Framework de Politicas de Segurança da Informação a chave do sucesso !  A PSI mau implementada é apenas um documento meramente formal e obrigatório mas sem utilidade prática, por isto neste artigo vamos falar um pouco sobre o Framework de Políticas de Segurança da Informação, dando alguns exemplos e sua importância para a segurança da informação nas empresas.

Framework de Segurança de TI

Um framework de segurança da informação é uma série de processos que são usados para definir políticas e procedimentos em torno da implementação e gerenciamento contínuo de controles de segurança da informação em um ambiente corporativo. Esses quadros são basicamente um “modelo” para a construção de um programa de segurança da informação para gerenciar riscos e reduzir vulnerabilidades. Os profissionais de segurança da informação podem utilizar essas estruturas para definir e priorizar as tarefas necessárias para melhorar a segurança em uma organização.

É importante considerar que todo e qualquer framework deve considerar o tripé Pessoas, Tecnologia e Processos, pra que seja completo e viável e efetivo em sua implementação. Devemos considerar que a falta de algum destes três itens acarretará complicadores para a empresa, por exemplo e tivermos Processos e Tecnologia mas não envolvermos as Pessoas teremos um problema de alienação quanto aos processos a serem seguidos e também um subutilização dos recursos tecnológicos disponíveis. O mesmo acontece se tivermos  Processos e Pessoas e não tivermos Tecnologia, neste caso teremos um frustração das pessoas que serão sobrecarregadas com tarefas manuais e improdutivas aumentando significativamente o custo operacional. No caso de termos Tecnologia e Pessoas e não tivermos processos o resultado será um caos tecnológico, uma baixa qualidade operacional e uma dificuldade enorme de padronização dos serviços prestados.

Security Policy Framework

A MindSec define o Framework de  Política de Segurança da Informação como sendo um conjunto de políticas, normas, procedimentos e padrões, firmados pela alta diretoria da empresa, com as principais definições relativas à da guarda, manuseio e transporte da informação de forma garantir a Integridade, Disponibilidade, Confidencialidade e Auditabilidade da informação em todos os instantes da sua cadeia produtiva, incluindo Pessoas, Tecnologia e Processos.

O Security Policy Framework é constituído dos seguintes documentos:

      • Politica de segurança da informação
      • Normas de segurança da informação
      • Processos de segurança da informação
      • Padrões de segurança da informação

O produto do Security Policy Framework é um conjunto de documentos com as principais definições do cliente, de forma a que este seja utilizado como um guia de tecnologia, processos e comportamento para todo e qualquer funcionário que vier a atuar na empresa.

Uma boa PSI deve considerar o processo baseado em linhas de defesas para que possa ser abrangente e robusta o suficiente para a proteção da empresa. As linhas de defesas a serem consideradas como diretriz para a escrita de uma PSI são:

  • Auditoria
  • Monitoração
  • Ferramentas
  • Verificação
  • Controles
  • Processos

Em vista das novas regulamentações nacionais e internacionais, é claro que uma boa PSI deve estar aderente a todas as recomendações legais existentes, por exemplo os critérios de privacidade, sigilo de dados e gestão de incidentes e de terceiros. De outra forma, com o aumento da importância da segurança da informação dentro das empresas crescem também as ameaças. Um exemplo disso são os Ransomware, uma das formas de ataques mais comentadas dos últimos anos, as politicas de segurança da informação estão aí para tentar evitar esse tipo de ataque.

De acordo com o centro de estudos, respostas e tratamento de incidentes de segurança no Brasil ocorreram mais de 722 milhões de incidentes de segurança por ano. Uma politica de segurança da informação pode contribuir e muito para que sua empresa não entre para esses números.

Série ISO 27000

A série ISO 27000 foi desenvolvida pela Organização Internacional de padrões. Ele fornece um framework de segurança da informação muito ampla que pode ser aplicada a todos os tipos e tamanhos de organizações. Pode ser pensado como segurança da informação equivalente aos padrões de qualidade ISO 9000 para fabricação e até inclui um processo de certificação semelhante. É dividido em sub-padrões diferente com base no conteúdo. Por exemplo, a ISO 27000 consiste em uma visão geral e vocabulário, enquanto a ISO 27001 define os requisitos para o programa. A ISO 27002, que foi desenvolvido a partir do padrão britânico BS7799 define as etapas operacionais necessárias em um programa de segurança da informação.

Atualmente existem mais de 170 ISOs relativas a segurança da informação, por isto poderíamos citar aqui outros frameworks que auxiliam a segurança da informação, porém estes dois são os mais relevantes e utilizados, por isto vamos nos ater a eles neste artigo.

O que seria uma politica de segurança da informação?

Uma politica de segurança da informação (PSI) é uma forma de como a empresa lida com seus ativos de informação, ou seja, tudo aquilo que possua informação de valor. Ela é guiada pelos três princípios básicos da segurança da informação, que são resumidos da seguinte forma:

  • Confidencialidade: As informações só devem ser acessadas por pessoal autorizado.
  • Integridade: As informações só devem ser alteradas por pessoal autorizado.
  • Disponibilidade: As informações devem estar sempre disponíveis pelo pessoal autorizado.

Como você deve ter reparado, a segurança da informação é atravessada pela questão da autorização. Para garantir esses princípios são usadas uma vasta gama de ferramentas dependendo do grau em que a informação ou empresa precisa ser protegida.

Por onde começar?

As politicas de segurança da informação são elaboradas pela norma ISO 27001, que define estratégias para as etapas que fazem parte desse processo de elaboração. A seguir apresentamos as principais fases de implementação de uma política de segurança da informação.

Diagnóstico de segurança da informação

Antes de começar a elaborar as PSI devemos conhecer muito bem os ativos de informação, a cultura e as necessidades da empresa, a partir disso hierarquizar os ativos para priorizá-los nas PSI.

Além disso é preciso avaliar quais são as ameaças e vulnerabilidades desses ativos. Esta etapa também é uma das principais para a elaboração de um plano de gerenciamento dos riscos, um dos instrumentos mais importantes para as politicas de segurança da informação.

Elaboração da PSI

Com as informações coletadas da fase de diagnóstico, podemos então de fato elaborar nossa PSI que atenda aos requisitos da sua empresa. No entanto essa etapa não pode ser feita apenas por profissionais da área da TI. Um boa PSI deve ser feita por uma equipe que abrange todos os setores da empresa, até porque a politica deve ser aplicada a todos os funcionários da instituição e ser altamente diretiva, como uma carta magma do board para todos da empresa. A PSI deve ser curta o suficiente para que todos leiam (3 ou 4 páginas no máximo), deverá conter todos os pontos relevantes que a ISO aponta, no entanto deixando os detalhes para as normas e procedimentos.

A política de segurança deve entre outros definir necessidades específicas como por exemplo:

  • Existência  de normas para itens específicos como senha, controle de acesso, contingência, guarda de informações, terceiros e monitoração;
  • Responsabilidades de cada membro da empresa e consequências quando do não cumprimentos das diretrizes;
  • Necessidades de segregação de funções e estruturas organizacionais adequadas para a gestão de segurança da informação,
  • Treinamentos periódicos e campanhas de conscientização,  etc…

Um modelo diretivo que podemos utilizar é o formato de escrita da ISO 27001, que define requisitos para implementação, operação, monitoramento, revisão, manutenção e melhoria de um sistema de gestão de segurança da informação, mas não define quais controles ou como estes devem ser implementados. A ISO 27001 pode ser aplicada em qualquer organização independentemente do porte ou setor e é ainda valorizada em empresas que priorizam a segurança da informação e a têm como fator crítico para as operações, como é o caso das empresas de finanças, TI e setores públicos.

É crucial nessa etapa que você tenha o apoio de toda a empresa, uma vez que sua política já está pronta é necessário que todos os funcionários aprendam a trabalhar dentro dela. Para isso você pode fazer palestras e treinamentos para ajudar no aprendizado dos funcionários, além do estabelecimento de punições para descumprimento da política.

Embora a Política tenha caráter diretivo, os itens que a compõe e que tratam de assuntos mais específicos estão sujeitos a novas vulnerabilidades que sempre irão surgir, com isso é crucial que sua política de segurança da informação esteja sempre atualizada de acordo com sua necessidade, uma PSI atualizada é essencial para reduzir os riscos da empresa quanto a segurança da informação. Tenha um responsável para essas revisões e melhorias. Vale lembrar que toda preocupação com a segurança da informação nunca será demais.

Normas de segurança da informação

As Normas de segurança têm um caráter menos diretivo e mais normativo, mais tático, de forma a detalhar um pouco mais as diretivas definidas na Político principal. Por exemplo, a PSI define que toda informação sensível deve ser protegida de forma a garantir a sua confidencialidade, a Norma deverá estabelecer que para cumprir este requisito da PSI deve-se implementar soluções de criptografia em todas as bases de dados.

Para auxiliar, existem normas internacionais que regem a elaboração e aplicação de controles em um sistema de gestão de segurança da informação. Elas têm o objetivo de garantir confidencialidade, integridade e disponibilidade da informação, fatores essenciais para um sistema corporativo e seguro.

A aplicação das normas da série ISO/IEC 27000 não é obrigatória, mais elas reúnem recomendações para uma gestão eficiente e que entregue bons resultados para a companhia. Dentre elas apenas a 27001 é passível de certificação. As demais funcionam como base para alcançar resultados positivos.

Assim como a ISO 27001 é escrita de forma diretiva, a ISO 27002 define e associa controles necessários para a proteção da informação, o que auxiliam sobremaneira a criação dos normativos de segurança da informação, mas ainda não define o como ou quais controles serão implementados.

Processos de segurança da informação

De forma complementar a Política e Normas, para proteger adequadamente a informação da organização, é necessária uma abordagem estruturada que permita um planejamento e a priorização das ações que devem ser executadas. Entendemos que para o sucesso da proteção da informação, é obrigatória a implantação de Processos Corporativos da Segurança da Informação, que irão definir o “como” é implementado os controles definidos nos documentos anteriores.

Uma abordagem prática para o desenvolvimento e a implantação desses processos, independentemente do tamanho da sua organização, e dos conceitos e recomendações aqui apresentadas pode ser trabalhado pela equipe de SI de forma bem estruturada, mas deve envolver toda a organização, como já mencionado. Evidentemente, precisamos de sabedoria para fazer os ajustes necessários adequado a sua organização, pois todos os colaboradores deverão seguir estes normas e obviamente elas não podem inibir ou burocratizar sobremaneira o trabalho dos profissionais, senão os processos simplesmente não serão seguidos.

Em primeiro lugar é necessário tomar um referencial teórico, sugerimos a família das normas ISO 27000, mais especificamente a norma NBR ISO 27002.

Dessa maneira, podemos estruturar a Política, as Normas e Processos de segurança da informação como a figura mostra abaixo.

Padrões de segurança da informação

Em plena era da informação existe um entendimento, por parte das organizações empresariais e institucionais, de que um simples antivírus padrão não basta para atender as atuais demandas de segurança em TI, e que o perigo de uma experiência negativa nesta área é muito real. Ou seja, para muitos, existe a consciência do risco em negligenciar esta área, associada à uma esperança mágica de que a sua organização nuca seja alvo de um cibercriminoso. Porém, essa crença muda rapidamente depois da primeira invasão e perda de informações valiosas para o funcionamento dos negócios.

Por isto é importante que a segurança da informação defina Padrões de Segurança da Informação que irã ser seguidos nas implementações de soluções de TI ou no fornecimento de equipamentos e recursos para os profissionais. Quase sempre as empresas possuem Políticas, Normas e Procedimentos, mas esquecem-se das definições dos padrões de software e hardwares (tecnologia, versão e configuração) a serem utilizados, permitindo com isto a existência de diversos softwares e equipamentos com configurações muitos distintas, dificultando sobremaneira a administração do e introduzindo riscos desnecessários ao ambiente.

Por exemplo, a proteção de Endpoint é uma avançada ferramenta de segurança, que garante um alto nível de performance e tranquilidade nesta área. O seu funcionamento abrange um vasto leque de sistemas, protegendo Windows, Macs, Linux, além de dispositivos móveis como iphone, ipad, smartphones e tablets android. A segurança é aplicada em todos os terminais de trabalho, que é administrada eficientemente por uma única plataforma extensível de gerenciamento de segurança, no entanto qual o software será utilizado? O que será permitido utilizar no equipamento de forma padrão? Será permitido o uso de USB, CD/DVD, WIFI etc?   Quais as configurações que serão implementados na solução?

Outro bom exemplo é o serviço de Hardening de Servidores. O Sistema Operacional e componentes é destinado a empresas que provêm serviços a usuários externos e internos, por meio do armazenamento ou processamento de dados sensíveis. Atualmente, empresas são alvos de ataques devido ao alto valor de seus serviços e dados nelas armazenados e processados. Desta forma, o serviço de hardening compreende um conjunto de parâmetros para a instalação, configuração e manutenção de servidores e equipamentos diversos (incluindo desktops e notebooks) de forma segura antes que os equipamentos sejam colocados em produção, auxiliando na gestão dos riscos organizacionais, reduzindo a possibilidade da exploração de vulnerabilidades baseadas em falhas de software em sistemas operacionais e aplicações, devido a configurações incorretas ou utilização de serviços de forma inadequados.

Concluindo

Um bom framework de política de segurança deve compreender diretrizes, normativos, processos e padrões que orientem claramente as diversas equipes técnicas e de negócios para a implementação de tecnologia de forma segura, reduzindo os riscos e impactos de eventuais ataques, que certamente a empresa irá sofrer.

Fonte: Minuto da Segurança

Referências : https://www.alertasecurity.com.br/blog/183-politica-de-seguranca-da-informacao-entenda-a-sua-importancia

              http://searchsecurity.techtarget.com/tip/IT-security-frameworks-and-standards-Choosing-the-right-one

Por: Kleber Melo, Sócio fundador da MindSec Segurança e Tecnologia da Informação, proprietário e redator do Blog Minuto da Segurança