3 - segurança - psi

20
Gerência de Redes de Computadores - Política de Segurança da Informação - Prof. André Peres [email protected]

Upload: andre-peres

Post on 20-Feb-2017

167 views

Category:

Education


3 download

TRANSCRIPT

Gerência de Redes de Computadores

- Política de Segurança da Informação -

Prof. André [email protected]

Sobre este material

• Vídeos da apresentação em:

http://youtu.be/_oRit_OIjfA

Este trabalho está licenciado sob uma Licença Creative Commons Atribuição-NãoComercial-SemDerivações 4.0 Internacional. Para ver uma

cópia desta licença, visite http://creativecommons.org/licenses/by-nc-nd/4.0/.

Política de Segurança da Informação

• Definição:

• Conjunto de documentos estabelecendo regras e procedimentos sobre segurança

• Requer aderência com a instituição

• Prevê as ações disciplinares

• Auxiliada por padrões, guias e procedimentos

Política de Segurança da Informação

• Definição:

• Baseia-se nos Princípios da TI[visão,missão,valores → princípios da TI]

• Fornece ciência formal:• do que é ou não permitido;• das penalidades;• das ações a serem tomadas em casos de

incidentes de segurança.

Política de Segurança da Informação• Exemplo de política de segurança para email:

Política de Segurança da Informação• Exemplo de política de segurança para email:

Política de Segurança da Informação• Exemplo de política de segurança para email:

Política de Segurança da Informação• Exemplo de política de segurança para email:

Política de Segurança da Informação• Exemplo de política de segurança para email:

Política de Segurança da Informação

• Outros exemplos de políticas:

http://www.sans.org/security-resources/policies/

Política de Segurança da Informação

• Padrões:• ação ou regra que dá suporte à PSI

• torna a política efetiva definindo questões práticas

• inclui especificações de hardware, software ou comportamento

• ex: configurações de equipamentos como roteadores sem fios, configurações de S.O., ...

Política de Segurança da Informação

• Guias:• recomendações ou instruções administrativas

• boas práticas a serem adotadas

• foco no usuário → impacto na cultura de segurança

• ex: guia de como escolher uma senha forte

Política de Segurança da Informação

• Procedimentos:• guia técnico de como realizar uma operação

• deve ser seguido !

• foco no aspecto técnico

• passo-a-passo de comandos/ações

• ex: como realizar o procedimento de backup

Política de Segurança da Informação

Política de Segurança da Informação• Exemplo: redes sem fios• Política:

• como a rede sem fios deve ser utilizada• quem pode utilizar a rede sem fios e em quais situações• penalidades em caso de uso indevido

• Padrões:• padrão de rede sem fios utilizada (b,a,g,n,a/c,...)• padrão de criptografia que deve ser utilizado (WPA2,...)

• Guias:• cartilha sobre aspectos de segurança das redes sem fios

• Procedimentos:• passo-a-passo de como configurar os roteadores sem fios

da empresa

Política de Segurança da Informação

• Estrutura de documentos:

Política de Segurança da Informação• Exemplos de Políticas:

• política de senhas• política de uso de criptografia• política de uso de sistemas• política de instalação de software• política de "mesa limpa"• política de email• política de respostas a incidentes• política de uso de dispositivos móveis• política de acesso remoto• política de rede sem fios• política de cópias de segurança• política de BYOD (Bring Your Own Device)• ...

Política de Segurança da Informação• Atualização dos documentos:

• política genérica • em casos de incidentes• revisão periódica (6 meses/1 ano)

• políticas de sistemas• em casos de incidentes• troca de versão/troca de sistema• revisão periódica (6 meses/1 ano)

• padrões• em casos de incidentes• atualização/troca de equipamentos ou sistemas• revisão periódica (6 meses/1 ano)

Política de Segurança da Informação• Atualização dos documentos:

• procedimentos• em casos de incidentes• atualização/troca de equipamentos ou sistemas• revisão periódica (6 meses/1 ano)

• guias• em casos de incidentes• troca de versão/troca de sistema• necessidade de mudança no comportamento de

usuários• revisão periódica (6 meses/1 ano)

Política de Segurança da Informação• Visão geral

• os documentos devem ser acessíveis e de conhecimento de todos

• devem ser de fácil interpretação e concisos• devem possuir aderência com a empresa/instituição

• são a base para implantação de mecanismos !!!

• devem contemplar todos os pontos levantados na Análise de Riscos !!!