Apostila De Icc

SEGURANÇA DA INFORMAÇÃO

Uma Organização que busca a segurança de suas informações devem implantar planos a se descobrir os pontos vulneráveis, e avaliar todos os riscos, para se tomar providências adequadas e investir o necessário para se ter uma segurança eficientee.

Um plano de segurança deve definir: a lista de serviços de rede que serão providos; quais áreas da organização proverão os serviços; quem terá acesso aos serviços; como o acesso será provido; quem administrará esses serviços; entre outroa.

O plano também deve indicar como incidentes serão tratados. Pois é importante que cada site defina as classes de incidentes e reações correspondentes. Pôr exemplo, sites com firewalls devem setar um número de tentativas de ataque suportado antes de tomar uma ação? Sites com firewalls devem determinar se uma simples tentativa de conexão a um host constitui um incidente ou não?.

Para sites conectados à Internet, o número significativo de incidentes relatados em relação à segurança pode se fazer esquecer dos incidentes internos à rede. Da mesma maneira, organizações não conectadas à Internet devem ter planos fortes e bem definidos de política de segurança interna.

Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da organização. É especialmente importante que a gerência adminnistre processo da política de segurança, caso contrário haverá pouca chance que ela tenha o impacto desejado.

As características de uma boa política de segurança são:

1. Ser implementável através de procedimentos de administração, publicação das regras de uso aceitáveis, ou outros métodos apropriados.

2. Ser exigida com ferramentas de segurança, onde apropriado, e com sanções onde a prevenção efetiva não seja tecnicamente possível.

3. Definir claramente as áreas de responsabilidade para os usuários, administradores e gerentes.

Os componentes de uma boa política de segurança incluem:

1. Guias para a compra de tecnologia computacional que especifiquem os requisitos ou características que os produtos devem possuir.

2. Uma política de privacidade que defina expectativas razoáveis de privacidade relacionadas a aspectos como a monitoração de correio eletrônico, logs de atividades, e acesso aos arquivos dos usuários.

3. Uma política de acesso que define os direitos e os privilégios para proteger a organização de danos, através da especificação de linhas de conduta dos usuários, pessoal e gerentes. Ela deve oferecer linhas de condutas para conexões externas, comunicação de dados, conexão de dispositivos a uma rede, adição de novos softwares, entre outros. Também deve especificar quaisquer mensagens de notificação requeridas.

4. Uma política de contabilidade que defina as responsabilidades dos usuários. Deve especificar a capacidade de auditoria, e oferecer a conduta no caso de incidentes

.

5. Uma política de autenticação que estabeleça confiança através de uma política de senhas efetiva, e através da linha de conduta para autenticação de acessos remotos e o uso de dispositivos de autenticação.

6. Um documento de disponibilidade que define as expectativas dos usuários para a disponibilidade de recursos. Ele deve endereçar aspectos como redundância e recuperação, bem como especificar horários de operação e de manutenção. Ele também deve incluir informações para contato para relatar falhas

...