Neste documento há uma série de referências para políticas de segurança. Seguidamente, estas referências incluirão recomendações para políticas específicas.
O que é uma política de segurança?
Por que ter uma?
O que faz uma boa política de segurança?
Mantendo a política flexível
Links Complementares
Texto sobre Segurança, Política e Ética da Universidade de Stanford
As decisões que você como administrador toma ou deixa de tomar, relacionadas à segurança, irão determinar quão segura ou insegura é a sua rede, quantas funcionalidades ela irá oferecer, e qual será a facilidade de utilizá-la. No entanto, você não consegue tomar boas decisões sobre segurança, sem antes determinar quais são as suas metas de segurança. Até que você determine quais sejam elas, você não poderá fazer uso efetivo de qualquer coleção de ferramentas de segurança pois você simplesmente não saberá o que checar e quais restrições impor.
Por exemplo, seus objetivos provavelmente serão muito diferentes dos que são definidos por um vendedor de produto. Os vendedores procuram deixar a configuração e a operação de seus produtos o mais simplificado possível, o que implica que as configurações default normalmente serão bastante tão abertas (e por conseguinte inseguras) quanto possível. Se por uma lado isto torna o processo de instalação de novos produtos mais simples, também deixa acessos abertos, para qualquer usuário.
Seus objetivos devem ser determinados a partir das seguintes determinantes:
Seus objetivos devem ser comunicados a todos os usuários, pessoal operacional, e gerentes através de um conjunto de regras de segurança, chamado de "política de segurança". Nós utilizamos este termo ao invés de "política de segurança computacional", uma vez que o escopo inclui todos os tipos de tecnologias de informação e informações armazenadas e manipuladas pela tecnologia.
Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.
O principal propósito de uma política de segurança é informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançado. Outro propósito é oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurança na ausência de pelo menos uma política de segurança implícita não faz sentido.
Uma política de uso apropriado (Appropriate - ou Acceptable - Use Policy - AUP) pode também ser parte de uma política de segurança. Ela deveria expressar o que os usuários devem e não devem fazer em relação aos diversos componentes do sistema, incluindo o tipo de tráfego permitido nas redes. A AUP deve ser tão explícita quanto possível para evitar ambiguidades ou maus entendimentos. Por exemplo, uma AUP pode lista newsgroups USENET proibidos.
Texto sobre Privacidade e Segurança da Informação
Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da organização. É especialmente importante que a gerência corporativa suporte de forma completa o processo da política de segurança, caso contrário haverá pouca chance que ela tenha o impacto desejado. A seguinte lista de indivídulos deveria estar envolvida na criação e revisão dos documentos da política de segurança:
A lista acima é representativa para muitas organizações que tem controle acionário, mas não necessariamente para todas. A idéia é trazer representações dos membros, gerentes com autoridade sobre o orçamento e política, pessoal técnico que saiba o que pode e o que não pode ser suportado, e o conselho legal que conheça as decorrências legais das várias políticas. Em algumas organizações, pode ser apropriado incluir pessoal de auditoria. Envolver este grupo é importante se as política resultante deverá alcançar a maior aceitabilidade possível. Também é importante mencionar que o papel do conselho legal irá variar de país para país.
As características de uma boa política de segurança são:
Os componentes de uma boa política de segurança incluem:
.
Clique aqui para acessar a página de um dispositivo de autenticação:
The VASCO Data Security International
Smart Card Reader System
.
Pode haver requisitos regulatórios que afetem alguns aspectos de sua política de segurança (como a monitoração). Os criadores da política de segurança devem considerar a busca de assistência legal na criação da mesma. No mínimo, a política deve ser revisada por um conselho legal.
Uma vez que a política tenha sido estabelecida ela deve ser claramente comunicada aos usuários, pessoal e gerentes. Deve-se criar um documento que os usuários assinem, dizendo que leram, entenderam e concordaram com a política estabelecida. Esta é uma parte importante do processo. Finalmente sua política deve ser revisada regularmente para verificar se ela está suportando com sucesso suas necessidades de segurança.
No intuito de tornar a política viável a longo prazo, é necessário bastante flexibilidade baseada no conceito de segurança arquitetural. Uma política deve ser largamente independente de hardware e softwares específicos. Os mecanismos para a atualização da política devem estar claros. Isto inclui o processo e as pessoas envolvidas.
Também é importante reconhecer que há expectativas para cada regra. Sempre que possível a política deve expressar quais expectativas foram determinadar para a sua existência. Por exemplo, sob que condições um administrador de sistema tem direito a pesquisar nos arquivos do usuário. Também pode haver casos em que múltiplos usuários terão acesso à mesma userid. Por exemplo, em sistemas com um usuário root, múltiplos administradores de sistema talvez conheçam a senha e utilizem a conta.
Outra consideração é chamada a "Síndrome do Caminhão de Lixo". Isto se refe a o que pode acontecer ao um site se uma pessoa chave repentinamente não esteja mais disponível para sua função (ficou doente ou deixou a companhia). Enquanto a grande segurança reside na mínima disseminação de informação, o risco de perder informação crítica cresce quando a informação não é compartilhada. É importante determinar qual o peso ideal desta medida em seu site.