante acompanhar as estatísticas disponibilizadas pelo CERT.BR (orgão ligado ao Comitê Gestor da Internet no Brasil que trata especificamente do tema de incidentes de Segurança da Informação).
Vejamos o quadro do ultimo período:





Fica claro para nós que apesar de muitas entidades não divulgarem os incidentes que estão expostos temos tido uma redução significativa dos incidentes reportados.

A pergunta que não quer calar é ; qual o motivo da redução?

Podemos acreditar que houve uma dimunuição devidos aos controles, cuidados e sistemas de proteção implementados.

Porém podemos também pensar que muitos incidentes(mas muitos mesmo!) não tem sido reportados.

Aqui vale minha ponderação vivendo o dia-a-dia de Segurança. Acredito que muitos incidentes não são reportados ao CERT.BR e isto acaba distorcendo um pouco a análise de segurança na Internet Brasil baseado neste indicador.

Não é culpa do CERT. Do contrário. O CERT e o Comitê Gestor muito tem feito (e um excelente trabalho) em alertar a comunidade da Internet Brasil sobre os perigos e ameaças no mundo virtual. Porém as entidades e pessoas ainda não dão a devida a atenção ao tema e preferem não reportar a realidade.

Infelizmente, ainda existem muitos problemas de fraudes financeiras a pessoas físicas e jurídicas que acabam não sendo reportadas devido a exposição que estes fatos impõem às vitimas.

De qualquer maneira é para se pensar nos indicadores.

Política de Segurança da Informação - Parte 1

Após a tomada de decisão da organização em adotar um plano de segurança de informações, será necessário planejar o que, como e quando proteger o patrimônio da informação.

A política de segurança, é um conjunto de normas, processos e procedimentos que estão em harmonia com o planejamento de segurança das empresas.

Dois fatores em tecnologia de informação estão afetando dramaticamente a necessidade de medidas em segurança da informação e a maneira pela qual estas medidas são implementadas: computação distribuída, na qual os usuários e proprietários da informação possuem alto poder de computação e seus recursos através das organizações e por outro lado o continuo crescimento dos negócios na Internet.

Estes dois fatores tem sido determinantes para a administração de segurança de informação, pois se as empresas abrem mão dos recursos tecnológicos aos usuários da organização (diga-se por necessidade de velocidade dos processos de negócios), os usuários por vezes tem usado estes recursos de maneira “perigosa”. Há também a questão da necessidade de interconectar as redes das empresas à Internet devido aos negócios que estão surgindo através da mesma.

Para as equipes de segurança, mais do que nunca, há uma extrema e continuada necessidade por planejamento para implementações dos planos de segurança.
Se a base de política de segurança, não estiver bem sólida, o sucesso de planos de segurança nas organizações tende ao fracasso.

Segurança da Informação e negócios

Dois fatores em informática estão afetando nossa necessidade dramaticamente por segurança de informação, como também o modo no qual nós implementamos isto: computação distribuída na qual os donos de informação e usuários têm os próprios computadores e redes ao longo da organização; e a confiança sempre-crescente de negócio na Internet.

A natureza onipresente de computar nas organizações põe a segurança de informação nas mãos destes donos e usuários da informação que tipicamente colocam uma prioridade muito mais alta em executar os trabalhos nomeados à eles que em fazer o uso de informação, redes, e computadores de forma como foi determinada pela segurança de informações (desde que segurança não é uma exigência de desempenho de trabalho explícita na maioria das organizações).

Eles fazem e trabalham cumprindo o que lhes determina seu contrato de trabalho , porém torna-se necessário faze-los aprender alguns dos fundamentos de segurança de informação e os aplicar à computação local deles/delas e ambientes de networking. Em grandes organizações, o grupo central de segurança de informação tem de prover orientação e direção a estes usuários, como também para os operadores dos Sistemas de mainframe que ainda existem em muitos negócios.

Esta tarefa exige para as especialistas de segurança de informação que sejam especialistas em escrever, comunicar, motivar, e ensinar sobre segurança de informação . Em diversas organizações de grande porte , geograficamente espalhadas os especialistas de segurança não podem ter nenhum contato direto com alguns dos usuários de computador e operadores, fazendo da tarefa até mesmo mais desafiadora.

E hoje no rumo acelerado do ambiente empresarial onde os usuários de informação e os especialistas de segurança de informação estão freqüentemente separados, nós temos de achar modos efetivos para enfatizar a necessidade por proteções adequadas e praticar métodos mais formais de levar a informação necessária para alcançar níveis de cuidados eficazes, providos de segurança para os empregados e administração.

Nós também precisamos fazer a segurança ser transparente, ou pelo menos “diafônico” (ou seja, com poucos constrangimentos), e equilibra-la com as metas da organização. Muitos estudos indicam que a maior mudança provocada pela computação distribuição é o reforma do departamento de segurança de informação em uma organização cujas atividades principais estão sendo escrever, publicar, treinar, e promover as normas de segurança. O trabalho técnico de segurança é primeiramente realizado na informática (TI) para depois partir aos departamentos e unidades empresariais de negócios.

Satisfazendo a padrões de cuidados básicos e evitando negligências, a força de segurança de informação e postura da organização inteira mediante ao quesito segurança de informações será medido pela reação e resposta à incidentes, se houver alguma unidade de negócio mais fraca quanto aos conhecimentos dos procedimentos de segurança ,se perdas materiais vierem a acontecer e na unidade mais fraca em segurança é onde perdas provavelmente acontecerão. Por exemplo, a filial do banco na Califórnia que deu a um hacker vagabundo de praia , um estilo de vida de milionário , pela responsabilidade exclusiva por operações de computador, trouxe vergonha e elevou dúvidas de clientes sobre o banco inteiro e todos suas filiais.

O departamento de segurança de informação tem que ajudar a elevar a consciência de segurança da organização inteira, criando motivação, e efetividade ao nível dessas partes da organização que satisfaz para um padrão de cuidado devido. Outra filial de banco, este na França, implementou uma proteção de aço volumosa que visava proteger o caixa e o computador dele no caso de uma tentativa de roubo armado. Porém, na área de clientes especiais possuía uma falha que dava passagem ao terminal de computador do caixa que estava continuamente ativo e este era usado para manutenções ao sistema.

Levaria pelo menos cinco anos no momento até estas organizações obtiverem taxas de progresso para trazer a segurança deles até um baseline de nível adequado sem avanços adicionais em tecnologia. É claro que, a tecnologia está correndo à frente a uma velocidade muito rápida

No panorama atual da informática, muito tem sido o esforço das empresas para atualizarem seus parques tecnológicos e estarem atualizados com as mais modernas armas no mercado de informática para obter vantagem competitiva.

É praticamente uma questão de sobrevivência às empresas estarem modernizadas e prontas para a guerra por clientes e produtos com preços mais competitivos.
Com isso, planos de segurança de informações é muito importante para todos os usuários de todas tecnologias, mas poucas são as empresas que realmente, tem determinado ao seu corpo empresarial a adoção de estratégias para efetuar suas tarefas diárias relacionadas direta ou indiretamente à informática.

Para que esse número pequeno de empresas que adotam estratégias de segurança ainda existe um problema que pouco é discutido: Política de segurança.
Dar direção à empresa sobre processos de segurança, é tarefa a ser desenvolvida no âmbito de decisão da alta gerência. Porém torna-se difícil e quando não, complicado ao corpo de diretores da empresa tratar de um assunto que baseia-se em avaliações que tratam de situações de perda de lucratividade ou mesmo de sobrevivência da companhia.

Para que um plano de segurança, possa alcançar êxito dentro de uma organização, é necessário que se tenha uma direção a seguir e focar as ações a serem efetivadas no plano de segurança a partir desta direção. Esta direção é chamada de Política de segurança.