O que temos para hoje?

www.eSecurity.com.br

Politica de Segurana da Informao:

Definio
Maturidade de Segurana da Informao
Segurana Reativa
Polticas, Normas e Acordos (ou fase documental)
Anlise de Risco
Gesto do Risco
Implementando um Sistema de Gesto de SegInfo
Tipificando Riscos
O que um Risco?
Conquistando a aceitao da PSI
Polticas de SegInfo - PSI
www.eSecurity.com.br
PSI: Definio
www.eSecurity.com.br

A informao um dos principais bens de qualquer organizao. Assim, a

Instituio estabelece a presente Poltica de Segurana da Informao, a fim de
garantir a aplicao dos princpios e diretrizes de proteo das informaes da
organizao, dos clientes e do pblico em geral.

A poltica de segurana se aplica aos empregados, estagirios, contratados,

prestadores de servios, parceiros e fornecedores que utilizam as informaes da
Empresa.

As medidas de segurana da informao visam proteger a informao de diversos

tipos de ameaas, para garantir a continuidade dos negcios, minimizando os
danos e maximizando o retorno dos investimentos e as oportunidades de negcio.
PSI: Definio
www.eSecurity.com.br

Pode-se definir a poltica de segurana como um documento que estabelece

princpios, valores, compromissos, requisitos, orientaes e responsabilidades
sobre o que deve ser feito para alcanar um padro desejvel de proteo para as
informaes.

Ela basicamente um manual de procedimentos que descreve como os recursos

de TI da empresa devem ser protegidos e utilizados e o pilar da eficcia da
segurana da informao. Sem regras pr-estabelecidas, ela torna-se
inconsistentes e vulnerabilidades podem surgir.

A poltica tende a estabelecer regras e normas de conduta com o objetivo de

diminuir a probabilidade da ocorrncia de incidentes que provoquem, por, exemplo
a indisponibilidade do servio, furto ou at mesmo a perda de informaes.

As polticas de segurana geralmente so construdas a partir das necessidades do

negcio e eventualmente aperfeioadas pele experincia do gestor.
PSI: Maturidade de SegInfo
www.eSecurity.com.br

possvel medir, acompanhar e administrador o processo de maturidade da

Segurana da Informao de uma determinada empresa.

Esse processo passa por algumas fases, e essas fases podem dizer em que p
est a Segurana de Informao de uma determinada empresa.
PSI: Maturidade de SegInfo
www.eSecurity.com.br

Segurana Reativa

A segurana reativa a fase onde a empresa est focada apenas nas solues de
tecnologia, e onde os controles tcnicos bsicos fundamentais de SI so
implementados, destacando-se os trs controles mais difundidos e implementados:
backup, antimalware e firewall.

Existe tambm nessa fase uma preocupao com o contedo acessado pelos
usurios, atravs solues (ainda tcnicas) de controle de contedo web (filtro de
URL) e antispam, com enfoque maior em produtividade da fora de trabalho do que
na SI propriamente dita.
PSI: Maturidade de SegInfo
www.eSecurity.com.br

Polticas, Normas e Acordos (ou fase documental)

Nessa fase tem-se um entendimento maior de que a SI no ser administrada

apenas com tecnologia; comea-se a perceber a importncia do fator humano,
jurdico e normativo.

J fica evidente a necessidade de instrumentos de comunicao com os usurios,

respaldo jurdico e processos internos de responsabilizao e punio.

Muitas empresas despertam para o fato que a informao a ser protegida no est
apenas em formato eletrnico, mas encontra-se em mesas, gavetas, armrios e
nas mentes das pessoas.
PSI: Maturidade de SegInfo
www.eSecurity.com.br

Anlise de Risco

A Anlise de Risco tem o potencial para ser um divisor de guas na gesto da

segurana da informao da empresa.

A Anlise (ou Avaliao) de Risco difere da Anlise de Vulnerabilidade pois leva em

considerao a importncia do ativo analisado para os processos de negcio e os
objetivos da organizao. Em termos simples, como diferenciamos o risco entre,
por exemplo, dois servidores de arquivos (file servers) que tem o mesmo sistema
operacional, esto no mesmo ambiente fsico, possuem os mesmos patches, mas
um utilizado apenas para armazenar documentos histricos para uma consulta
eventual, e o outro armazena documentos utilizado no dia-a-dia dos processos,
com milhares de acessos e atualizaes por dia? Nesse caso o risco calculado
atravs do impacto de negcio em caso do comprometimento da disponibilidade,
integridade ou confidencialidade desses servidores. Eles tem a mesma
probabilidade de sofrer um ataque de hacker ou uma falha fsica, mas cada um
trar um impacto diferente para a organizao.
PSI: Maturidade de SegInfo
www.eSecurity.com.br

Gesto do Risco

Por Gesto do Risco entende-se no apenas a implementao de controles para

mitigar os riscos identificados na Anlise de Risco, mas tambm calcular o risco
residual e at mesmo permitir que a direo da empresa aceite riscos, ou seja,
formalize o conhecimento dos riscos identificados e que no pretende no momento
investir recursos na mitigao do risco, mas conviver com o mesmo
temporariamente ou indefinidamente.

Obviamente s possvel para a Direo da empresa assumir riscos caso exista

uma viso clara e transparente do impacto dos mesmos ao negcio, o que uma
premissa da Anlise de Risco.
PSI: Sistema de Gesto
www.eSecurity.com.br
PSI: Tipificao de Riscos
www.eSecurity.com.br

Os riscos tpicos em Tecnologia de Informao que esta poltica procura evitar so:

Revelao de informaes sensveis;

Modificaes indevidas de dados e programas;
Perda de dados e programas;
Destruio ou perdas de recursos e instalaes;
Interdies ou interrupes de serviosessenciais;
Roubo de propriedades.

Estes riscos ocorrem pelos seguintes principais motivos:

Negligncia atos no intencionais de funcionrios;

Subverso ataques disfarados, por funcionrios;
Acidentes ocorrncias acidentais, por fatores alheios;
Ataques furtivos ataques praticados por pessoas estranhas;
Ataques forados ataques s claras, praticados por funcionrios ou estranhos;
PSI: O que um risco?
www.eSecurity.com.br

Com relao a segurana, os riscos so compreendidos como condies que criam

ou aumentam o potencial de danos e perdas. medido pela possibilidade de um
evento vir a acontecer e produzir perdas.

Para evitar possveis perdas de informaes, que dependendo do seu grau de

sigilo, poder levar a empresa falncia, necessrio a elaborao de uma gesto
de riscos, onde os riscos so determinados e classificados, sendo depois
especificado um conjunto equilibrado de medidas de segurana que permitir
reduzir ou eliminar os riscos a que a empresa se encontra sujeita.

A norma NBR ISO 27002 nos oferece uma mtrica, em que o risco pode ser
calculado pela seguinte formula:

RISCO = (Ameaa) x (Vulnerabilidade) x (Valor do Risco)

PSI: Conquistando a aceitao
www.eSecurity.com.br

Aps a elaborao das PSIs, extremamente importante que ela seja assinada por
todos os funcionrios e terceiros, de todas as classes hierrquicas dentro da
empresa.

Este trabalha deve ser realizado de cima para baixo, ou seja, comeando com o
presidente e conselho, depois as mais altas cpulas da organizao e descendo
hierarquicamente todos os cargos, departamentos e sesses da instituio.

Aps esse processo, as PSIs deve ficar sempre disponveis e de fcil consulta para
todos os colaboradores, de forma digital e fsica.

Uma excelente maneira de aplicar e realizar o aceite desse processo, so atravs

de reunies e apresentaes das necessidades de sua implementao.

importante ressaltar que as PSIs no deve impactar no negcio, mas sim, deve
protege-la de qualquer ameaa.
Chega por hoje
www.eSecurity.com.br

www.eSecurity.com.br

E-mail: alan.sanches@esecurity.com.br

Twitter: @esecuritybr e @desafiohacker

Skype: desafiohacker

Fanpage: www.facebook.com/academiahacker