Prepara

1
Preparação de umaPolítica de Segurança
2
Etapas

• Identificar a necessidade de ter uma política de
  segurança
• Elaborar um guião
• Definir a política de segurança da empresa
• Definir as estratégias de realização da segurança
• Definir o modo de concretizar as estratégias
• Definir os procedimentos de segurança

3
Definir Política de Segurança

• Fazer análise de risco
• Política de segurança
• Actividades
• Responsabilidades
• Divulgação e formação do pessoal
• Boas práticas
• Análise de riscos específica
• Contramedidas específicas

4
Impacto
Plano (o que fazer se)
Evitar (o quê)
Expectativas
Controlar (o que fazer)
Aceitar o risco (Então o que fazer se ...)
5
Formato das Políticas de Segurança

• Documento escrito
• Aprovado ao mais alto nível da hierarquia
• Clareza
• Concisão
• Elaborado pelo responsável directo
• Deve ser dirigido para atingir o nível de
  segurança adequado aos bens a proteger

6
Formato das Políticas de Segurança

• Obrigar ao mínimo número de alterações ao
  funcionamento da organização
• Plano não deve ser demasiado específico
• Deve ser fazível
• Recursos devem ser quantificados
• Deve prever a formação dos intervenientes
• Documentação / manuais
• Formação directa

7
Formato das Políticas de Segurança

• Deve prever as acções concretas e quem as realiza
• Deve prever o que fazer em casos de falha

8
Procedimentos de Segurança

• Fáceis de entender, ou não serão postos em
  prática
• Explicada a sua finalidade, ou serão ignorados
• Impostos com energia, ou tentarão contorná-los
• Definir sanções para os violadores

9
Procedimentos de Segurança

• Cada empregado só precisa de saber os
  procedimentos de segurança que lhe dizem respeito
• Ao contrário das políticas de segurança, os
  procedimentos devem ser largamente divulgados
• Os procedimentos devem estar escritos e incluir
  directivas claras

10
Segurança e Recursos Humanos

• Muitas vezes a segurança é quebrada por elementos
  internos à organização
• O infiltrado
• Questões económicas - a crise familiar
• Detenção de informação sobre a organização
  interna
• Cada técnico de segurança só deve conhecer o
  estritamente necessário ao desempenho da sua
  função (níveis de acesso aos recursos)
• Smart-cards
• Circuito de vídeo

11
Níveis de Segurança do Livro Laranja

• Segurança dedicada (D, C1)
• Segurança elevada (C2, B1)
• Segurança controlada (B2, B3)
• Segurança multi-nível (A1)

12
Níveis de Segurança do Livro Laranja

• Divisão D
• Protecção mínima
• Divisão C
• Classe C1 - Separação limitada de utilizadores e
  dados
• Classe C2 - Controlo de acesso de utilizadores e
  dados de maior granularidade

13
Níveis de Segurança do Livro Laranja

• Divisão B
• Classe B1 - Informação etiquetada e controlo de
  acesso mandatório sobre alguns utilizadores e os
  dados que manipulam
• Classe B2 - idem a todos os utilizadores
• Classe B3 - idem mas com possibilidades de
  registo de toda a actividade sobre os dados

14
Níveis de Segurança do Livro Laranja

• Divisão A
• Classe A1 - idem a B3 mas as facilidades de
  segurança tem de ser provadas por meios formais

15
Perfil Psicológico doTécnico de Segurança

• O Rigoroso
• O descuidado
• O calado
• O gabarolas
• O ex-hacker

16
Situações Especiais

• Entrada de novo funcionário
• Funcionário insatisfeito
• Funcionário com problemas pessoais
• Financeiros
• Familiares
• Recomendação rodar o pessoal entre funções
  compatíveis

17
Pessoal

• Importância do treino inicial
• Importância do treino periódico
• Divulgação de casos exemplares

18
Auditoria Revisitada

• Auditoria aos procedimentos
• Auditoria aos incidentes
• Auditoria ao pessoal
• Entrevistas individuais (a ameaça pendente)
• Revisão das políticas