O palestrante foi Marcus Augustus Burghardt. Pra variar, cheguei atrasada e não sei de onde ele é. Ele fez uma longa descrição do que é necessário fazer para escrever políticas de segurança para uma organização. Segue abaixo um resumo.
Política de segurança: RFC 2196 formalizar regras, boas práticas com os recursos que disponibilizam dos recursos de uma organização.
RFC escrita em setembro de 1997. Possui uma base teórica interessante e fundamentada, porém alguns tópicos já não são válidos para atualidade: virtualização, opções entre políticas allow all e deny all, procedimentos completos na política, termos técnicos.
Utilidade da política de segurança: incrementar a segurança seguindo princípios da confidencialidade, integridade e disponibilidade; mitigar incidentes de segurança quem possam impactar negativamente nos negócios da organização; conscientizar os usuários das regras, boas prátias, riscos e responsabilidades ao utilizarem os recursos da organização; definir e melhorar continuamente as práticas e ferrametas para uma resposta ao incidente.
Somente isso? não… levar a segurança a sério na organização, possibilitando inclusive ações legais decorrentes do descumprimento das políticas.
Consolidar uma base para tomada de decisões e ações relacionadas à segurança, ou seja, que caminho seguir, justificar investimetnos em segurança da informação;
Por onde começar?
Quais os objetivos da organização, o que, de quem, por quem e como?
Identificação de ativos: informações críticas, equipamentos, softwares, pessoas, etc; quais os riscos que esses ativos sofrem e quais os impactos nos negócios? quais benefícios gamanhos mitigando esses riscos;
Qual a situação atual da organização? Optar por uma política mais permissiva ou mais proibitiva? quais assuntos abordar, armazenamento, emails, internet, dispositivos, instant messengers
Montar a equipe para iniciar a política. Analista de segurança, técnicos de ti, usuários chaves, departamento jurídico.
Dicas na fase inicial: segurança, disponibilidade, custo.
Networking: novas idéias; cabeça aberta; segmentação: usuarios, administradores, terceiros
Aos usuários: acessos a internet: sites, download, admissão e demissão de funcionários: acesso, arquivos; armazenamento: cotas, tipos de arquivos; autenticação; emails: anexos, cotas; dipositivos: pendrive;
Pivacidade: posso monitorar tudo o que o usuário faz? e sele usa email particular; Quem pode monitorar os usuários? E se o usuário tiver trabalhando em algo confidencial? O usuário precisa saber que estou monitorando ele? Até onde posso aprofundar o monitoramento?
Aos sysadminis: linguagem mais técnica; politicas mais rigorosas; padrões de senhas; respostas a incidentes; responsabilidades; controles de acessos
divulgação de infomrações; gerenciamento de logs; usuario de teste; atividades criticas; alteracao de cadastros do usuário; engenharia social; documentação; amizade; etica; associar a politica de usuarios
Aos terceiros: as politicas direcionadas aos usuarios da organizaçaõ dificilmente cabem aos terceiros na empresa: consultores, programadores, visitantes; deve ser criada uma política separada para os terceiros que garanta os mesmos cuidados tomados com os usuários da organização; não podemos impedir o desempenho de trabalho do terceiro mas podemos dar todos os recusos necessários com segurança;
Erros comuns: politicas surreais. regras incabiveis e incontrolaveis; falta de embasamento tecninco e ferramentas para controle; prejudicar o desempenho dos usuários; falta de treinamento para mudanças de métodos e processos; não divulgação para todos os usuarios e dificultar o acesso; falta de clareza e uso de termos tecnicos; falta de respeito com todos os usuarios; falta de monitorameento constante; não cumprimento da politica “cair no esquecimento”; desacordo com termos legais e por ultimo confiança.
Boas praticas: sempre testar viabilidade tecnica de todas as politicas; amonizar segunrança. disponibilidade e custo; testar a clareza nas regras com usuarios; facilitar acesso e a consulta das politicas; alinhar todas as regras com um setor juridico; atualizar constantemente de acordo com as mudanças na organização de tecnologias; ficar atento a novidades; fazer analises constantes na eficacia; buscar apoio forte, dde cima para baixo
A lua de Elisabete 