2.3. Políticas e Procedimentos de Segurança

O objetivo deste módulo é apresentar os principais fundamentos para uma Política de Segurança da Informação

Políticas e procedimentos de segurança são fundamentais para estabelecer uma base sólida de cibersegurança dentro de uma organização. Eles fornecem diretrizes claras sobre como proteger os ativos de informação, garantir a conformidade com regulamentações e normas e promover uma cultura de segurança entre os funcionários.

Importância das Políticas de Segurança

  1. Definição de Expectativas:

    • Diretrizes Claras: As políticas de segurança estabelecem expectativas claras para o comportamento dos funcionários em relação ao uso e proteção de sistemas e dados corporativos.

    • Padrões de Segurança: Definem padrões e práticas recomendadas para proteger informações sensíveis contra ameaças cibernéticas.

  2. Conformidade e Regulamentação:

    • Regulamentações: Ajudam a garantir a conformidade com leis e regulamentações, como GDPR, HIPAA, e LGPD, que exigem medidas específicas de proteção de dados.

    • Auditorias: Facilitam auditorias internas e externas ao fornecer um conjunto documentado de práticas e controles de segurança.

  3. Minimização de Riscos:

    • Prevenção de Incidentes: Reduzem a probabilidade de incidentes de segurança ao estabelecer controles e procedimentos preventivos.

    • Resposta a Incidentes: Proporcionam um plano de ação claro para responder a incidentes de segurança, minimizando o impacto e acelerando a recuperação.

Fundamentos para uma Política de Segurança da Informação

Escopo

O escopo de uma Política de Segurança da Informação descreve o objetivo e a abrangência da Política, definindo o limite dentro do qual as ações de segurança da informação serão desenvolvidas no órgão ou na entidade.

É um item da política que identifica as áreas específicas que serão foco da política no contexto da organização. O escopo desempenha um papel essencial na definição da extensão das medidas de segurança que serão aplicadas para contemplar as necessidades da organização no que diz respeito à proteção dos ativos de informação e deve:

  • Indicar claramente quais partes da organização são abrangidas pela politica

  • Identificar quais tipos de ativos de informação estão sujeitos às medidas de segurança definidas na política

  • Especificar quais processos e operações são cobertos pela política. Isso pode envolver desde a coleta e o armazenamento de dados até a transmissão, processamento e descarte.

  • Identificar quais usários e funções da organização estão sujeitos às diretrizes de Segurança da Informação

  • Estabelecer as tecnologias e a infraestrutura que fazem parte do escopo da política

  • Identificar as regulamentações de conformidade específicas que a organização deve seguir, no contexto das leis de provacidade, regulamentos de setor e boas práticas de segurança

  • Garantir que a politica seja flexível o suficiente para se adaptar a mundanças na organização

Princípios

Os princípios em uma Política de Segurança da Informação funcionam como uma base sólida que moldam a cultura de Segurança da Informação em uma organização. Ao estabelecer princípios bem definidos, a organização comunica seus valores fundamentais em relação à Segurança da Informação, no seu ambiente interno, como no ambiente externo.

Diretrizes

As diretrizes em uma Política de Segurança da Informação são instruções claras e específicas estabelecidas por uma organização para assegurar a proteção dos ativos de informação. A definição das diretrizes deve focar na implementação e manutenção de uma postura de segurança robusta e abrangente, considerando as melhores práticas de Segurança da Informação.

Veja o que as diretrizes abrangem:

Tratamento da informação: as diretrizes para o tratamento da informação buscam estabelecer mecanismos e controles como os dados devem ser coletados, processados, armazenados e compartilhados. Elas definem as práticas para garantir a confidencialidade, integridade, disponibilidade e autenticidade das informações, bem como diretrizes para a classificação e processamento dos dados sensíveis;

Segurança física: as diretrizes relacionadas com a segurança física buscam estabelecer medidas para proteger fisicamente os ativos de informação. Isso inclui restrições de acesso a locais críticos, monitoramento por meio de sistemas de segurança, controles de entrada e saída, bem como medidas para prevenir danos causados por fatores ambientais;

Gestão de incidentes: as diretrizes para a gestão de incidentes buscam definir a metodologia a ser seguida em caso de incidentes de segurança, como ataques cibernéticos, vazamentos de dados ou falhas de sistemas. Elas estabelecem as etapas para identificação, resposta, recuperação e análise pós-incidente;

Gestão de ativos: as diretrizes de gestão de ativos buscam determinar como os recursos de tecnologia da informação devem ser inventariados, rastreados, protegidos e descartados ao final de sua vida útil, visando otimizar a utilização dos recursos e minimizar riscos;

Gestão do uso dos recursos digitais: as diretrizes para gestão dos recursos digitais buscam regular o uso das tecnologias disponíveis no ecossistema digital, como por exemplo: a internet, o e-mail, as mídias sociais e a computação em nuvem. Elas definem quais atividades são permitidas, restringidas ou proibidas, a fim de garantir a produtividade e minimizar riscos relacionados à segurança e ao uso inadequado;

Controles de acesso: às diretrizes de controles de acesso buscam estabelecer como as identidades digitais são gerenciadas e como os usuários obtêm acesso a sistemas e informações. Elas abordam autenticação, autorização e princípios de "privilégio mínimo";

Gestão de riscos: as diretrizes de gestão de riscos buscam orientar como identificar, avaliar, gerenciar e mitigar riscos de Segurança da Informação. Elas guiam a tomada de decisões sobre a implementação de medidas de segurança proporcionalmente aos riscos identificados;

Gestão de continuidade: as diretrizes da gestão de continuidade buscam orientar como a organização deve se preparar para manter operações em caso de interrupções, como ataques cibernéticos ou desastres naturais. Elas incluem planos de recuperação de desastres e continuidade de negócios; e

Auditoria e conformidade: às diretrizes de auditoria e conformidade buscam estabelecer como a organização deve monitorar e avaliar a conformidade com suas políticas de segurança da informação. Isso inclui a realização de auditorias regulares para verificar a adesão às diretrizes estabelecidas e às regulamentações relevantes.

Competências

Define as atribuições e as responsabilidades dos envolvidos na estrutura de gestão de segurança da informação. As competências devem considerar um conjunto de habilidades técnicas, comportamentais e organizacionais para assegurar a confidencialidade, integridade, disponibilidade e autenticidade.

  • Os administradores de sistemas têm a atribuição de configurar e manter as defesas tecnológicas.

  • Os analistas de segurança da informação monitoram atividades do ambiente computacional, realizam análises de vulnerabilidades e respondem a incidentes de segurança.

  • Os usuários finais também têm responsabilidades, como seguir as políticas de segurança e participar de treinamentos de conscientização.

Penalidades

Considerando a IN 01, de 27 de maio de 2020, o inciso VI do artigo 12, estabelece as consequências e as penalidades para os casos de violação da Política de Segurança da Informação ou de quebra de segurança. Elas estão de acordo com as normas já existentes, no ordenamento jurídico vigente, sobre penalidades ao servidor público federal.

As penalidades são estabelecidas para afastar comportamentos inadequados que possam comprometer a confidencialidade, integridade, disponibilidade e autenticidade dos dados. Para tanto, podem ser implementadas ações corretivas e treinamentos adicionais para funcionários que cometem violações inadvertidas, até medidas disciplinares para casos de negligência ou violações intencionais.

Políticas de atualização

A IN 01, de 27 de maio de 2020, aborda no inciso VII, parágrafos 1º. e 2º. do artigo 12, aborda o período máximo para a revisão da Política de Segurança da Informação e seus normativos.

O § 1º`estabelece que a revisão não deve ser superior a quatro anos. Já o § 2º abre a possibilidade da revisão quando necessário para complementar por normas e metodologias, considerando a dinâmica da segurança da informação no contexto da administração pública.

Componentes Essenciais das Políticas de Segurança

  1. Política de Uso Aceitável (PUA)

    • Descrição: Define como os recursos tecnológicos da organização devem ser utilizados pelos funcionários.

    • Elementos:

      • Restrições de uso pessoal dos dispositivos e redes corporativas.

      • Normas para o uso de senhas e práticas de autenticação.

      • Regras para o acesso a dados e sistemas internos.

  2. Política de Segurança de Senhas

    • Descrição: Estabelece diretrizes para a criação, utilização e gestão de senhas.

    • Elementos:

      • Requisitos de complexidade (comprimento, caracteres especiais, etc.).

      • Frequência de troca de senhas.

      • Armazenamento seguro e gestão de senhas.

  3. Política de Controle de Acesso

    • Descrição: Determina os procedimentos para conceder, monitorar e revogar acessos a sistemas e dados.

    • Elementos:

      • Princípio do menor privilégio.

      • Autenticação multifator (MFA).

      • Revisões periódicas de acessos.

  4. Política de Resposta a Incidentes

    • Descrição: Fornece um plano de ação detalhado para detectar, responder e recuperar-se de incidentes de segurança.

    • Elementos:

      • Procedimentos de notificação e escalonamento.

      • Equipe de resposta a incidentes (IRT) e suas responsabilidades.

      • Processos de investigação e documentação de incidentes.

  5. Política de Backup e Recuperação de Dados

    • Descrição: Define as práticas para backup regular e recuperação de dados críticos.

    • Elementos:

      • Frequência e métodos de backup.

      • Armazenamento seguro de backups.

      • Testes periódicos de recuperação.

  6. Política de Treinamento e Conscientização de Segurança

    • Descrição: Enfatiza a importância do treinamento contínuo dos funcionários em práticas de segurança.

    • Elementos:

      • Programas de conscientização sobre phishing e engenharia social.

      • Treinamento sobre práticas seguras de uso de TI.

      • Simulações de segurança para testar a prontidão dos funcionários.

  7. Conceitos e Definições

  • Descrição: relaciona e descreve os conceitos e definições a serem utilizados na Política do órgão ou da entidade que possam gerar dificuldade de interpretação ou ambiguidade.

  • Elementos: recomendamos sejam utilizadas as definições contidas no Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República.

Procedimentos de Implementação e Gestão de Políticas de Segurança

  1. Desenvolvimento e Revisão

    • Envolvimento de Stakeholders: Envolver diferentes departamentos e níveis hierárquicos na criação das políticas para garantir que sejam abrangentes e práticas.

    • Revisão Periódica: Estabelecer um cronograma para revisar e atualizar as políticas regularmente, considerando novas ameaças e mudanças no ambiente de TI.

  2. Comunicação e Treinamento

    • Disseminação: Garantir que todas as políticas sejam facilmente acessíveis a todos os funcionários.

    • Programas de Treinamento: Desenvolver programas de treinamento contínuo para educar os funcionários sobre as políticas e sua importância.

  3. Monitoramento e Conformidade

    • Auditorias Internas: Realizar auditorias periódicas para verificar a conformidade com as políticas de segurança.

    • Métricas de Conformidade: Utilizar métricas para monitorar a adesão às políticas e identificar áreas que necessitam de melhorias.

  4. Resposta a Violações de Políticas

    • Procedimentos Disciplinares: Estabelecer procedimentos claros para lidar com violações de políticas, incluindo medidas disciplinares quando necessário.

    • Feedback e Melhoria Contínua: Utilizar feedback de incidentes de segurança e auditorias para melhorar continuamente as políticas e procedimentos.

Exemplos de Implementação de Políticas de Segurança

  1. Política de Segurança em uma Empresa de Tecnologia

    • Contexto: Uma empresa de desenvolvimento de software implementa uma política de controle de acesso rigorosa, exigindo autenticação multifator e segregação de funções para evitar acessos não autorizados ao código-fonte.

    • Benefícios: Redução de riscos de roubo de propriedade intelectual e aumento da confiança dos clientes na segurança dos produtos.

  2. Política de Backup em um Hospital

    • Contexto: Um hospital implementa uma política de backup diário para garantir que os registros médicos eletrônicos sejam protegidos contra perda de dados.

    • Benefícios: Garantia de continuidade do atendimento ao paciente e conformidade com regulamentações de proteção de dados de saúde.

  3. Política de Uso Aceitável em uma Instituição Financeira

    • Contexto: Um banco estabelece uma política de uso aceitável que restringe o acesso a sites de redes sociais e e-mails pessoais nas redes corporativas para reduzir o risco de ataques de phishing.

    • Benefícios: Diminuição do risco de incidentes de segurança cibernética e proteção das informações financeiras dos clientes.

Conclusão

Políticas e procedimentos de segurança são a espinha dorsal de uma postura de cibersegurança eficaz. Eles fornecem diretrizes claras para proteger os ativos da organização, garantir a conformidade regulatória e promover uma cultura de segurança entre os funcionários. Executivos devem garantir que suas organizações desenvolvam, implementem e revisem regularmente essas políticas para se manterem protegidas contra ameaças cibernéticas em constante evolução.

Previous2.2. Gerenciamento de RiscosNext2.4. Conformidade e Regulamentações

Last updated