You are on page 1of 9

POLITICA DE SEGURANA DA INFORMAO

Como escrever uma poltica de segurana: Manual de Poltica de Segurana de Rede


Para qualquer profissional da rea de segurana que esta tentando escrever uma politica de segurana fundamental entender a dificuldade e a natureza complicada da tarefa. O que deve ser escrito? Como deve ser escrito? Quem o responsvel? Escrever as diretivas da segurana da informao uma forma de arte. Quem acha que o manual de segurana com 80 paginas da sua empresa foi escrito e aprovado em alguns dias, deveria repensar. Este artigo explica a abordagem que o autor utilizou para criar o manual de politica de segurana de rede com o que h de melhor em politica. Enquanto algumas exigncias da politica podem requerer custos proibitivos ou uma logstica complicada em certos ambientes, a ideia semelhante a uma lista do que as pessoas querem fazer em um feriado, com a exceo que isso uma lista para um ambiente de segurana. Essa politica ira evoluir e amadurecer com as experincias e conhecimentos pessoais, e adaptar-se aos avanos das ameaas a segurana. importante manter a calma j que essa politica muda constantemente; Ela no deve ser negligenciada. A rea central da segurana muda rapidamente e a politica de segurana tem a obrigao de manter o mesmo ritmo.

Recursos existentes e Evoluo Poltica


Como transformar efetivamente ideias e estratgias para uma politica de segurana? A maioria dos profissionais de segurana tem noo que o suporte executivo crucial para implementao e sustentao das informaes do programa de segurana. Para conseguir e manter esse apoio, o escopo da politica obrigatoriamente deve estar explicito e definido e as declaraes da politica devem ser pertinentes e comunicada a todos os empregados. Recursos existentes explicam o processo de delinear um Manual de Poltica de Segurana1 incluindo: Finalidade Objetivo Aplicabilidade Distribuio Execuo Monitoramento

Alm disso, o Instituto SANS tem vrios exemplos em seu Projeto de Politica de Segurana2. O artigo possibilita escrever a politica abordando os riscos. O que isso significa? Os riscos para a segurana da rede so definidos e abordados como normas de segurana. Esse artigo detalha quais sees listadas previamente e como usar efetivamente um padro eficaz em uma politica de segurana de rede, proporcionando negcios no contexto de TI. O objetivo adotar a linguagem da norma e elaborar uma declarao.
RESTRITO Pgina 4

POLITICA DE SEGURANA DA INFORMAO


O autor do Manual de Poltica de Segurana de Rede (NSPM)3 baseou-se principalmente no Forum de segurana da informao (ISF), na norma de Boas Prticas4 e de forma secundaria na norma ISO 17799:200555 da Organizao Internacional de Normalizao (ISO)6 com foco no domnio de redes o ISF standard, O NSPM abrange quatro dos cinco objetivos de controle: Gesto de Rede Gerenciamento de trfego Operaes de rede Gerenciamento de segurana local As redes de voz (o quinto objetivo de controle, no listado acima) no foi includo no escopo desta poltica. Uma maneira fcil de escrever os tpicos da poltica a de transformar a normas de linguagem em uma declarao da poltica, abordando o nvel de risco aceitvel para a organizao. Para o proposito da NSPM (e o mbito de aplicao do objetivo de controle de redes de voz do ISF standard), redes de voz no representam um risco para a rede global e o domnio foi posteriormente descartado. Alm disso, o NSPM contm declaraes no encontradas no ISF padro. Incorporando os detalhes para alm do mbito de aplicao da norma, a NSPM inclui um controle de segurana da rede e contm importantes detalhes do controle de firewall. Um padro individual no uma nica soluo abrangente; No entanto, ele pode ser usado para o insight de pensamentos e ideias sobre como proteger a rede com segurana.

Esforos crescentes
Durante a escrita e reviso do NSPM, um processo de descoberta contnuo, revelou pequenas mudanas para melhorar a clareza da poltica. Estas incluem: Rubricas devem ser utilizadas para as declaraes polticas comuns do grupo. Funes e responsabilidades devem ser definidas para eliminar qualquer dvida de responsabilidade. Para isso, os papis devem ser agrupados por posio, por exemplo, diretor de segurana de rede, engenheiros de segurana de rede, arquitetos de segurana de rede. Os primeiros projetos definem papis e responsabilidades em toda a poltica, criando separao e necessidade de coeso. (s. deslocamento, desarticulao, separao, desligamento ) e carente de coeso. Definio de funes e responsabilidades no incio da poltica estabelece uma base para a gesto do programa de segurana de rede. Alm disso, esta seo merece uma ateno especial porque sob a abrangncia de um programa de segurana de informaes, as funes e responsabilidades definidas dentro de uma poltica de uso aceitvel. Com o foco estreito do NSPM em segurana de rede, o objetivo de controle de gesto da rede aborda as funes e responsabilidades.

RESTRITO

Pgina 4

POLITICA DE SEGURANA DA INFORMAO


Um manual de poltica deve ser desenvolvido, ao contrrio do que acontece com as quatro polticas individuais. Usando quatro polticas separadas falta continuidade, tornando difcil correlacionar as declaraes em todas as polticas. Enquanto os quatro objetivos de controle listados anteriormente so polticas individuais, a criao de um manual com os captulos fornece contexto e continuidade em toda a poltica. Alm disso, definir os metadados (por exemplo, aplicao e distribuio) na introduo poltica, facilita o gerenciamento, pois todas as polticas subsequentes iro aderir a um nico conjunto de regras.

Poltica por escrito - Exemplo n 1


A introduo deve preceder a poltica e os seus objetivos de controle. Esta apresenta o contexto para o leitor e coloca foco nas declaraes das polticas subseqentes. O padro ISF e ISO 17799 fornecem declaraes iniciais antes de cada domnio e objetivo de controle. Alm disso, o ISO 17799 usa orientao de implementao de cada controle, oferecendo orientao para a construo poltica. Aproveitando a orientao de implementao e resumos ajudar na criao de um domnio e seu controle associado(s) objetivo(s). Um padro, como o ISF's, usa a palavra "deve" de forma consistente. A utilizao de "deveria" a uma poltica no suficiente, pois deixa potencial de interpretao e a aplicao apresenta dificuldade associado poltica na sequncia de um incidente de segurana. A poltica um conjunto de regras e, portanto, as expresses "devem" ou "sero" so utilizados para fazer valer as declaraes das polticas. Consulte o exemplo 1.

1 - Exemplo de uma Declarao da Poltica de Desenvolvimento


Princpios e declaraes objetivas (de ISF) para o Controle de Gerenciamento de Incidentes (NW3.3) Princpio: Todos incidentes, de qualquer tipo, devem ser registrados, analisados e resolvidos atravs de um processo de gerenciamento de incidentes. Objetivo: Identificar e resolver incidentes na rede de forma eficaz. O seu impacto nos negcios deve ser minimizado, reduzindo o risco de que incidentes similares ocorram. Declarao poltica: Qualquer incidente ocorrido na rede deve ser registrado, analisado e resolvido aps um processo de gerenciamento de incidentes estabelecido. Gerenciamento de incidentes permite uma resposta rpida e eficiente de resoluo para mitigar o impacto para o negcio e risco futuro de incidentes semelhantes.

RESTRITO

Pgina 4

POLITICA DE SEGURANA DA INFORMAO


Poltica por escrito - Exemplo n2
O padro ISF sugere que, para aliviar um mau funcionamento dos recursos de rede, uma empresa deve assegurar que os componentes da rede possam ser recuperados. O NSPM identifica que os sistemas crticos devem ser recuperados primeiro e que a capacidade deve existir para recuperar esses sistemas (figura 2). Alm disso, o NSPM incorpora objetivos de tempo de recuperao a partir do plano de continuidade de negcios, especificando claramente um valor alm de "prazos crticos.

Poltica por escrito - Exemplo No. 3


Deve-se evitar a definio de um produto ou tecnologia, pois cria restries. Por exemplo: Acesso externo deve ser fornecido atravs de um servidor de autenticao Kerberos, que dever fornecer autenticao confivel e completa para conexes externas. Esta definio explcita ir causar problemas. Se a autenticao da tecnologia mudar para outra soluo, o manual de poltica deve ser revisto e atualizado. Em vez disso, esta declarao de poltica deve ser utilizado: UM dedicado servidor de acesso remoto ser utilizado para todos os acessos externos; que deve autenticar conexes externas atravs de um controle de acesso confivel e aceito (por exemplo, Kerberos, TACACS +, Radius). A expresso "por exemplo" muito til, uma vez que significa "por exemplo" e semelhante a "incluindo." Em outras palavras, por exemplo," permite a meno de tecnologias de amostras, embora no com a inteno de listar todas as solues possveis.

Poltica por escrito - Exemplo n 4


Finalmente, lembre-se que o NSPM incide sobre a segurana da rede. H domnios adicionais na ISF e ISO 17799 que existem dentro de um programa de segurana em toda a empresa. O NSPM procura abranger os aspectos do programa da empresa enquanto no definirem regras que estariam fora do escopo. Exemplo 2

2 Exemplo de Declarao da Poltica de Desenvolvimento


Rede de Controle de Resilincia (NW1.3.3) (a partir de ISF).

RESTRITO

Pgina 4

POLITICA DE SEGURANA DA INFORMAO


O risco de mau funcionamento de equipamentos crticos de comunicao, software, links e servios devem ser reduzidos, garantindo que os principais componentes de rede podem ser substitudos dentro de prazos crticos. Declarao poltica: Para minimizar os riscos e os efeitos de um mau funcionamento, deve ser dada prioridade aos segmentos crticos do sistema e capacidade adequada imputados a esses segmentos, garantindo que os principais componentes de rede so capazes de ser substitudos dentro dos objetivos de tempo de recuperao especificados. Por exemplo, o controle de acesso sem fio no NSPM afirma: A documentao deve ser mantida para conexes sem fio. Deve incluir a configurao de hardware sem fio para manter o ponto-a-ponto de criptografia e uma fora mnima de hardware. Definindo um padro de encriptao de 128 bits, por exemplo, est fora do escopo do NSPM. Esta declarao de poltica pertence a uma poltica de criptografia aceitvel.

Concluso
Escrever as polticas de segurana um desafio. necessria a coordenao dos recursos e cooperao dos funcionrios em toda a empresa. No entanto, escrever a poltica uma habilidade indispensvel, porque, quando uma poltica estabelecida, ela deve passar por revises e atualizaes (na maioria das vezes por anos). Manuteno da poltica de segurana muito importante para as atividades dirias de negcios e de defesa contra ameaas internas e externas. A segurana de dados pessoais e informaes de identificao pessoal dos clientes fundamental para o negcio. Protegendo os dados do carto de crdito, informaes mdicas ou (nos EUA) um nmero de Segurana Social, por exemplo, a base do NSPM. o corao de um programa de segurana da informao da empresa.

Nota do Autor
O autor gostaria de agradecer a James Krev por sua pacincia e orientao de apoio a esta pesquisa na DePaul University, assim como Jacob Furst e Linda Allen por sua meticulosa edio desse trabalho
RESTRITO Pgina 4

POLITICA DE SEGURANA DA INFORMAO


Notas finais
1. Simon, Mark, " Uma estrutura de gerenciamento da Politica de Segurana Corporativa parte 1 e 2", ISSA Jornal, fevereiro de 2008, www.issa.org/Members/JournalsArchive/2008.html. SANS Institute, "Construir uma politica de segurana para uma grande empresa multinacional", Janeiro de 2005,

www.giac.org/certified_professionals/practicals/gsec/4276.php. Gartenberg, Marc, "How to Develop an Enterprise Security Policy", ComputerWorld, janeiro de 2005, html.

www.computerworld.

com/securitytopics/security/story/0,

10801,

98896,00.

Ungerman, Mark, " Creating and Enforcing an Effective Information Security Policy" Sistemas de Informao de Controle Journal, ISACA, vol. 6, 2005 2. SANS Institute, Security Policy Project, www.sans.org / resources / polticas 3. O Manual de Polticas de Segurana de Rede uma criao original, com direitos autorais do autor (Paul Meynen). Para obter uma cpia do NSPM, envie um e-mail

MeynenP@gmail.com. 4. Information Security Forum, a norma de Boas Prticas: https://www.isfsecuritystandard.com/SOGP07/index.htm 5. International Organization for Standardization, ISO 17799:2005, Tecnologia da Informao, Segurana Tcnicas-Cdigo de Prtica para Gesto de Segurana da Informao, 2005, www.iso.org 6. Uma cpia da norma ISO 17799:2005 no foi obtida pelo autor, at ao final do curso, na qual a NSPM foi desenvolvido. Consequentemente, no houve tempo suficiente para incorporar todas as declaraes polticas adicionais recomendadas no ISO 17799:2005. No entanto, ISO 17799:2005 apresenta um incrvel nvel de detalhe e um padro robusto para implementar um programa de segurana. Como o NSPM evolui, a orientao de implementao (explicado mais adiante) na norma ISO ser alavancado para incorporar novas declaraes na NSPM.

RESTRITO

Pgina 4

POLITICA DE SEGURANA DA INFORMAO


O Jornal ISACA publicado pela ISACA. Membro da associao, uma organizao voluntria que atende os profissionais de governana de TI, d direito a receber uma assinatura anual do jornal o Controle de Sistemas de Informao. As opinies expressas no Jornal ISACA representam as opinies dos autores e anunciantes. Eles podem diferir das polticas e declaraes oficiais da ISACA e / ou a Governana de TI Institute e seus comits, e de opinies endossadas pelos empregadores dos autores ou dos editores deste jornal. ISACA Journal no atestar a originalidade do contedo dos autores. 2009 ISACA. Todos os direitos reservados. Os instrutores esto autorizados a fotocpia artigos isolados para uso em sala de aula nocomercial, sem taxa. Por outra cpia, reproduo ou republicao, a permisso deve ser obtida em escrito da associao. Sempre que necessrio, a permisso concedida pelos proprietrios dos direitos autorais para os inscritos com o Copyright Clearance Center (CCC), 27 Congress St., Salem, Massachusetts 01970, a fotocpia de artigos pertencentes a ISACA, por uma taxa fixa de EUA $ 2,50 por artigo, mais 25 centavos de dlar por pgina. Enviar pagamento ao CCC indicando o ISSN (1526-7407), a data, volume e primeiro e ltimo nmero da pgina de cada artigo. Copiando para que no seja o uso pessoal ou interno de referncia, ou de artigos ou colunas no pertencentes associao, sem permisso expressa da associao ou do titular dos direitos de autor expressamente proibida. www.isaca.org

RESTRITO

Pgina 4

POLITICA DE SEGURANA DA INFORMAO


Questes

1- Na viso do autor, fcil ou difcil escrever uma PSI? Justifique. Na viso do autor, escrever uma Politica de Segurana da informao uma tarefa difcil pois, fundamental entender a dificuldade da tarefa em como escrever, o que escrever, quem so os responsveis e principalmente elaborar um escopo afim de conseguir o apoio executivo da organizao.

2- O que o autor quis dizer com o termo Growing Pains? Na minha opinio, o autor quis colocar os esforos crescentes durante a escrita e/ou reviso da Politica de Segurana da Informao, onde ele coloca a necessidade de se ter a conscientizao de todos os envolvidos nas politicas comuns ao grupo e na definio de funes e responsabilidades dentro da organizao.

3- O autor usou muito a referncia da ISO 17799. Isso suficiente na escrita de uma PSI ou poderiam ser utilizadas outras referncias? O autor usou muito a referncia da ISO 17799. Isso suficiente na escrita de uma PSI ou poderiam ser utilizadas outras referncias? Alem da ISO 17799 outros padres tambm so aceitos atualmente como referncia: ISO 27001/27002, ISO 20000, CobiT, NIST

RESTRITO

Pgina 4

POLITICA DE SEGURANA DA INFORMAO

RESTRITO

Pgina 4