Política de Segurança da Informação: Como Criar ou Atualizar

 






Introdução

No contexto da segurança da informação, a elaboração e implementação de políticas eficazes desempenham um papel crucial na proteção dos ativos de uma organização. Destacaremos a importância de desenvolver políticas de segurança da informação (PSI) adaptadas à realidade específica de cada empresa. Exploraremos conceitos do NIST SP 800-53, Rev. 5, e da ISO 27001, discutindo como as políticas devem ser abrangentes, compreensíveis e endossadas pela alta administração para garantir a conformidade e a efetiva implementação. Além disso, abordaremos a necessidade de revisão contínua e comunicação transparente para garantir a adesão de todos os colaboradores. Neste contexto, a presente análise visa oferecer uma visão abrangente sobre a importância da criação e revisão de políticas de segurança da informação.

Bloqueio de e-mail pessoal

Por que, na área de segurança, busca-se bloquear o e-mail pessoal dos usuários? Conforme Sobiecki, razão reside no fato de que, através do e-mail pessoal, um indivíduo pode criar uma conta de e-mail alternativa, anexar documentos pertencentes à empresa e enviá-los a terceiros externos, ocasionando assim vazamento de dados. Algumas empresas optam por restringir o acesso a sites de e-mails, como Gmail ou Live.com, a fim de prevenir tais incidentes.
Dentro da política de segurança, é possível estabelecer esta restrição como uma regra. Contudo, existem circunstâncias nas quais o gestor pode assumir um nível de risco. Ele pode afirmar: "Reconheço que esta restrição faz parte da política, mas meu colaborador necessita desse acesso específico. Apesar de infringir esta parte da política, confio plenamente que ele não cometerá nenhuma irregularidade ou vazamento de dados." Nesse cenário, o gestor assume a responsabilidade pela ação do colaborador.

Conceito de segurança da informação

O NIST SP 800-53, Rev. 5, conceitua a política de segurança da informação como um conjunto de diretrizes, regulamentações, normas e práticas que estabelecem como uma organização administra, protege e compartilha suas informações.
É imperativo compreender esse conceito de política, uma vez que ao comunicá-lo aos funcionários, é necessário fornecer uma definição clara do que constitui uma política.

Divulgação 

Em determinado momento, a divulgação dessa política torna-se inevitável. As pessoas devem estar cientes da existência da política, conhecer sua versão atual e entender que ela está sujeita a alterações ao longo do tempo. Com a evolução da política, é crucial informar os usuários sobre as atualizações mais recentes. Vale ressaltar que a política de segurança não deve ser mantida em sigilo; ao contrário, deve ser de domínio público. A transparência é fundamental, uma vez que as pessoas necessitam ter conhecimento sobre o conteúdo da política e suas eventuais modificações.

Critérios da ISO 27001

Segundo Sobiecki, a norma ISO 27001, detalha os critérios a serem considerados ao elaborar a política de segurança. Inicialmente, destaca-se a importância do envolvimento do Top Management, referindo-se à alta administração, conselho de administração ou proprietários da empresa, incluindo o presidente. É imperativo que essas autoridades estabeleçam uma política de segurança da informação. Tal medida se justifica, pois a política deve ser equiparada a uma legislação interna na empresa. Caso não seja devidamente assinada ou endossada pela alta administração, a probabilidade de adesão e conformidade à política de segurança por parte dos colaboradores é reduzida. A política precisa receber a aprovação e endosso do mais alto nível de liderança, com o conselho ou proprietário assinando-a e comunicando claramente que a adesão a essas regras é uma diretriz instituída de cima para baixo.
Além disso, a política deve ser adequada ao propósito específico da organização. Não é viável simplesmente adotar a política de outra empresa, mesmo que esta opere no mesmo setor e local. A política de segurança deve ser adaptada às características únicas da organização, levando em consideração sua cultura e objetivos específicos. Mesmo ao transitar entre empresas do mesmo setor e localidade, é necessário ajustar a política de segurança para refletir as distintas culturas organizacionais. É fundamental que a política inclua os objetivos de segurança, conforme delineado no item 6.2, os quais podem ser consultados na norma ISO 27001 para uma compreensão mais aprofundada. Em episódios subsequentes, pode-se explorar de maneira mais detalhada o conceito de objetivos de segurança da informação.

Padronização

É pertinente observar que a padronização de determinados elementos, como políticas de senha, pode não ser universalmente aplicável. A adaptação da política de segurança às peculiaridades e riscos específicos da empresa é imperativa. A política de segurança da informação deve incluir, de maneira integral, um comprometimento com a melhoria contínua do sistema de segurança da informação. Este comprometimento reflete a necessidade de atualizações constantes da política, uma vez que as ameaças evoluem ao longo do tempo, a organização incorpora novos sistemas, introduz novos riscos e ativos, expande sua presença geográfica, adquire outras empresas e modifica suas regras de negócio. A política de segurança da informação deve, portanto, ser submetida a revisões regulares para garantir sua eficácia contínua.
A política de segurança da informação deve ser disponibilizada como um documento formal, sendo comunicada a toda a organização e acessível às partes interessadas conforme apropriado. É crucial evitar o armazenamento da política apenas como um artefato inerte. A publicação da política em treinamentos de segurança, a assinatura por parte dos funcionários ao ingressarem na empresa e, sempre que atualizações ocorrerem, a garantia de que todos os colaboradores tenham acesso e compreensão da política são práticas fundamentais. A disseminação da política de segurança deve ocorrer em diferentes canais, como o site da empresa, o SharePoint ou qualquer outro meio designado pela organização.

Os modelos

O National Institute of Standards and Technology (NIST) oferece um recurso denominado "Policy Template Guide" (Guia dos Modelos de Política), que abrange diversas políticas, não se limitando à política de segurança da informação. A política de segurança da informação é uma componente central, mas a organização pode necessitar de políticas adicionais, tais como política de gestão de dados, política de autenticação e acesso, política de senha, e política de descarte de informação. É recomendável que tais políticas sejam mantidas de forma separada, e que no documento principal exista uma vinculação ou referência a essas políticas específicas.
O Framework de Cibersegurança do NIST é subdividido em cinco categorias: Identificação, Proteção, Detecção, Resposta e Recuperação. Dentro desse framework, existe uma seção dedicada à "Information Security Policy" (Política de Segurança da Informação). O NIST disponibiliza um modelo de política no formato Word por meio de um link específico. Embora esteja em inglês, é possível utilizar ferramentas de tradução para adaptar o documento ao idioma desejado e, posteriormente, aplicá-lo à realidade da empresa.




Por onde iniciar?

A primeira orientação é evitar começar diretamente por meio da utilização de políticas de outras empresas. Isso ocorre devido à complexidade e extensão desses documentos, o que pode ser intimidante para alguém iniciante. Ao começar, sugere-se utilizar um arquivo no formato Word e se basear nos ativos e riscos específicos da organização. A abordagem inicial deve contemplar recomendações gerais para todos os colaboradores, visando melhorar a segurança da área de Tecnologia da Informação (TI). A redação pode ser estruturada em parágrafos ou tópicos, considerando, por exemplo, o cenário de um escritório de contabilidade de pequeno porte, composto por aproximadamente 10 funcionários, atendendo a cerca de 10 empresas.
Dentro desse contexto, é fundamental estabelecer diretrizes sobre o que o escritório de contabilidade não deve realizar. Por exemplo, não divulgar informações de clientes, tratar com responsabilidade a segurança dos dados dos clientes, armazenar de forma segura essas informações e evitar o compartilhamento com pessoas externas à empresa, exceto com o próprio cliente. Essas diretrizes constituem acordos internos, ou "combinados", conforme o ditado popular sugere: "o que é combinado não é caro". Essas regras são pactuadas com os funcionários como forma de aprimorar a segurança da área. Ao definir aspectos como a política de senhas, por exemplo, é possível estipular regras específicas, como o requisito mínimo de 10 caracteres para senhas de sistemas, e formalizar essas práticas na política.
É fundamental estabelecer acordos internos mesmo em empresas de menor porte, e esses acordos precisam ser endossados, assinados e divulgados pelo mais alto escalão da empresa, seja o proprietário, o presidente ou a figura que detenha a maior autoridade na organização. Essa formalização é crucial para assegurar a adesão e cumprimento das políticas de segurança por parte dos colaboradores, pois, sem o respaldo da liderança, há o risco de não serem devidamente seguidas. 

Política e Controle

Ao elaborar uma política de segurança, diversos aspectos demandam consideração por parte do profissional de segurança. É comum que se imagine que determinadas preocupações estejam automaticamente resolvidas, uma vez que a política estabelece diretrizes claras. Contudo, é necessário questionar a efetiva adesão à política por parte dos colaboradores e se as práticas estipuladas estão sendo seguidas. Diante dessa incerteza, é recomendável incorporar, sempre que possível, controles de segurança que atuem como salvaguardas adicionais, prevenindo ou protegendo a empresa no caso de um funcionário não compreender ou deliberadamente violar a política.
Incluir controles de segurança na política visa desencorajar a persistência em comportamentos inadequados e interromper a ação indevida. A aplicação de controles de detenção de ações equivocadas é uma prática comum no âmbito da segurança corporativa. O objetivo é criar uma barreira eficaz, desestimulando o colaborador a prosseguir com a infração. Esta abordagem não apenas reforça a eficácia da política de segurança, mas também fortalece a postura defensiva da organização frente a possíveis ameaças internas.

Estruturação

Embora a elaboração inicial de uma política de segurança da informação possa parecer desafiadora, fragmentá-la em pontos, utilizando elementos como bullets, facilita a organização e estruturação do documento. Ao considerar a composição de uma palestra para os colaboradores, é possível identificar e listar de maneira clara o que é recomendável, o que não é seguro realizar e quais comportamentos devem ser evitados. Este processo contribui para a construção de uma política abrangente, promovendo a segurança da informação na organização.

Revisão

A política de segurança da informação demanda revisões periódicas, sendo essencial concebê-la como um documento dinâmico e não definitivo. A capacidade de modificar a política quando necessário é fundamental, justificando a realização de revisões ao menos semestralmente ou, no mínimo, anualmente. Adicionalmente, é pertinente promover revisões sempre que a organização enfrenta incidentes de segurança, a fim de identificar falhas e melhorias necessárias.
O processo de revisão implica em efetuar alterações, assinar e disseminar a versão atualizada da política. É aconselhável destacar as modificações realizadas, possibilitando que os funcionários que estavam familiarizados com a versão anterior identifiquem as atualizações de maneira clara. Ao ingressar em uma nova empresa, é prática comum revisar a política existente. Caso identifique deficiências ou desatualizações, um profissional de segurança pode sugerir alterações, aproveitando sua perspectiva externa para identificar potenciais lacunas.

Políticas específicas

Além da política principal de segurança, é comum encontrar outras políticas específicas, tais como a política de classificação de dados, política de bring your own device (BYOD) e política de uso de laptops. É importante respeitar e compreender tais políticas, mesmo quando divergentes da percepção individual sobre determinadas práticas. Penalidades podem ser estipuladas nas políticas de segurança da informação, incluindo suspensões, perda de acesso ou a recomendação para realização de treinamentos de segurança. A empresa deve garantir a observância dessas penalidades, independentemente do nível hierárquico dos envolvidos.
A universalidade da aplicação da política de segurança é crucial, alcançando todos os colaboradores, desde o CEO até o estagiário, e incluindo até mesmo os profissionais de segurança encarregados da proteção da empresa. Estes últimos devem exemplificar a observância das regras estabelecidas na política. Portanto, a política de segurança da informação deve ser efetivamente válida para todos os funcionários da organização. 

Política de Segurança para Clientes

Em determinadas circunstâncias, é possível encontrar políticas de segurança destinadas aos clientes, as quais se diferenciam por não incluírem penalidades, mas buscam resguardar a segurança do próprio cliente. É viável estabelecer políticas que os clientes devem seguir, pois a persistência em erros por parte destes pode impactar a segurança global da empresa, afetando outros clientes e até mesmo a sociedade. Alternativamente, a não conformidade com as regras de segurança pode resultar na exclusão do cliente como uma medida punitiva.
Recomenda-se evitar associar-se a empresas que não possuam políticas de segurança. Mesmo em organizações de pequeno porte, é possível implementar uma política de segurança, sendo este um exercício prático para desenvolver habilidades na redação de políticas de segurança. Se a empresa já possui uma política, é prudente criar exemplos ou uma política fictícia para prática. Caso a política existente esteja desatualizada, não refletindo as tecnologias atuais, sugere-se propor atualizações, podendo-se utilizar a versão anterior como base e incluir novos conceitos, obrigações e acordos.

Criação e linguagem

É crucial evitar a prática de copiar e colar políticas de segurança de outras empresas, mesmo que estas atuem no mesmo setor ou região. A inspiração é válida, mas a adoção direta pode resultar em um documento desvinculado da cultura, processos, riscos e ativos específicos da empresa, além de possivelmente utilizar uma linguagem não compreensível pelos funcionários. A linguagem na política deve ser clara e não excessivamente formal, evitando termos excessivamente técnicos ou jurídicos. A inclusão de um glossário ou definições pode ser útil para termos específicos de segurança da informação.

Atualização e assinaturas

Ao atualizar ou criar uma política de segurança, é imperativo divulgá-la efetivamente na empresa. As pessoas devem ler e compreender seu conteúdo antes de assinar, evitando práticas comuns em que os funcionários apenas marcam caixas de aceitação sem a devida leitura. A assinatura, seja em formato físico ou eletrônico, serve como comprovante de que o colaborador leu e recebeu a política. Esse procedimento é essencial para evitar problemas legais em situações onde a empresa precisa tomar medidas disciplinares devido a incidentes.
É fundamental cancelar todos os arquivos digitais e impressos de versões anteriores da política ao lançar uma versão atualizada, assegurando que apenas a política mais recente esteja disponível para acesso na empresa. Esse cuidado previne possíveis alegações de desconhecimento por parte dos colaboradores e contribui para a conformidade com as normas internas. 
 

Conclusão

Diante das complexidades do cenário atual de segurança cibernética, a elaboração de políticas de segurança da informação sob medida para cada organização emerge como um elemento vital para a proteção contra ameaças digitais. A exploração das diretrizes do NIST e da ISO, aliada à prática de criar "combinados" internos, ressalta a necessidade de personalização das PSI, considerando os ativos, riscos e especificidades de cada contexto organizacional. A constante revisão e a comunicação eficaz surgem como elementos-chave para garantir a relevância e a adesão contínua às políticas de segurança. Portanto, ao iniciar ou revisar uma PSI, é fundamental seguir passos estratégicos, conforme discutido, visando fortalecer a postura de segurança da informação e mitigar potenciais riscos no ambiente corporativo.

Referência:

Sobiecki, Fabio. Como criar ou atualizar sua política de segurança da informação. Disponível em: https://www.youtube.com/watch?v=9fGxcHabixA  Acesso em 17/11/2023. Texto retirado do vídeo e adaptado.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Entrevista com Douglas Lockshield, Profissional de Cibersegurança

Imagem
Introdução Prepare-se para uma conversa imperdível! Hoje, o blog Mafra Security (MASEC) tem a honra de receber um verdadeiro mestre na arte de proteger o ciberespaço: Douglas Lockshield! Se você está pensando em trilhar uma carreira em cibersegurança, esta entrevista é o ponto de partida perfeito. Douglas compartilha sua jornada com uma clareza impressionante, oferecendo dicas práticas e valiosas para quem está começando. Cada resposta é uma bússola que aponta o caminho certo para o sucesso. Então, prepare seu bloco de notas e venha descobrir como um profissional de alto calibre constrói sua trajetória na cibersegurança. A entrevista foi cuidadosamente organizada por categorias, para que você absorva cada detalhe como um verdadeiro especialista. Vamos nessa? 1. Carreira e Experiência MASEC: Vamos começar pela trajetória. Como você iniciou sua carreira em cibersegurança? Quais foram os seus primeiros passos e desafios? Lockshield: Eu iniciei em cibersegurança na area técnica, gerencia...
Continue »

Inclusão: A Jornada Inspiradora de Juan Mathews na Cibersegurança

Imagem
 A pessoa com deficiência visual na área de cibersegurança Será interessante informar ao pessoal que enxerga,  que é possível pessoas com deficiência entrarem na área Cyber!  (Juan Mathews) Apresentação É com grande entusiasmo que apresentamos Juan Mathews Rebello Santos, um verdadeiro exemplo de superação e excelência no campo da cibersegurança! Juan é a primeira pessoa com deficiência visual a atuar como Analista de Help Desk na Metadados, destacando-se em áreas cruciais como Segurança da Informação, Blue Team, Threat Intelligence, e muito mais. Com mais de uma década de experiência em informática e uma paixão inabalável pela tecnologia, Juan acumulou um vasto conhecimento em sistemas operacionais como Windows e Linux, além de dominar o pacote Office e uma série de ferramentas Google e Microsoft. Entre suas qualificações, Juan é certificado pela Microsoft em SC-900 e AI-900, além de ser um Certified Network Security Practitioner (CNSP). Ele também possui formação acadêm...
Continue »

Gerenciamento de Identidade e Acesso: IAM

Imagem
Introdução O Gerenciamento de Identidade e Acesso (IAM, do inglês Identity and Access Management) é um conjunto de processos, políticas e tecnologias que facilita o gerenciamento de identidades digitais e controla o acesso a recursos de informação em uma organização. O IAM desempenha um papel crucial na segurança cibernética, especialmente para as equipes de defesa cibernética (Blue Team), responsáveis por proteger os sistemas e dados contra ameaças internas e externas. Este artigo aborda as principais responsabilidades e habilidades necessárias para profissionais que atuam com IAM no contexto de um Blue Team. 1. Provisionamento de Acesso O provisionamento de acesso envolve a criação, modificação e remoção de contas de usuário e suas permissões associadas. Este processo garante que os usuários recebam os níveis de acesso apropriados com base em suas funções e responsabilidades dentro da organização. Algumas atividades-chave incluem: Criação de Contas: Configuração de novas contas de u...
Continue »