1

Polticas de Segurana
Alexandre Santos Carlos Robledo Werner Novembro/ 2011 Resumo Poltica de Segurana o conjunto de diretrizes destinadas a regulamentar como uma organizao gerencia suas informaes e recursos. Aliado a uma poltica de segurana tem-se a poltica de uso, que tem por objetivo deixar claro para o usurio o que ele pode ou no fazer com os recursos da instituio. Palavras-chave: Polticas de Segurana, Segurana da informao 1. INTRODUO O principal propsito de uma poltica de segurana informar aos usurios, equipe e gerentes, as suas obrigaes para a proteo da tecnologia e do acesso informao. A poltica deve especificar os mecanismos atravs dos quais estes requisitos podem ser alcanados. Outro propsito oferecer um ponto de referncia a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurana na ausncia de pelo menos uma poltica de segurana implcita no faz sentido. 2. CONCEITUANDO POLITICAS DE SEGURANA As informaes so os bens mais preciosos de uma organizao, por isso como se o local onde esto armazenadas parecesse com uma caixa-forte cercado de medidas para impedir acesso de pessoas estranhas ao ambiente. O porqu de tais medidas que estas informaes tm o poder de promover o crescimento da organizao gerando mais dinheiro e lucratividade. Entretanto, fcil perceber que a questo da segurana fsica muitas vezes deixada para segundo plano e s se percebe sua falta quando algo acontece e paralisa o funcionamento da rea de informtica.

A preocupao com a segurana da informao sempre existiu na humanidade. Estudos mostraram que alguns monumentos construdos por Khnumhote, arquiteto do fara Amenemhet II foram documentados e tiveram trechos dessas documentaes codificados atravs da substituio de palavras ou trechos do texto escrito em tabletes de argila. Caso esse tablete fosse roubado, o ladro no encontraria o caminho que o levaria ao tesouro morreria de fome, perdido nas catacumbas da pirmide. (Kahn, 1967) Diversos algoritmos de compactao foram desenvolvidos desde a Segunda Guerra Mundial devido necessidade de comunicao entre as tropas. Durante a guerra, a utilidade da compactao no era apenas a de diminuir a quantidade de informao que era passada atravs dos rdios, mas tambm a de esconder de alguma forma o contedo da informao para que esta no pudesse ser lida pelo inimigo. Isto possvel, pois um algoritmo de compactao nada mais do que um codificador e um decodificador que aplicado a um conjunto de dados. J nos tempos dos mainframes, as empresas tinham no somente uma preocupao com o sigilo das informaes como tambm com o prprio equipamento devido ao seu grande custo. Estes equipamentos ficavam em salas isoladas com baixa temperatura e pouqussimas pessoas tinham acesso. Alm da preocupao com o ambiente fsico, as empresas tambm buscavam se assegurar que, em caso de danos das informaes por acidentes ou defeitos nos equipamentos, elas tivessem como recuperar as informaes perdidas. Elas realizavam ento cpias das informaes como medida de segurana. Quando se fala em segurana computacional alguns elementos devem ser destacados, elementos estes que so os paradigmas bsicos para composio de uma Poltica de Segurana: Integridade: condio na qual a informao protegida contra modificaes no autorizadas, ou seja, garantir que o que est sendo acessado idntico ao que foi armazenado; Confidencialidade: fazer com que as informaes no sejam disponibilizadas sem autorizao do proprietrio, ou seja, garantir que os dados s sejam

acessados por quem de direito, protegendo assim a privacidade dos usurios e dos dados; Disponibilidade: caracterstica relacionada diretamente a possibilidade de acesso s informaes por parte daqueles que necessitam para a realizao de suas atividades; Confiana: garantir que os dados armazenados estaro disponveis quando necessrios e que o mecanismo de backup seja utilizado com eficincia para que as informaes sejam recuperadas com facilidade. Alm disso, em toda poltica devem estar inclusos componentes que iro definir os direitos e privilgios de cada usurio, definindo assim uma linha de conduta a ser seguida. Tambm importante elaborar um guia de compras para equipamentos, onde estaro os requisitos ou caractersticas que cada produto deve ter. Dada a importncia da poltica de segurana nas instituies, este trabalho tem por objetivo elaborar um conjunto de diretrizes que devem ser seguidas na elaborao de uma poltica. Assim, abranger temas como: Segurana Fsica: onde sero abordados assuntos como a proteo dos equipamentos da instituio, integridade fsica dos dados, controle de acesso fsico, infra-estrutura, plano de contingncia; Segurana Lgica: como garantir a integridade lgica dos dados, proteo dos dados da instituio, proteo da privacidade dos usurios; Poltica de Uso: papel do usurio na implantao da poltica. 3. EXEMPLOS PARA CRIAO DE POLTICAS Primeiramente temos que definir as pessoas ou equipes que vo ser responsveis pela elaborao, implantao e manuteno da poltica. Devemos definir as responsabilidades de cada equipe/pessoas, e trabalhar em conjunto com pessoas da alta administrao da organizao para aprovao da poltica e de fato obter maior respeito dos colaboradores que j estaro tambm conhecendo a poltica. Agora j temos como base uma poltica para elaborar procedimentos e controles em cima de regras que os colaboradores j conhecem.

Principais fases para a elaborao de uma poltica: Identificao dos recursos crticos: mapeamento dos processos da empresa e definir prioridades, importncia de cada processo, definindo assim prioridades de segurana nos processos que mais influenciam na organizao. Elaborao de normas e procedimentos: a elaborao deve ser feita sobre os seguintes aspectos: Acessos externos, internos, fsico e lgico; Uso da Intranet e Internet; Uso e instalao de softwares; Uso de correio eletrnico; Poltica de senhas; Poltica de Backup; Uso e utilizao de antivrus; Auditoria; Outros Definir um plano que ser utilizado aps acontecer um incidente para diminuir o impacto causado e dar seqncia s atividades da organizao o mais rpido possvel, minimizando os prejuzos. Definir punies de acordo com a organizao, normalmente o grau da punio medido pelo grau do incidente, ou tamanho do dano causado, podendo ser at demitido. Por isso a alta organizao deve estar de acordo com a poltica de segurana e os colaboradores deve ter aderido e concordado com um termo de compromisso, podendo assim sofrer penalizaes em mbito judicial. Os direitos para os usurios so as atividades/procedimentos que o usurio tem autorizao para realizar, garantido que a utilizao/realizao de forma correta dessas atividades, procedimentos, est de acordo com os direitos a ele garantido. As obrigaes para os usurios so as regras nas quais obrigado a realizar, todas estas obrigaes so determinadas no termo, na poltica de segurana.

As proibies aos usurios so as regras que define o que o usurio no pode fazer, so as restries, so detalhadas na poltica de segurana. A elaborao de um termo de compromisso utilizada na formalizao do comprometimento dos colaboradores em seguir a poltica de segurana, e os deixado cientes das conseqncias do seu no cumprimento. Deve ser assinado juntamente com o contrato de trabalho, ou adicionado ao mesmo caso a poltica seja implantada depois de sua contratao, a rea jurdica da organizao deve fazer uma anlise do documento. Aps os passos anteriores devemos comunicar a diretoria da empresa sobre a implantao e a importncia da implantao da poltica na organizao, definir o comunicado e a forma de comunicao que ser feita para deixar os funcionrios cientes do incio da implantao. A divulgao da poltica deve-se estender a todos os funcionrios da empresa. Os mtodos de divulgao mais utilizados so: campanhas internas, palestras de conscientizao; jornais e folhetos internos; mailing; Intranet; deve ser criado um manual com as normas e procedimentos com linguagem de fcil entendimento. No h polticas de segurana prontas para a utilizao e mesmo havendo no seria vivel, pois cada organizao tem suas particularidades, e devemos definir a poltica analisando a organizao que ser implantada a poltica. 4. ADOTANDO AS POLTICAS DE SEGURANA Como principais benefcios estratgicos obtidos com a poltica de segurana, podemos destacar: Reduo dos riscos gerais da empresa. Minimizao dos custos com incidentes de segurana. Definio de regras e responsabilidades para os funcionrios. As vantagens em cima disso so que haver maior segurana da informao, diminuio das interrupes de acesso a internet ou a rede devido a softwares

maliciosos e ataques externos, menor necessidade de atendimento de suporte corretivo e demais facilidades. As desvantagens e maiores impactos na implantao de uma poltica de segurana esta na cultura de uso dos usurios aos recursos computacionais, pois os mesmos podem achar que isso alguma maneira de que eles estejam sendo perseguidos, restringindo os acessos pessoais podendo caracterizar invaso de privacidade. 5. CONSIDERAES FINAIS Seja no mundo real ou no mundo virtual, a segurana um aspecto fundamental na vida do homem. Desde os tempos antigos a busca por este aspecto constante, pois os perigos esto disponveis e contra eles deve haver uma soluo. medida que as tecnologias evoluem, as tcnicas para fraud-las tambm so aperfeioadas e cada vez mais fcil conseguir ferramentas e tutoriais para invadir um sistema. As ferramentas de proteo apresentam, quando bem utilizadas, formas de atenuar ou at reduzir ao mximo os riscos que ameaam as redes de computadores 6. REFERNCIAS http://pt.kioskea.net/contents/secu/securite-besoins.php3 http://cartilha.cert.br/incidentes/sec1.html#subsec1.2