preparação de uma política de segurança
DESCRIPTION
Preparação de uma Política de Segurança. Etapas. Identificar a necessidade de ter “uma política de segurança” Elaborar um guião Definir a política de segurança da empresa Definir as estratégias de realização da segurança Definir o modo de concretizar as estratégias - PowerPoint PPT PresentationTRANSCRIPT
Preparação de umaPolítica de Segurança
Etapas
• Identificar a necessidade de ter “uma política de segurança”
• Elaborar um guião• Definir a política de segurança da empresa• Definir as estratégias de realização da segurança• Definir o modo de concretizar as estratégias• Definir os procedimentos de segurança
Definir Política de Segurança
• Fazer análise de risco
• Política de segurança– Actividades– Responsabilidades– Divulgação e formação do pessoal
• Boas práticas
• Análise de riscos específica
• Contramedidas específicas
Impacto
Expectativas
Plano
(o que fazer se)
Evitar
(o quê)
Aceitar o risco
(Então o que fazer se ...)
Controlar
(o que fazer)
Formato das Políticas de Segurança
• Documento escrito– Aprovado ao mais alto nível da hierarquia– Clareza– Concisão
• Elaborado pelo responsável directo
• Deve ser dirigido para atingir o nível de segurança adequado aos bens a proteger
Formato das Políticas de Segurança
• Obrigar ao mínimo número de alterações ao funcionamento da organização
• Plano não deve ser demasiado específico
• Deve ser fazível
• Recursos devem ser quantificados
• Deve prever a formação dos intervenientes– Documentação / manuais– Formação directa
Formato das Políticas de Segurança
• Deve prever as acções concretas e quem as realiza
• Deve prever o que fazer em casos de falha
Procedimentos de Segurança
• Fáceis de entender, ou não serão postos em prática
• Explicada a sua finalidade, ou serão ignorados
• Impostos com energia, ou tentarão contorná-los
• Definir sanções para os violadores
Procedimentos de Segurança
• Cada empregado só precisa de saber os procedimentos de segurança que lhe dizem respeito
• Ao contrário das políticas de segurança, os procedimentos devem ser largamente divulgados
• Os procedimentos devem estar escritos e incluir directivas claras
Segurança e Recursos Humanos
• Muitas vezes a segurança é quebrada por elementos internos à organização– O infiltrado
– Questões económicas - a crise familiar
– Detenção de informação sobre a organização interna• Cada técnico de segurança só deve conhecer o estritamente
necessário ao desempenho da sua função (níveis de acesso aos recursos)
– Smart-cards
– Circuito de vídeo
Níveis de Segurança do “Livro Laranja”
• Segurança dedicada (D, C1)
• Segurança elevada (C2, B1)
• Segurança controlada (B2, B3)
• Segurança multi-nível (A1)
Níveis de Segurança do “Livro Laranja”
• Divisão D– Protecção mínima
• Divisão C– Classe C1 - Separação limitada de utilizadores
e dados– Classe C2 - Controlo de acesso de utilizadores e
dados de maior granularidade
Níveis de Segurança do “Livro Laranja”
• Divisão B– Classe B1 - Informação etiquetada e controlo
de acesso mandatório sobre alguns utilizadores e os dados que manipulam
– Classe B2 - idem a todos os utilizadores– Classe B3 - idem mas com possibilidades de
registo de toda a actividade sobre os dados
Níveis de Segurança do “Livro Laranja”
• Divisão A– Classe A1 - idem a B3 mas as facilidades de
segurança tem de ser provadas por meios formais
Perfil Psicológico doTécnico de Segurança
• O Rigoroso
• O descuidado
• O “calado”
• O “gabarolas”
• O ex-hacker
Situações Especiais
• Entrada de novo funcionário
• Funcionário insatisfeito
• Funcionário com problemas pessoais– Financeiros– Familiares
• Recomendação: rodar o pessoal entre funções compatíveis
Pessoal
• Importância do treino inicial
• Importância do treino periódico
• Divulgação de casos exemplares
Auditoria Revisitada
• Auditoria aos procedimentos
• Auditoria aos incidentes
• Auditoria ao pessoal– Entrevistas individuais (a ameaça pendente)
• Revisão das políticas