Download - Preparação de uma Política de Segurança
![Page 1: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/1.jpg)
Preparação de umaPolítica de Segurança
![Page 2: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/2.jpg)
Etapas
• Identificar a necessidade de ter “uma política de segurança”
• Elaborar um guião• Definir a política de segurança da empresa• Definir as estratégias de realização da segurança• Definir o modo de concretizar as estratégias• Definir os procedimentos de segurança
![Page 3: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/3.jpg)
Definir Política de Segurança
• Fazer análise de risco
• Política de segurança– Actividades– Responsabilidades– Divulgação e formação do pessoal
• Boas práticas
• Análise de riscos específica
• Contramedidas específicas
![Page 4: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/4.jpg)
Impacto
Expectativas
Plano
(o que fazer se)
Evitar
(o quê)
Aceitar o risco
(Então o que fazer se ...)
Controlar
(o que fazer)
![Page 5: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/5.jpg)
Formato das Políticas de Segurança
• Documento escrito– Aprovado ao mais alto nível da hierarquia– Clareza– Concisão
• Elaborado pelo responsável directo
• Deve ser dirigido para atingir o nível de segurança adequado aos bens a proteger
![Page 6: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/6.jpg)
Formato das Políticas de Segurança
• Obrigar ao mínimo número de alterações ao funcionamento da organização
• Plano não deve ser demasiado específico
• Deve ser fazível
• Recursos devem ser quantificados
• Deve prever a formação dos intervenientes– Documentação / manuais– Formação directa
![Page 7: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/7.jpg)
Formato das Políticas de Segurança
• Deve prever as acções concretas e quem as realiza
• Deve prever o que fazer em casos de falha
![Page 8: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/8.jpg)
Procedimentos de Segurança
• Fáceis de entender, ou não serão postos em prática
• Explicada a sua finalidade, ou serão ignorados
• Impostos com energia, ou tentarão contorná-los
• Definir sanções para os violadores
![Page 9: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/9.jpg)
Procedimentos de Segurança
• Cada empregado só precisa de saber os procedimentos de segurança que lhe dizem respeito
• Ao contrário das políticas de segurança, os procedimentos devem ser largamente divulgados
• Os procedimentos devem estar escritos e incluir directivas claras
![Page 10: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/10.jpg)
Segurança e Recursos Humanos
• Muitas vezes a segurança é quebrada por elementos internos à organização– O infiltrado
– Questões económicas - a crise familiar
– Detenção de informação sobre a organização interna• Cada técnico de segurança só deve conhecer o estritamente
necessário ao desempenho da sua função (níveis de acesso aos recursos)
– Smart-cards
– Circuito de vídeo
![Page 11: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/11.jpg)
Níveis de Segurança do “Livro Laranja”
• Segurança dedicada (D, C1)
• Segurança elevada (C2, B1)
• Segurança controlada (B2, B3)
• Segurança multi-nível (A1)
![Page 12: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/12.jpg)
Níveis de Segurança do “Livro Laranja”
• Divisão D– Protecção mínima
• Divisão C– Classe C1 - Separação limitada de utilizadores
e dados– Classe C2 - Controlo de acesso de utilizadores e
dados de maior granularidade
![Page 13: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/13.jpg)
Níveis de Segurança do “Livro Laranja”
• Divisão B– Classe B1 - Informação etiquetada e controlo
de acesso mandatório sobre alguns utilizadores e os dados que manipulam
– Classe B2 - idem a todos os utilizadores– Classe B3 - idem mas com possibilidades de
registo de toda a actividade sobre os dados
![Page 14: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/14.jpg)
Níveis de Segurança do “Livro Laranja”
• Divisão A– Classe A1 - idem a B3 mas as facilidades de
segurança tem de ser provadas por meios formais
![Page 15: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/15.jpg)
Perfil Psicológico doTécnico de Segurança
• O Rigoroso
• O descuidado
• O “calado”
• O “gabarolas”
• O ex-hacker
![Page 16: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/16.jpg)
Situações Especiais
• Entrada de novo funcionário
• Funcionário insatisfeito
• Funcionário com problemas pessoais– Financeiros– Familiares
• Recomendação: rodar o pessoal entre funções compatíveis
![Page 17: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/17.jpg)
Pessoal
• Importância do treino inicial
• Importância do treino periódico
• Divulgação de casos exemplares
![Page 18: Preparação de uma Política de Segurança](https://reader036.vdocuments.com.br/reader036/viewer/2022082817/56812bce550346895d902777/html5/thumbnails/18.jpg)
Auditoria Revisitada
• Auditoria aos procedimentos
• Auditoria aos incidentes
• Auditoria ao pessoal– Entrevistas individuais (a ameaça pendente)
• Revisão das políticas