Política de Segurança de Informações

Boas Práticas em Segurança da Informação - Resumo do Manual do TCU (2003)


Neste Capítulo serão apresentados conceitos relativos à política de segurança de informações, bem como questões que demonstram a importância de sua elaboração, implementação e divulgação.
2.1. O que visa a segurança de informações?
A segurança de informações visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informações processadas pela
organização. A integridade, a confidencialidade e a autenticidade de informações estão intimamente relacionadas com os controles de acesso abordados
no Capítulo 1.

2.1.1. O que é integridade de informações?
Consiste na fidedignidade de informações. Sinaliza a conformidade de dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário. A manutenção da integridade pressupõe a garantia de não violação dos dados com intuito de alteração, gravação ou exclusão, seja ela
acidental ou proposital.

2.1.2. O que é confidencialidade de informações?
Consiste na garantia de que somente pessoas autorizadas tenham acesso às informações
armazenadas ou transmitidas por meio de redes de comunicação. Manter a confidencialidade pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para
tal procedimento.

2.1.3. O que é autenticidade de informações?
Consiste na garantia da veracidade da fonte das informações. Por meio da autenticação é possível confirmar a identidade da pessoa ou entidade que presta as informações.

2.1.4. O que é disponibilidade de informações?
Consiste na garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a qualquer momento requerido, durante o período acordado entre os gestores da informação e a área de informática. Manter a disponibilidade de informações pressupõe garantir a prestação contínua do serviço, sem interrupções
no fornecimento de informações para quem de direito.

2.2. Por que é importante zelar pela segurança de informações?
Porque a informação é um ativo muito importante para qualquer organização, podendo
ser considerada, atualmente, o recurso patrimonial mais crítico. Informações adulteradas, não disponíveis, sob conhecimento de pessoas de máfé ou de concorrentes podem comprometer significativamente, não apenas a imagem da organização perante terceiros, como também o andamento dos próprios processos organizacionais.
É possível inviabilizar a continuidade de uma organização se não for dada a devida atenção à segurança de suas informações.

2.3. O que é política de segurança de informações - PSI?
Política de segurança de informações é um conjunto de princípios que norteiam a gestão de segurança de informações e que deve ser observado pelo corpo técnico e gerencial e pelos usuários internos e externos. As diretrizes estabelecidas nesta política determinam as linhas mestras que devem ser seguidas pela organização para que sejam assegurados seus recursos computacionais e suas informações.

2.4. Quem são os responsáveis por elaborar a PSI?
É recomendável que na estrutura da organização exista uma área responsável pela
segurança de informações, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar funções de segurança. Vale salientar, entretanto, que pessoas de áreas críticas da organização devem participar do processo de elaboração da PSI, como a alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto
dirigente da organização.

2.5. Que assuntos devem ser abordados na PSI?
A política de segurança de informações deve extrapolar o escopo abrangido pelas áreas de sistemas de informação e recursos computacionais. Ela não deve ficar restrita à área de informática. Ao contrário, ela deve estar integrada à visão, à missão, ao negócio e às metas institucionais, bem como ao plano estratégico de informática e às políticas da organização concernentes à segurança em geral. O conteúdo da PSI varia, de organização para organização, em função de seu estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, necessidades requeridas,
requisitos de segurança, entre outros aspectos. No entanto, é comum a presença de alguns tópicos na PSI, tais como:
· definição de segurança de informações e de sua importância como mecanismo que possibilita o compartilhamento de informações;
· declaração do comprometimento da alta administração com a PSI, apoiando suas metas e princípios;
· objetivos de segurança da organização;
· definição de responsabilidades gerais na gestão de segurança de informações;
· orientações sobre análise e gerência de riscos;
· princípios de conformidade dos sistemas computacionais com a PSI;
· padrões mínimos de qualidade que esses sistemas devem possuir;
· políticas de controle de acesso a recursos e sistemas computacionais;
· classificação das informações (de uso irrestrito, interno, confidencial e secretas);
· procedimentos de prevenção e detecção de vírus;
· princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais);
· princípios de supervisão constante das tentativas de violação da segurança de informações;
· conseqüências de violações de normas estabelecidas na política de segurança;
· princípios de gestão da continuidade do negócio;
· plano de treinamento em segurança de informações.

2.6. Qual o nível de profundidade que os assuntos abordados na PSI devem ter?
A política de segurança de informações deve conter princípios, diretrizes e regras genéricos e amplos, para aplicação em toda a organização. Além disso, ela deve ser clara o suficiente para ser bem compreendida pelo leitor em foco, aplicável e de fácil aceitação. A complexidade e extensão exageradas da PSI pode levar ao fracasso de sua implementação. Cabe destacar que a PSI pode ser composta por várias políticas inter-relacionadas, como a política de senhas, de backup, de contratação e instalação de equipamentos e softwares. Ademais, quando a organização achar conveniente e necessário que sua PSI seja mais abrangente e detalhada, sugere-se a criação de outros documentos que especifiquem práticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia da informação. Esses documentos costumam dispor sobre regras mais específicas, que detalham as responsabilidades dos usuários, gerentes e auditores e, normalmente, são atualizados com maior freqüência. A PSI é o primeiro de muitos documentos com informações cada vez mais detalhadas sobre procedimentos, práticas e padrões a serem aplicados em determinadas circunstâncias,
sistemas ou recursos.

2.7. Como se dá o processo de implantação da PSI?
O processo de implantação da política de segurança de informações deve ser formal. No decorrer desse processo, a PSI deve permanecer passível a ajustes para melhor adaptar-se às reais necessidades. O tempo desde o início até a completa implantação tende a ser longo. Em resumo, as principais etapas que conduzem à implantação bem sucedida da PSI são: elaboração, aprovação, implementação, divulgação e manutenção.
Muita atenção deve ser dada às duas últimas etapas,haja vista ser comum sua não observância. Normalmente, após a consecução das três primeiras etapas, as gerências de segurança acreditam terem cumprido o dever e esquecem da importância da divulgação
e atualização da PSI. De forma mais detalhada, pode-se citar como as principais fases que compõem o processo de implantação da PSI:
· identificação dos recursos críticos;
· classificação das informações;
· definição, em linhas gerais, dos objetivos de segurança a serem atingidos;
· análise das necessidades de segurança (identificação das possíveis ameaças, análise de riscos e impactos);
· elaboração de proposta de política;
· discussões abertas com os envolvidos;
· apresentação de documento formal à gerência superior;
· aprovação;
· publicação;
· divulgação;
· treinamento;
· implementação;
· avaliação e identificação das mudanças necessárias;
· revisão.

2.8. Qual o papel da alta administração na elaboração e implantação da PSI?

O sucesso da PSI está diretamente relacionado com o envolvimento e a atuação da alta administração. Quanto maior for o comprometimento da gerência superior com os processos de elaboração e implantação da PSI, maior a probabilidade de ela ser
efetiva e eficaz. Esse comprometimento deve ser expresso formalmente, por escrito.

2.9. A quem deve ser divulgada a PSI?
A divulgação ampla a todos os usuários internos e externos à organização é um passo indispensável para que o processo de implantação da PSI tenha sucesso. A PSI deve ser de conhecimento de todos que interagem com a organização e que, direta ou indiretamente, serão afetados por ela. É necessário que fique bastante claro, para todos, as conseqüências advindas do uso inadequado dos sistemas computacionais e de
informações, as medidas preventivas e corretivas que estão a seu cargo para o bom, regular e efetivo controle dos ativos computacionais. A PSI fornece orientação
básica aos agentes envolvidos de como agir corretamente para atender às regras nela
estabelecidas. É importante, ainda, que a PSI esteja permanentemente acessível a todos.

2.10. O que fazer quando a PSI for violada?
A própria Política de Segurança de Informações deve prever os procedimentos a serem adotados para cada caso de violação, de acordo com sua severidade, amplitude e tipo de infrator que a perpetra. A punição pode ser desde uma simples advertência verbal ou escrita até uma ação judicial. A Lei n.º 9.983, de 14 de julho de 2000, que
altera o Código Penal Brasileiro, já prevê penas para os casos de violação de integridade e quebra de sigilo de sistemas informatizados ou banco de dados
da Administração Pública. O novo art. 313-A trata da inserção de dados falsos em sistemas de informação, enquanto o art. 313-B discorre sobre a modificação ou alteração não autorizada desses mesmos sistemas. O § 1º do art. 153 do Código Penal foi alterado e, atualmente, define penas quando da divulgação de informações sigilosas ou reservadas, contidas ou não nos bancos de dados da Administração Pública. O fornecimento ou empréstimo de senha que possibilite o acesso de pessoas não autorizadas a sistemas de informações é tratado no inciso I do § 1º do art. 325 do Código Penal. Neste tópico, fica ainda mais evidente a importância da conscientização dos funcionários quanto à PSI. Uma vez que a Política seja de conhecimento de todos da organização, não será admissível que as pessoas aleguem ignorância quanto às regras nela estabelecidas a fim de livrar-se da culpa sobre
violações cometidas. Quando detectada uma violação, é preciso averiguar suas causas, conseqüências e circunstâncias em que ocorreu. Pode ter sido derivada de um simples acidente, erro ou mesmo desconhecimento da PSI, como também de negligência, ação deliberada e fraudulenta. Essa averiguação possibilita que vulnerabilidades até
então desconhecidas pelo pessoal da gerência de segurança passem a ser consideradas, exigindo, se for o caso, alterações na PSI.


2.11. Uma vez definida, a PSI pode ser alterada?
A PSI não só pode ser alterada, como deve passar por processo de revisão definido e periódico que garanta sua reavaliação a qualquer mudança que venha afetar a análise de risco original, tais como: incidente de segurança significativo, novas vulnerabilidades, mudanças organizacionais ou na infra-estrutura tecnológica. Além disso, deve haver análise periódica da efetividade da política, demonstrada pelo tipo, volume e impacto dos incidentes de segurança registrados. É desejável, também, que sejam avaliados o custo e o impacto dos controles na eficiência do negócio, a fim de que esta não seja comprometida pelo excesso ou escassez de controles. É importante frisar, ainda, que a PSI deve ter um gestor responsável por sua manutenção e análise
crítica.

2.12. Existem normas sobre PSI para a Administração Pública Federal?
O Decreto n.º 3.505, de 13.06.2000, instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Em linhas gerais, os objetivos traçados nessa PSI dizem respeito à necessidade de capacitação e conscientização das pessoas lotadas nos órgãos e entidades da Administração Pública Federal quanto aos aspectos de segurança da informação; e necessidade de elaboração e edição de instrumentos jurídicos, normativos e organizacionais que promovam a efetiva implementação da segurança da informação. Com relação às matérias que esses instrumentos devem versar, o Decreto menciona:
· padrões relacionados ao emprego dos produtos que incorporam recursos criptográficos;
· normas gerais para uso e comercialização dos recursos criptográficos;
· normas, padrões e demais aspectos necessários para assegurar a confidencialidade dos dados;
· normas relacionadas à emissão de certificados de conformidade;
· normas relativas à implementação dos sistemas de segurança da informação, com intuito de garantir a sua interoperabilidade, obtenção dos níveis de segurança desejados e permanente disponibilização dos dados de interesse para a defesa nacional;

Além disso, o Decreto prevê a concepção, especificação e implementação da infra-estrutura de chaves públicas - ICP a ser utilizada pelos órgãos e entidades da Administração Pública Federal. Em 28 de junho de 2001, foi editada a Medida Provisória n.º 2.200, que institui a Infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil para garantir a autenticidade, a integridade e a validade jurídica de
documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.

Os principais objetivos do ICP Brasil são: assegurar a confidencialidade, a autenticidade e a integridade das mensagens e documentos eletrônicos, e evitar que deixem de ser honrados compromissos assumidos mediante sua utilização. Pretende-se difundir um rigoroso sistema de informática que armazene e identifique os dados transmitidos eletronicamente, as chamadas assinaturas digitais, compostas por chave pública e chave privada. Além disso, foi editado, em 31 de outubro de 2001, o Decreto n.º 3.996, que dispõe sobre a prestação de serviços de certificação digital no âmbito da Administração Pública Federal.

2.13. Referências bibliográficas
1. ABNT. NBR ISO/IEC 17799 - Tecnologia da informação: código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2001.
2. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000. 218p.
3. BRASIL. Decreto n.º 3.505, de 13 de junho de 2000. [Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal].
4. ______. Decreto n.º 3.996, de 31 de outubro de 2001. [Dispõe sobre a prestação de serviços de certificação digital no âmbito da Administração Pública Federal].
5. ______. Lei n.º 9.983, de 14 de julho de 2000. [Altera o Decreto-Lei n.º 2.848, de 7 de dezembro de 1940 – Código Penal e dá outras providências].
6. ______. Medida Provisória n.º 2.200-2, de 24 de agosto de 2001. [Institui a Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia, e dá outras providências].