Este artigo apresenta considerações sobre aspectos relevantes quando da elaboração de uma política de segurança de informações e recursos computacionais. Muito se tem falado sobre o tema, porém, é sabido que não existe uma receita pronta para a elaboração de tal política visto que as peculiaridades de cada organização são determinantes na sua definição. De uma maneira geral uma política de segurança é única visto que ela necessariamente deve refletir a realidade de cada organização.
Assim, procuramos descrever alguns pontos considerados importantes, baseados em um exemplo prático de elaboração de uma política de segurança. Este artigo é embasado no trabalho realizado pelos autores quando da elaboração da Política de Uso de Segurança das Informações e dos Recursos Computacionais do Tribunal de Contas do Estado de Pernambuco [1].
1. Introdução Em um passado não muito remoto as informações das organizações eram armazenadas apenas em papel e o patrimônio dessas organizações era medido pelos seus bens materiais. Hoje este cenário está mudado, as informações são armazenadas em meio eletrônico e cada vez mais estão se transformando no grande patrimônio das organizações.
As redes de computadores, em especial a Internet, rede pública que conecta milhões de computadores em todo o mundo [2], chegaram para democratizar o acesso às informações, porém, atrelado a isto, há que se considerar os requisitos de segurança envolvidos neste processo. Neste sentido, é importante que se tenha muito bem definidos os critérios para bom uso e proteção das informações. A política de segurança é justamente a formalização destes critérios.
Este artigo apresenta e discute algumas considerações para a elaboração de uma política de segurança. A seção 2 tem por objetivo definir um conceito para o tema política de segurança. A seção 3 apresenta as considerações sobre a elaboração de uma política de segurança enquanto a seção 4 descreve em linhas gerais os documentos que devem ser mantidos pela área de TI da organização e que detalham o funcionamento da política, das informações e dos os recursos computacionais a ela vinculados. Finalmente, na seção 5, são apresentadas as conclusões deste artigo.
2. Conceito de Política de Segurança Uma política de segurança é a formalização de todos os aspectos considerados relevantes por uma organização para a proteção, controle e monitoramento de seus recursos computacionais e, conseqüentemente, das informações por eles manipuladas [3]. Em outras palavras, dito de uma forma mais prática, a política de segurança deve contemplar, de forma genérica, todos os aspectos importantes para a proteção lógica e física das informações e dos recursos computacionais.
Uma característica importante de uma política de segurança diz respeito à objetividade. É preciso ser objetivo na política e dizer exatamente o que se quer proteger. É esse tipo de abordagem que permite a transparência e adesão do processo por todos os envolvidos, a saber, os usuários, a alta direção da organização e o pessoal responsável diretamente pela administração dos recursos. Os envolvidos precisam saber claramente quais são os seus direitos e deveres para que se possa garantir um real envolvimento de todos.
Por último vale ressaltar que uma política de segurança deve sempre ser aprovada e encampada pela alta direção da organização [4]. Este aspecto é de extrema relevância uma vez que sem o envolvimento da alta direção a política corre um grande risco de ser apenas mais um amontoado de documentos engavetados ou no máximo disponibilizados através da Intranet da organização, mas sem utilidade prática ou respaldo junto aos usuários da organização.
3. Política de Segurança de Informações e Recursos Computacionais Para a definição de uma política de segurança, em primeiro lugar, devem ser levantados as ameaças, riscos e vulnerabilidades a que as informações estão sujeitas, para que se possa definir a política com foco a combater estes pontos fracos para a organização. É importante ressaltar, mais uma vez, o fato de que não há como definir uma receita única para a elaboração de uma política de segurança visto que estes aspectos de ameaças, riscos e vulnerabilidades são particulares de cada organização. A seguir é apresentado um breve conceito para cada um destes aspectos [5].
Em linhas gerais uma ameaça pode ser definida como um evento ou atitude indesejável (roubo, incêndio, vírus etc) que potencialmente remove, desabilita ou destrói um recurso computacional e, conseqüentemente, as informações a ele vinculadas.
Para os graus de riscos deve-se analisar qual a importância da conseqüência que o risco provoca sobre o ambiente. Um baixo risco refere-se a uma conseqüência pouco importante. Afeta localmente um ou mais serviço pessoal ou uma pessoa. Um médio risco refere-se a uma conseqüência razoavelmente importante. Afeta um ou mais serviço grupal ou um grupo. Um alto risco refere-se a uma conseqüência fortemente importante. Afeta a organização em si ou um ou mais serviços disponíveis na corporação.
A vulnerabilidade pode ser definida como a fraqueza ou deficiência que pode ser explorada por uma ameaça. Além disso, a definição dos recursos computacionais, a classificação das informações e a classificação dos tipos de usuários são de suma importância para situar o contexto de atuação da política de segurança.
Finalmente, uma boa abordagem para a definição de uma política de segurança consiste em formalizar a política através de um documento geral, conciso e objetivo, sem ater-se a detalhes técnicos. Em particular, os aspectos técnicos devem ser evidenciados em documentos à parte, também definidos como documentos satélites, que subsidiam a política de segurança, detalhando o funcionamento da mesma, das informações e dos os recursos computacionais a ela vinculados.
Como exemplo podemos citar três sessões deste documento geral da política que trataria dos direitos, obrigações e proibições dos usuários internos da organização.
Direitos
São direitos dos usuários internos:
I - fazer uso dos recursos computacionais, nos termos desta Política;
II - ter conta de acesso à rede corporativa;
III - ter conta de correio eletrônico;
IV - acessar a INTRANET e a INTERNET;
V - ter acesso aos registros de suas ações através da rede corporativa;
VI - ter acesso às informações que lhe são franqueadas, nos termos desta Política, relativamente às áreas de armazenamento privativa e compartilhada;
VII - ter privacidade das informações na sua área de armazenamento;
VIII - solicitar recuperação das informações contidas na sua área de armazenamento privativa e compartilhada;
IX - solicitar suporte técnico.
Obrigações
São obrigações dos usuários internos:
I - responder pelo uso exclusivo de sua conta;
II - identificar, classificar e enquadrar as informações da rede corporativa, relacionadas às suas atividades, de acordo com a classificação definida nesta Política;
III - zelar por toda e qualquer informação armazenada na rede corporativa contra alteração, destruição, divulgação, cópia e acesso não autorizados;
IV - guardar sigilo das informações confidenciais, mantendo-as em caráter restrito;
V - manter em caráter confidencial e intransferível a senha de acesso aos recursos computacionais da organização;
VI - fazer o treinamento para utilização desta Política;
VII - informar à gerência imediata as falhas ou os desvios constatados das regras estabelecidas nesta Política;
VIII - responder pelos danos causados em decorrência da não observância das regras de proteção da informação e dos recursos computacionais da rede corporativa, nos termos previstos nesta Política;
IX - fazer uso dos recursos computacionais para trabalhos de interesse exclusivo da organização.
Proibições É expressamente proibido aos usuários internos:
I - usar, copiar ou armazenar programas de computador ou qualquer outro material, em violação à lei de direitos autorais (copyright);
II - utilizar os recursos computacionais para constranger, assediar, prejudicar ou ameaçar qualquer pessoa;
III - fazer-se passar por outra pessoa ou esconder sua identidade quando utilizar os recursos computacionais da organização;
IV - instalar ou retirar componentes eletrônicos dos equipamentos da rede corporativa, sem autorização;
V - instalar ou remover qualquer programa das estações de trabalho ou dos equipamentos servidores da rede corporativa, sem autorização;
VI - alterar os sistemas padrões, sem autorização;
VII - retirar qualquer recurso computacional da organização, sem prévia autorização da gerência;
VIII - divulgar informações confidenciais;
IX - efetuar qualquer tipo de acesso ou alteração não autorizados a dados dos recursos computacionais da organização;
X - violar os sistemas de segurança dos recursos computacionais, no que tange à identificação de usuários, senhas de acesso, fechaduras automáticas ou sistemas de alarme;
XI - utilizar acesso discado através de notebook, quando conectado nas redes dos prédios da organização.
4. Normas Computacionais Conforme definido anteriormente, as normas computacionais são os documentos que detalham o funcionamento das informações e dos recursos computacionais e conseqüentemente possuem um caráter bem mais técnico e dependente da tecnologia disponível. Por esta razão, devem ser mantidos pela área de tecnologia da informação da organização. Atreladas a estas normas computacionais pode-se ter, sempre que possível, os procedimentos técnicos. Tais procedimentos formalizam as ações relacionadas à manipulação de serviços associados aos recursos computacionais tais como procedimento de backup e recuperação de informações, procedimento para criação e remoção de contas na rede da organização, entre outros.
A título de exemplo, devem ser desenvolvidas normas computacionais que ditam as regras para uso da Internet, uso do serviço de correio eletrônico, padronização do ambiente computacional, entre outras.
5. Conclusão A abordagem proposta neste artigo para a elaboração da política de segurança contempla a definição dos aspectos gerais da política em um documento conciso e objetivo e o detalhamento das normas computacionais que evidenciam os aspectos técnicos, bem como os procedimentos relacionados à utilização dos serviços, em documentos satélites, mantidos pela área de tecnologia da informação da organização.
Finalmente deve-se considerar que além da boa formulação dos documentos, a elaboração de uma política de segurança não é um projeto estanque, com início e fim definidos. Política de segurança deve ser um projeto permanente para uma organização e neste aspecto a estratégia de divulgação e aculturamento dos usuários é fator crítico para o sucesso da implementação [6]