2. Políticas de Segurança

Neste documento há uma série de referências para políticas de segurança. Seguidamente, estas referências incluirão recomendações para políticas específicas.

O que é uma política de segurança? Por que ter uma?
O que faz uma boa política de segurança?
Mantendo a política flexível
Links Complementares

Introdução:

Texto sobre Segurança, Política e Ética da Universidade de Stanford

2.1 - O que é uma política de segurança? Por que ter uma?

As decisões que você como administrador toma ou deixa de tomar, relacionadas à segurança, irão determinar quão segura ou insegura é a sua rede, quantas funcionalidades ela irá oferecer, e qual será a facilidade de utilizá-la. No entanto, você não consegue tomar boas decisões sobre segurança, sem antes determinar quais são as suas metas de segurança. Até que você determine quais sejam elas, você não poderá fazer uso efetivo de qualquer coleção de ferramentas de segurança pois você simplesmente não saberá o que checar e quais restrições impor.

Por exemplo, seus objetivos provavelmente serão muito diferentes dos que são definidos por um vendedor de produto. Os vendedores procuram deixar a configuração e a operação de seus produtos o mais simplificado possível, o que implica que as configurações default normalmente serão bastante tão abertas (e por conseguinte inseguras) quanto possível. Se por uma lado isto torna o processo de instalação de novos produtos mais simples, também deixa acessos abertos, para  qualquer usuário.

Seus objetivos devem ser determinados a partir das seguintes determinantes:

  1. Serviços oferecidos versus Segurança fornecida - Cada serviço oferecido para os usuários carrega seu próprios riscos de segurança. Para alguns serviços, o risco é superior que o benefício do mesmo, e o administrador deve optar por eliminar o serviço ao invés de tentar torná-lo menos inseguro.
  2. Facilidade de uso versus Segurança - O sistema mais fácil de usar deveria permitir acesso a qualquer usuário e não exigir senha, isto é, não haveria segurança. Solicitar senhas torna o sistema um pouco menos conveniente, mas mais seguro. Requerer senhas "one-time" geradas por dispositivos, torna o sistema ainda mais difícil de utilizar, mas bastante mais seguro.
  3. Custo da segurança versus o Risco da perda - Há muitos custos diferentes para segurança: monetário (o custo da aquisição de hardware e software como firewalls, e geradores de senha "one-time"), performance (tempo cifragem e decifragem), e facilidade de uso. Há também muitos níveis de risco: perda de privacidade (a leitura de uma informação por indivíduos não autorizados), perda de dados (corrupção ou deleção de informações), e a perda de serviços (ocupar todo o espaço disponível em disco, impossibilidade de acesso à rede). Cada tipo de custo deve ser contra-balançado ao tipo de perda.

Seus objetivos devem ser comunicados a todos os usuários, pessoal operacional, e gerentes através de um conjunto de regras de segurança, chamado de "política de segurança". Nós utilizamos este termo ao invés de "política de segurança computacional", uma vez que o escopo inclui todos os tipos de tecnologias de informação e informações armazenadas e manipuladas pela tecnologia.

2.1.1 - Definição de uma política de segurança

Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.

2.1.2 - Propósitos de um política de segurança

O principal propósito de uma política de segurança é informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançado. Outro propósito é oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurança na ausência de pelo menos uma política de segurança implícita não faz sentido.

Uma política de uso apropriado (Appropriate - ou Acceptable - Use Policy - AUP) pode também ser parte de uma política de segurança. Ela deveria expressar o que os usuários devem e não devem fazer em relação aos diversos componentes do sistema, incluindo o tipo de tráfego permitido nas redes. A AUP deve ser tão explícita quanto possível para evitar ambiguidades ou maus entendimentos. Por exemplo, uma AUP pode lista newsgroups USENET proibidos.

Texto sobre Privacidade e Segurança da Informação

2.1.3 - Quem deve ser envolvido na formulação da política?

Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da organização. É especialmente importante que a gerência corporativa suporte de forma completa o processo da política de segurança, caso contrário haverá pouca chance que ela tenha o impacto desejado. A seguinte lista de indivídulos deveria estar envolvida na criação e revisão dos documentos da política de segurança:

A lista acima é representativa para muitas organizações que tem controle acionário, mas não necessariamente para todas. A idéia é trazer representações dos membros, gerentes com autoridade sobre o orçamento e política, pessoal técnico que saiba o que pode e o que não pode ser suportado, e o conselho legal que conheça as decorrências legais das várias políticas. Em algumas organizações, pode ser apropriado incluir pessoal de auditoria. Envolver este grupo é importante se as política resultante deverá alcançar a maior aceitabilidade possível. Também é importante mencionar que o papel do conselho legal irá variar de país para país.

Clique aqui para acessar informações sobre o time de resposta a incidentes de segurança da Universidade de Stanford

2.2 O que faz uma boa política de segurança?

As características de uma boa política de segurança são:

  1. Ela deve ser implementável através de procedimentos de administração, publicação das regras de uso aceitáveis, ou outros métodos apropriados.
  2. Ela deve ser exigida com ferramentas de segurança, onde apropriado, e com sanções onde a prevenção efetiva não seja tecnicamente possível.
  3. Ela deve definir claramente as áreas de responsabilidade para os usuários, administradores e gerentes.

Os componentes de uma boa política de segurança incluem:

  1. Guias para a compra de tecnologia computacional que especifiquem os requisitos ou características que os produtos devem possuir.
  2. Uma política de privacidade que defina expectativas razoáveis de privacidade relacionadas a aspectos como a monitoração de correio eletrônico, logs de atividades, e acesso aos arquivos dos usuários.
  3. Uma política de acesso que define os direitos e os privilégios para proteger a organização de danos, através da especificação de linhas de conduta dos usuários, pessoal e gerentes. Ela deve oferecer linhas de condutas para conexões externas, comunicação de dados, conexão de dispositivos a uma rede, adição de novos softwares, etc. Também deve especificar quaisquer mensagens de notificação requeridas (por exemplo, mensagens de conexão devem oferecer aviso  sobre o uso autorizado, e monitoração de linha, e não simplesmente "welcome".
  4. Uma política de contabilidade que defina as responsabilidades dos usuários. Deve especificar a capacidade de auditoria, e oferecer a conduta no caso de incidentes (por exemplo, o que fazer e a quem contactar se for detectada uma possível intromissão.
  5. Uma política de autenticação que estabeleça confiança através de uma política de senhas efetiva, e através da linha de conduta para autenticação de acessos remotos e o uso de dispositivos de autenticação.

  6. .
    Clique aqui para acessar a página de um dispositivo de autenticação:
    The VASCO Data Security International Smart Card Reader System
    .

  7. Um documento de disponibilidade que define as expectativas dos usuários para a disponibilidade de recursos. Ele deve endereçar aspectos como redundância e recuperação, bem como especificar horários de operação e de manutenção. Ele também deve incluir informações para contato para relatar falhas de sistema e de rede.
  8. Um sistema de tecnologia de informação e política de manutenção de rede que descreva como tanto o pessoal de manutenção interno como externo devem manipular e acessar a tecnologia. Um tópico importante a ser tratado aqui é como a manutenção remota é permitida e como tal acesso é controlado. Outra área para considerar aqui é a terceirização e como ele é gerenciada.
  9. Uma política de relatório de violações que indique quais os tipos de violações devem ser relatados e a quem estes relatos devem ser feitos. Uma atmosfera de não ameaça e a possibilidade de denúncias anônimas irá resultar uma grande probabilidade que uma violação seja relatada.
  10. Suporte a informação que ofereça aos usuários informações para contato para cada tipo de violação; linha de conduta sobre como gerenciar consultas externas sobre um incidente de segurança, ou informação que seja considerada confidencial ou proprietária; referências cruzadas para procedimentos de segurança e informações relacionadas, tais como as políticas da companhia e leis e regulamentações governamentais.

Pode haver requisitos regulatórios que afetem alguns aspectos de sua política de segurança (como a monitoração). Os criadores da política de segurança devem considerar a busca de assistência legal na criação da mesma. No mínimo, a política deve ser revisada por um conselho legal.

Uma vez que a política tenha sido estabelecida ela deve ser claramente comunicada aos usuários, pessoal e gerentes. Deve-se criar um documento que os usuários assinem, dizendo que leram, entenderam e concordaram com a política estabelecida. Esta é uma parte importante do processo. Finalmente sua política deve ser revisada regularmente para verificar se ela está suportando com sucesso suas necessidades de segurança.

2.3 - Mantendo a política flexível

No intuito de tornar a política viável a longo prazo, é necessário bastante flexibilidade baseada no conceito de segurança arquitetural. Uma política deve ser largamente independente de hardware e softwares específicos. Os mecanismos para a atualização da política devem estar claros. Isto inclui o processo e as pessoas envolvidas.

Também é importante reconhecer que há expectativas para cada regra. Sempre que possível a política deve expressar quais expectativas foram determinadar para a sua existência. Por exemplo, sob que condições um administrador de sistema tem direito a pesquisar nos arquivos do usuário. Também pode haver casos em que múltiplos usuários terão acesso à mesma userid. Por exemplo, em sistemas com um usuário root, múltiplos administradores de sistema talvez conheçam a senha e utilizem a conta.

Outra consideração é chamada a "Síndrome do Caminhão de Lixo". Isto se refe a o que pode acontecer ao um site se uma pessoa chave repentinamente não esteja mais disponível para sua função (ficou doente ou deixou a companhia). Enquanto a grande segurança reside na mínima disseminação de informação, o risco de perder informação crítica cresce quando a informação não é compartilhada. É importante determinar qual o peso ideal desta medida em seu site.

Links Complementares:

Política de Segurança da NASA para a Internet

Desenvolvimento da Política de Segurança