5.0 Política de Segurança

 

Políticas de segurança são essenciais, embora a sua elaboração seja, quase sempre, uma tarefa difícil, pois temos que lidar com questões legais, políticas e éticas. O nosso objetivo, portanto, é mostrar o porquê das políticas de segurança, que tipo de documentos ela deve conter, quem deve elaborá-las e a quem elas devem ser aplicadas.

 

O planejamento e a administração de um sistema seguro é o lado humano da segurança em informática, pois não são feitos de maneira automática, nem mesmo num sistema altamente confiável. Por exemplo, a política de segurança da sua organização pode estipular que backups sejam feitos regularmente mas é o administrador da rede que vai executá-los. Treinar usuários, estabelecer e proteger os arquivos de passwords e outros arquivos críticos do sistema e examinar os logs da rede são alguns exemplos de como a política de segurança de um sistema se traduz em atividades humanas.

 

É importante que toda informação acerca da operação das facilidades computacionais esteja disponível em um documento, tanto para os usuários finais, quanto para a equipe de suporte, a fim de evitar confusão e redundâncias, bem como melhorar a comunicação entre eles. Esse documento deve ser um guia único para todos os usuários da rede. Note que não estamos separando completamente a política do administrador do sistema da política do usuário pois aqueles também são usuários e devem seguir a mesma política que os demais, no uso de suas contas pessoais. Entretanto, os administradores do sistema (e outros usuários com acesso privilegiado) têm responsabilidades de uso adicionais e limitações, visando esse acesso privilegiado, ou seja, poderes extras, via grupos ou root.

 

A chave para se ter um sistema seguro é uma combinação de políticas que:

 

  1. Previnam toda a ameaça possível e relevante, ao ponto em que elas possam ser evitadas (o que nem sempre é possível) e ao ponto em que os usuários e a organização, como um todo, estejam dispostos a aceitar (ou impor) as inconveniências que essas medidas de segurança possam ocasionar.

    2.  

  2. Planejem e preparem as ações que devem ser tomadas, quando o pior acontecer. Por exemplo, os melhores planos de backups são feitos, imaginando que, amanhã de manhã, encontraremos todos os discos destruídos. É útil imaginar que o impossível pode acontecer. Se é importante que certas pessoas não tenham acesso a conta do superusuário, então não deixe o usuário root logado em um terminal desassistido, nem mesmo na console de uma sala de máquinas trancada, onde esses usuários nunca poderão entrar (nem sempre as coisas acontecem como se espera).

 

Em geral, o documento contendo as políticas de segurança deve seguir alguns princípios básicos, tais como:

 

 

 

 

 

 

 

 

 

 

5.1 O que são Políticas?

 

 

Políticas são regras de conduta e comportamento que partem de um consenso. Elas vem de descrições voluntárias de comportamentos normativos e, com um consenso, elas são implementadas.

 

A política de segurança é uma declaração escrita para usuários, daquilo que se constitui apropriado e inaceitável na utilização de suas contas e dos dados associados a elas.

 

Algumas políticas são implementadas como leis, quando são mais específicas e reforçadas por uma autoridade governamental. Outras não são leis mas, uma espécie de regulamentação pois são reforçadas por grupos e existe algum tipo de penalidade imposta àqueles que as transgridem.

 

Políticas não devem ser documentos impenetráveis, escritos em linguagem jurídica e lidas apenas quando chegamos a um impasse sobre responsabilidades. Elas devem ser documentos funcionais, desenvolvidos cooperativamente, por um grupo de pessoas, com o objetivo de faciliatar o trabalho.

 

 

 

5.2 Por que ter Políticas?

 

 

Políticas estabelecem os padrões aceitáveis de comportamento. Além disso, são essenciais para a divulgação de um consenso sobre determinada questão. Podemos dizer também, que formular ou revisar regras de segurança é uma boa maneira de rever e melhorar o estado de segurança atual de um sistema ou de uma rede.

 

Especificamente, as políticas devem ser:

 

 

 

 

 

 

 

5.3 Políticas X Procedimentos

 

 

As políticas documentam o que se espera e o que será feito e os procedimentos documentam como uma política é implementada, ou seja, os passos usados para executar ou implementar uma dada política. Por exemplo, os procedimentos podem ser na forma de scripts, execução de um cron, ou uma ação tomada por uma pessoa.

 

Os procedimentos quase sempre implicam em alguma política, por isso devemos assegurar que elas estejam incorporadas ao documento que estiver sendo desenvolvido. Por outro lado, políticas nem sempre implicam em um procedimento; "Não matar" é uma política que não implica em um procedimento, "Olho por olho", sim.

 

Políticas e procedimentos devem ser escritos, aprovados pela gerência e checados por advogados. É preferível que tudo isso seja feito antes que eles precisem ser utilizados em problemas penosos. Vários documentos diferentes sobre políticas podem existir:

 

 

Os procedimentos podem ser feitos na forma de checklists ou receitas, para codificar uma prática existente. Eles são úteis tanto para novos administradores como para os mais antigos. Os benefícios de se ter procedimentos padrões são:

 

 

Deve-se considerar o estabelecimento de procedimentos para:

 

 

Algumas decisões sobre políticas são ditadas pelo software que está rodando ou pelas políticas de grupos externos, tais como, provedores da Internet. Algumas políticas são mandatórias se a privacidade dos dados dos usuários deve ser protegida, as quais classificamos como políticas não-negociáveis.

 

 

 

5.4 Documentação da Política de Segurança

 

 

O documento relacionado à política de uso de equipamentos computacionais cobre uma ampla coleção de tópicos. Por isso, dividi-lo em documentos separados pode ser apropriado, evitando redundâncias, é claro.

 

A seguir, citamos os principais componentes de um conjunto de políticas de segurança:

 

 

 

 

 

 

5.5 Análise de Custos e Riscos

 

 

A análise de riscos é um procedimento usado para estimar o potencial de perdas que pode resultar das vulnerabilidades do sistema e quantificar o prejuízo que pode ocorrer, caso certas ameaças ocorram. O objetivo básico dessa análise de risco é ajudar a selecionar proteções eficientes que reduzirão os riscos a um nível aceitável. Basicamente, a análise de riscos é uma maneira de verificar o quão importante é o seu sistema e quão longe se pretende ir, em termos de equipamentos, pessoas e orçamento, para protegê-lo.

 

Algumas questões devem ser analisadas, cuidadosamente, tais como:

 

1. Que informação você tem e quão importante ela é?

As informações podem ser de vários tipos: informações sobre a defesa nacional, informações de empresas ou pessoais. Será necessário averiguar a importância delas para a sua organização.

 

2. Quão vulnerável é a informação?

As ameaças físicas (incêndio, falta de energia elétrica, por exemplo) devem ser consideradas, bem como acidentes causados por funcionários sem treinamento ou sem cuidado. Além disso, deve-se avaliar se tentativas estão sendo feitas ou poderiam ser feitas para "quebrar" o sistema. Vale salientar que as ameaças às informações tendem a crescer, a medida que as pessoas aprendem sobre as vulnerabilidades do sistema e, a medida que os métodos de explorar essas vulnerabilidades se tornam mais baratos e mais fáceis.

 

3. Qual o custo da perda ou do comprometimento da informação?

Como existem diferentes custos de informações de segurança, existem diferentes tipos de conseqüências. A perda de informações vitais para a defesa nacional, a interrupção de um experimento médico, a vazão de informações sobre as estratégias de uma empresa podem ter diferentes riscos, custos e conseqüências associados, tangíveis ou não, indo da perda de uma vantagem competitiva ao risco da perda de benefícios governamentais, ou ainda, a um constrangimento pessoal.

 

4. Qual o custo de proteger as informações?

Existem alguns custos básicos, tais como, aqueles provenientes de backups que têm que ser incluídos, inevitavelmente. Custos adicionais podem estar relacionados com:

 

 

Regra Prática: O custo de uma informação segura não deve exceder o custo financeiro e administrativo de recuperar a mesma informação, embora alguns tipos de informações de defesa nacional, por exemplo, não possam necessariamente ser quantificadas dessa forma.

 

 

 

5.6 Desenvolvendo Políticas de Segurança

 

 

Quando do desenvolvimento da documentação da política de segurança de uma organização, deve-se considerar os seguintes pontos:

 

 

 

 

Autores

 

A tarefa de estipular políticas de segurança deve ser feita por uma comissão (em conjunto), considerando os seguintes participantes:

 

 

Com exceção do escritor, nem todos aqueles citados acima precisam estar envolvidos em cada linha de cada proposição, mas todos devem ter a oportunidade de oferecer comentários e todos devem chegar a um consenso sobre os tópicos que estão sendo discutidos.

 

Escopo

 

Significa desenvolver um esboço e determinar o que e a quem as políticas serão aplicadas, que usuários serão afetados, que sistemas serão cobertos, etc.

 

Políticas Existentes

 

As políticas existentes também devem ser consideradas:

 

 

Aprovação e Autorização

 

Os níveis mais altos da gerência devem estar convencidos da importância de se estabelecer um conjunto de políticas sobre o uso de computadores e daí, convencer-se também das políticas finais.

 

Depois de escrito e devidamente aprovado pelos seus autores, o documento deve ser submetido à aprovação da gerência, que deverá assiná-lo. Essa é uma boa razão para se ter um time para discutir e estabelecer todas as regras de segurança; nesse caso, o gerente de aprovação pode ter certeza que todos aqueles que serão afetados, por essas regras, estão sendo representados no seu processo de execução.

 

Distribuição

 

Pelo menos toda pessoa afetada pela política deverá receber uma nota, assinada pelo mesmo gerente que assinou e aprovou a política, informando da sua existência, onde uma cópia pode ser revista e quando ela terá efeito. O ideal seria que cada usuário também assinasse um termo de comprometimento e aceitação dessas medidas de segurança.

 

Revisões e Mudanças

 

O documento deve ser uma entidade "viva", que necessita de cuidados constantes e atualizações. Isso não precisa acontecer freqüentemente, mas é necessário que ocorra.

 

 

Aplicação

 

O documento deve conter informação de como as políticas serão aplicadas e como as queixas sobre elas serão resolvidas. Uma comissão pode ficar encarregada de lidar com a sua aplicação e garantir o cumprimento das regras estipuladas.

 

 

 

5.7 Aspectos de Segurança

 

 

A seguir, citaremos alguns dos aspectos que consideramos relevantes sobre questões de segurança em uma organização. Um documento não precisa, necessariamente abordar todos os temas citados, já que os objetivos de segurança podem variar de uma organização para outra.

 

  1. Contas de Usuários - incluir informações básicas, que possam auxiliar os novos usuários.

    2.  

  2. Tipos de Contas - Se o site tiver mais de uma classificação de usuário, descreva-as (por exemplo, estudantes e funcionários, em uma organização educacional). Em algum momento, uma política pode ser aplicada a algum grupo de usuários e não a outros ou o suporte pode ser priorizado a usuários especiais; por isso, é bom que tenhamos uma classificação preestabelecida. Observe que uma acesso estendido (root) pode ser dado a qualquer usuário, em qualquer categoria, portanto, ele não faz parte dessa classificação.

    3.  

  3. Elegibilidade de Contas - para cada login, deve-se documentar como as pessoas se tornam elegíveis daquela categoria. Por exemplo, estudantes podem ser os principais usuários a serem qualificados em um certo acesso ou simplesmente registrados num curso do departamento?

    4.  

  4. Aplicação - descrever como os usuários podem obter uma conta, se existe uma espécie de autorização para algum tipo de conta, onde se encontra o formulário de inscrição, a quem ele deve ser entregue e quanto tempo dura esse processo.

    5.  

  5. Segurança do Login - descrever as medidas que devem ser tomadas pelos usuários para assegurar a segurança de suas contas, requerimentos de passwords, arquivos .rhosts, acesso via modem, telnet, etc.

    6.  

  6. Uso Devido - citar quais os propósitos das contas e qual o uso esperado, ou seja, fornecer os limites daquilo que é aceitável.

    7.  

  7. Expiração/Desativação/Renovação - estabelecer regras de ação, caso um usuário deixe a organização, por exemplo, o que será feito com seus arquivos. Considerar os casos em que o usuário possa vir a perder o direito de utilizar a sua conta.

    8.  

  8. Regras de Conduta - estabelecer um guia de conduta que oriente o usuário sobre a conservação dos recursos, profissionalismo (desencorajar certas "brincadeiras"), cortesias oferecidas (por exemplo, número máximo de folhas de impressão, tempo máximo que os jobs podem ficar rodando na rede, não utilização de jogos durante o horário de trabalho, etc), sua responsabilidade em representar a empresa (quando do envio de E-Mails externas, por exemplo), algumas leis que podem afetar o uso dos computadores e o acesso a outros sites.

    9.  

  9. Recursos e Serviços - descrever o ambiente computacional básico disponível, as políticas com relação aos recursos disponíveis e se existem restrições quanto ao uso de um recurso específico. Esses recursos podem ser: discos, memórias, CPUs, softwares, serviços de E-Mail, impressoras, scanners, vídeo-conferência, arquivamento de dados, a rede, acesso remoto, etc.

    10.  

  10. Treinamento - descrever o treinamento técnico disponível para os usuários, incluindo também, referências a cursos externos. É importante considerar os seguintes aspectos: elegibilidade, ou seja, se o treinamento será disponível para todos os usuários ou somente para alguns, sob circunstâncias especiais, se será necessário algum tipo de aprovação, se haverá oferta de cursos internos, cursos de terceiros e como os usuários poderão sugerir cursos não listados, mas que eles considerem relevantes.

    11.  

  11. Monitoração de Uso - a equipe de suporte é responsável pela monitoração dos recursos tanto para segurança como para assegurar a sua disponibilidade. Logo, para cada tipo de dado, deve-se estabelecer quando serão monitorados, a que extensão, as entradas e saídas dos usuários (movimentos com o mouse, uso do teclado, saída de terminais, janelas mostradas), execução de comandos e histórico, logs de impressão, uso de discos, pacotes da rede e transferência de mensagens e dados.

    12.  

  12. Integridade dos Dados - descrever como a integridade do sistema e do usuário será mantida. Considerações podem ser feitas a respeito da finalidade dos backups, tempo de vida dos dados, período de armazenamento, acesso e segurança a arquivos de backups e pedidos de restauração de dados.

    13.  

  13. Privacidade dos Dados de Usuários - descrever até onde vai a privacidade dos usuários, que implica nos limites de acesso dos funcionários, ao sistema. Para cada conjunto de arquivos (mensagens, arquivos pessoais, arquivos de trabalho, arquivos do sistema e logs do sistema), descrever o nível de privacidade, quando e por quê essa privacidade poderá ser violada.

    14.  

  14. Acesso Privilegiado - descrever todos os tipos de acesso privilegiado, incluindo o acesso como root e o acesso a grupos e a ferramentas que oferecem algum nível especial de acesso ao sistema (por exemplo, ferramenta usada para adicionar usuários). Algumas considerações podem ser feitas, tais como, o que vem a ser um acesso privilegiado, quais os mecanismos suportados e disponíveis (lista de ferramentas que oferecem acesso privilegiado), elegibilidade (que usuários podem ter esse tipo de acesso e por que precisam dele), obtenção de autorização, uso apropriado, expiração/desativação/revogação e gerenciamento da password do root.

    15.  

  15. Acesso Restrito - caso existam contas de usuários que possuam acesso restrito, ou seja, com mais restrições que aquelas descritas no item a), deve-se descrever sob que circunstâncias os usuários terão essas contas e as limitações especiais, aplicadas ao seu uso.

    16.  

  16. Taxas e Encargos - descrever todos os tipos de taxas cobradas por qualquer serviço. As taxas podem variar mas os serviços aos quais elas estão relacionadas devem ser fixados, já que trata-se de uma forma de medir a utilização do mesmo. Um catálogo de taxas pode considerar os seguintes itens: tempo de acesso, uso de discos, uso de impressoras, CPUs, modems, armazenamento de arquivos e restaurações, suporte, largura de banda e produtos ( fitas, cabos, papel, crachás de acesso). Inclua também como essas taxas serão cobradas, formas de pagamento, prazos, etc.

    17.  

  17. Suporte - estabelecer os horários, a disponibilidade e as prioridades do atendimento, os níveis de suporte, como solicitar ajuda, quando e como os usuários receberão as soluções para os seus pedidos, notificação de eventos (upgrades, troca de sistema operacional, manutenção da rede, etc) e como sugestões e reclamações podem ser submetidas para apreciação.

    18.  

  18. Recuperação em Caso de Desastres - É essencial para a política de segurança descrever como o sistema está preparado, no caso de desastres. Deve-se incluir uma lista dos tipos de incidentes (incêndios, enchentes, terremotos, tempestades, tornados, furacões), para o qual se está preparado. Pode-se ter políticas diferentes para os diferentes tipos de desastres (e seus resultados).

    19.  

  19. Política de Gerenciamento - pode-se descrever políticas que governam as políticas de segurança, propriamente ditas. Isto é, quem será responsável por zelar pelo cumprimento das políticas de segurança e como essa tarefa será desempenhada, quais as exceções às regras estabelecidas e o gerenciamento das alterações do documento elaborado.

    20.  

  20. Segurança - tratar mais especificamente (procedimentos) da segurança dos dados do sistema, dos usuários e da corporação (como eles serão protegidos), das publicações e disseminação de informações fora da organização, segurança física (equipamentos, softwares, manuais).

 

 

 

5.8 Auditoria

 

 

Fazer auditorias periódicas pode ajudar a checar a segurança de um sistema, encontrar falhas e vulnerabilidades. Em situações perigosas, deve-se checar o sistema de arquivos, os logs do sistema ou os reportes de auditorias para localizar indícios de atividades suspeitas. Isso deve incluir:

 

 

 

 PAGINA ANTERIOR

PROXIMA PAGINA