Política de Segurança da Informação

Transcrição

1 Política de Segurança da Informação

2 A política de segurança representa a formalização das ações que devem ser realizadadas para garantir a segurança. A criação, a implantação e a manutenção da política de segurança consiste em esforço, participação e colaboração de todas as áreas da empresa.

3 A política de segurança deve seguir controles internacionais, de modo a facilitar a auditoria e permitindo que a organização esteja de acordo com os órgãos que regem o controle de qualidade. A definição de uma política de segurança da informação é essencial para qualquer empresa, pois é um conjunto de diretrizes, normas e procedimentos que devem ser seguidos e que visam conscientizar e orientar

4 O que é preciso? Definir o conteúdo informacional que será abrangido por esta política Elaborar o texto que descreva a política Obter a aprovação dos altos escalões da administração da organização Disseminar a política de segurança em todos os escalões da organização

5 Regras Ser facilmente acessível por todos os membros da organização Definir claramente os objetivos de segurança Definir objetivamente todos os aspectos abordados Definir claramente a posição da organização em cada situação Justificar as opções tomadas Fornecer contatos para esclarecimento das questões duvidosas

6 Importante!!! Não existem políticas de segurança prontas nas prateleiras! Não existem políticas de segurança prontas para serem usadas na sua empresa! Deverá ser confeccionada sob medida!

7 Requisitos Mínimos Agentes envolvidos Gestor da informação Custodiante responsável pelo processamento, organização e guarda da informação Usuário

8 Requisitos Mínimos Classificação das Informações É preciso classificar todas as informações críticas, segundo o seu grau de criticidade e tor erítico em: Informações confidenciais devem ser disseminadas somente para pessoas nomeadas Informações corporativas devem ser disseminadas somente dentro da empresa Informações públicas podem ser disseminadas dentro e fora da empresa

9 Requisitos Mínimos Outros pontos importantes Log de acessos Detecção e inatividade de modens ligados a rede Padrão de atualização de antivirus Política de backups Política de uso de software Controle de antipirataria Controle de acesso físico Monitoração de ambientes Políticas de senhas Definição de perfis de acesso aos ambientes e aplicativos

10 Implementação de controle de segurança Proteção nada mais é um conjunto das medidas de controle que visam dotar os sistemas de informação das capacidades de inspeção, detecção e reação, permitindo reduzir e limitar o impacto das ameças quando essas concretizam. Um programa de segurança bem planejado deve reduzir as vulnerabilidades dos sistemas de informação e fazer evoluir sem medidas de controle.

11 Implementação de controle de segurança Medidas de controle são esforços como procedimentos, softwares, configurações, hardware e técnicas empregados para atenuar as vulnerabilidades e reduzir a probabilidade de ocorrência de ação de ameaças e os incidentes de segurança.

12 Segurança Física Inclui: Segurança de hardware Segurança de redes (cabeamento) Segurança de backup Segurança de infraestrutura

13 Segurança de Hardware Manutenção preventiva regular Política de aquisição que garanta que o equipamento é substituído antes que se torne significamente vulnerável a falhas. Comprar equipamento de boa qualidade Medição do nível de serviço, monitoramento e análise das falhas para identificação dos equipamentos que estão se tornando inseguros.

14 Segurança de Hardware Opções que devem ser consideradas: Sistema computacional substituível: sistema reserva mantido pronto para ser usado em caso de falha do sistema principal Duplicação de dados em espelho: mantidos e atualizados simultaneamente em dois ou mais dispositivos idênticos, permitindo a imediata disponibilidade dos dados em caso de falha de um dos dispositivos Tecnologia not-stop dos processadores conectados. Um deles prontos para assumir as funções do primeiro caso apresente uma falha.

15 Segurança de Redes Utilizar tabulação adequada para todo o cabeamento da rede Manter um cabeamento de reserva para as conexões mais importantes Permitir pessoal capacitado para manusear o cabeamento da empresa ou contratar empresas especializadas em cabeamentos estruturados

16 Segurança de Redes É importante salientar que todo cabeamento de estar IDENTIFICADO, com números nas duas portas (par traçado) Representação gráfica (mapas) As pontas precisam possuir o tamanho padrão indicados pelos órgãos de identificação para cada situação (certa de 1.5 cm)

17 Segurança de Dados Armazenar as mídias de backup em locais adequados (locais diferentes) Criar documentação dos backup s para facilitar as restaurações

18 Segurança de Recursos de Infraestrutura Controle de acesso (crachás/terminais/porteiros) Monitoração (humano, câmeras) Projeto de incêndio Climatização das salas Chaves de proteção para o circuito elétrico Aterramento, estabilizadores