De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques. O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido. Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005. Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido). Os elementos da política de segurança devem ser considerados: - A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.
- A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
- A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
- A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
- A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
Acompanhe os sete pecados (falhas) mais comuns cometidos durante a elaboração das políticas de segurança e de privacidade nas organizações: - Falhar ao avaliar os riscos - A primeira questão que qualquer organização precisa se fazer antes de escrever uma política é: porque precisamos disso e aonde queremos chegar? Apesar de parecer óbvio, é um passo crítico.
- Basear-se em regras prontas - a política precisa ser escrita com base nas necessidades específicas de cada companhia. Ou seja, de acordo com o consultor, ela pode até levar em conta exemplos prontos, mas os mesmos precisam ser adequados à realidade única das empresas.
- Não criar um padrão - É necessário existir uma estutura padrão para todos os documentos que forem criados. Parte das políticas estão escritas no papel, mas o resto não. As organizações devem adotar a governança para padronizar os procedimentos para definir como as políticas são criadas, distribuídas e mantidas.
- Ter políticas que só são boas no papel - Muitas vezes as organizações nem se dão conta de que não estão seguindo uma política existente. E, na maior parte das vezes, a leitura das regras existentes acaba sendo bastante subjetiva, o que é um erro.
- Errar na hora de envolver os gestores - As organizações esperam que todos utilizem um crachá, mas isso não se aplica ao CEO, certo? Errado. Todos precisam seguir as políticas de segurança, inclusive o mais alto nível da organização. As empresas precisam que os principais gestores sejam os embaixadores das melhores práticas de segurança. Na realidade, existe uma razão para acreditar que eles deveriam estar sujeitos a regras mais restritivas, uma vez que têm acesso a informações estratégicas.
- Escrever uma política depois que o sistema está desenvolvido - A segurança precisa fazer parte do processo de desenvolvimento dos sistemas. Isso porque, quando isso não acontece fica muito mais difícil adequar as soluções prontas às normas já existentes.
- Esquecer de avaliar - De nada adianta seguir todos os passos anteriores se não houver uma avaliação constante da política de segurança. Pelo menos a cada um ano, o documento seja totalmente revisado.
Na prática, as políticas precisam ser tratadas como um processos, ou seja, algo que não só deve funcionar bem como também precisa ser constantemente adequado.
|
|
