O que é uma Política de Segurança? Definição, elementos e exemplos

Relógio para o tempo que leva para ler o artigo9 min de leitura

Última atualização em 29 de junho de 2022

O que é uma Política de Segurança? Definição, elementos e exemplos

Levante a mão se a pergunta: “O que estamos fazendo para garantir que não sejamos a próxima vítima de ransomware?” for muito familiar. Se você é um CISO, CIO ou diretor de TI, provavelmente já foi muito perguntado isso ultimamente pela gerência sênior. Embora possa ser tentador experimentar a mais recente solução técnica de um truque, proteger verdadeiramente sua organização e seus dados requer uma abordagem ampla e abrangente. E não há melhor base paraa construção de uma cultura de proteçãodo que uma boa política de segurança da informação.

Neste artigo, exploraremos o que é uma diretiva de segurança, descobriremos por que ela é vital implementá-la e examinaremos algumas práticas recomendadas para estabelecer uma política de segurança eficaz em sua organização.

O que é uma política de segurança?

Uma política de segurança (também chamada de política de segurança da informação ou política de segurança de TI) é um documento que especifica as regras, expectativas e abordagem geral que uma organização usa para manter aconfidencialidade, integridade e disponibilidadede seus dados. As políticas de segurança existem em muitos níveis diferentes, desde construções de alto nível que descrevem as metas e os princípios gerais de segurança de uma empresa até documentos que abordam questões específicas, como acesso remoto ou uso de Wi-Fi.

Uma diretiva de segurança é frequentemente usada em conjunto com outros tipos de documentação, como procedimentos operacionais padrão. Esses documentos trabalham juntos para ajudar a empresa a atingir suas metas de segurança. A política define a estratégia geral e a postura de segurança, com os outros documentos ajudando a construir a estrutura em torno dessa prática. Você pode pensar em uma política de segurança como respondendo ao “o que” e “por que”, enquanto procedimentos, padrões e diretrizes respondem ao “como”.

Quatro razões pelas quais uma política de segurança é importante

As políticas de segurança podem parecer apenas mais uma camada de burocracia, mas, na verdade, elas são um componente de vital importância em qualquer programa de segurança da informação. Alguns dos benefícios de uma política de segurança bem projetada e implementada incluem:

1. Orienta a implementação de controles técnicos

Uma política de segurança não fornece orientação técnica específica de baixo nível, mas explicita as intenções e expectativas da gerência sênior em relação à segurança. Cabe então às equipes de segurança ou de TI traduzir essas intenções em ações técnicas específicas.

Por exemplo, uma política pode indicar que somente usuários autorizados devem ter acesso a informações proprietárias da empresa. Os sistemas de autenticação específicos e as regras de controle de acesso usados para implementar essa política podem mudar com o tempo, mas a intenção geral permanece a mesma. Sem um lugar para começar, as equipes de segurança ou de TI só podem adivinhar os desejos da gerência sênior. Isso pode levar à aplicação inconsistente de controles de segurança em diferentes grupos e entidades de negócios.

2. Define expectativas claras

Sem uma política de segurança, cada funcionário ou usuário será deixado ao seu próprio julgamento ao decidir o que é apropriado e o que não é. Isso pode levar a um desastre quando funcionários diferentes aplicam padrões diferentes.

É apropriado usar um dispositivo da empresa para uso pessoal? Um gerente pode compartilhar senhas com seus subordinados diretos por uma questão de conveniência? Que tal instalar software não aprovado? Sem políticas claras, diferentes funcionários podem responder a essas perguntas de maneiras diferentes. Uma política de segurança também deve especificar claramente como a conformidade é monitorada e aplicada.

3. Ajuda a atender aos requisitos normativos e de conformidade

Políticas de segurança documentadas são um requisito de legislação comoHIPAAe Sarbanes-Oxley, bem como regulamentos e padrões como PCI-DSS, ISO 27001 e SOC2. Mesmo quando não explicitamente exigida, uma política de segurança é muitas vezes uma necessidade prática na elaboração de uma estratégia para atender a requisitos de segurança e privacidade de dados cada vez mais rigorosos.

4. Melhora a eficiência organizacional e ajuda a atingir os objetivos de negócios

Uma boa política de segurança pode aumentar a eficiência de uma organização. Suas políticas colocam todos na mesma página, evitam a duplicação de esforços e fornecem consistência no monitoramento e na aplicação da conformidade. As políticas de segurança também devem fornecer orientações claras sobre quando as exceções de política são concedidas e por quem.

Para alcançar esses benefícios, além de ser implementada e seguida, a política também precisará estar alinhada com os objetivos de negócios e a cultura da organização.

Três tipos de políticas de segurança

×

três tipos de policies@2x de segurança

As políticas de segurança podem variar em escopo, aplicabilidade e complexidade, de acordo com as necessidades de diferentes organizações. Embora não exista um modelo universal para políticas de segurança, o National Institutes of Standards and Technology (NIST) explicita três tipos distintos naPublicação Especial (SP) 800-12:

1. Política do programa

As políticas de programa são modelos estratégicos de alto nível que orientam o programa de segurança da informação de uma organização. Eles explicitam o propósito e o escopo do programa, bem como definem papéis e responsabilidades e mecanismos de conformidade. Também conhecidos como políticas mestras ou organizacionais, esses documentos são criados com altos níveis de entrada da gerência sênior e geralmente são agnósticos em tecnologia. Eles são o tipo de política menos frequentemente atualizado, pois devem ser escritos em um nível alto o suficiente para permanecerem relevantes mesmo por meio de mudanças técnicas e organizacionais.

2. Política específica do tema

As políticas específicas do problema baseiam-se na política de segurança genérica e fornecem orientações mais concretas sobre determinadas questões relevantes para a força de trabalho de uma organização. Exemplos comuns podem incluir uma política de segurança de rede, uma política BYOD (traga seu próprio dispositivo), uma política de mídia social ou uma política de trabalho remoto. Estes podem abordar áreas de tecnologia específicas, mas geralmente são mais genéricos. Uma diretiva de acesso remoto pode indicar que o acesso externo só é possível por meio de uma VPN aprovada pela empresa e com suporte, mas essa política provavelmente não nomeará um cliente VPN específico. Dessa forma, a empresa pode mudar de fornecedor sem grandes atualizações.

3. Política específica do sistema

Uma política específica do sistema é o tipo mais granular de política de segurança de TI, concentrando-se em um tipo específico de sistema, como um firewall ou servidor Web, ou até mesmo um computador individual. Em contraste com as políticas específicas do problema, as políticas específicas do sistema podem ser mais relevantes para o pessoal técnico que as mantém. O NIST afirma que as políticas específicas do sistema devem consistir em um objetivo de segurança e regras operacionais. As equipes de TI e segurança estão fortemente envolvidas na criação, implementação e aplicação de políticas específicas do sistema, mas as principais decisões e regras ainda são tomadas pela gerência sênior.

Sete elementos de uma política de segurança eficaz

As políticas de segurança são um componente essencial de um programa de segurança da informação e precisam ser adequadamente elaboradas, implementadas e aplicadas. Uma política de segurança eficaz deve conter os seguintes elementos:

1. Finalidade e objetivos claros

Isso é especialmente importante para as políticas do programa. Lembre-se de que muitos funcionários têm pouco conhecimento de ameaças à segurança e podem ver qualquer tipo de controle de segurança como um fardo. Uma declaração de missão clara ou propósito explicitado no nível superior de uma política de segurança deve ajudar toda a organização a entender a importância da segurança da informação.

2. Âmbito e aplicabilidade

Toda política de segurança, independentemente do tipo, deve incluir um escopo ou declaração de aplicabilidade que indique claramente a quem a política se aplica. Isso pode ser baseado em torno da região geográfica, unidade de negócios, função de trabalho ou qualquer outro conceito organizacional, desde que esteja definido corretamente.

3. Compromisso da alta administração

As políticas de segurança destinam-se a comunicar a intenção da gerência sênior, idealmente no nível do C-suite ou do conselho. Sem a adesão desse nível de liderança, qualquer programa de segurança provavelmente falhará. Para ter sucesso, suas políticas precisam ser comunicadas aos funcionários, atualizadas regularmente e aplicadas de forma consistente. A falta de apoio da gestão torna tudo isso difícil, se não impossível.

4. Políticas realistas e exequíveis

Embora possa ser tentador basear sua política de segurança em um modelo de perfeição, você deve lembrar que seus funcionários vivem no mundo real. Uma política excessivamente onerosa provavelmente não será amplamente adotada. Da mesma forma, uma política sem mecanismo de aplicação poderia ser facilmente ignorada por um número significativo de funcionários.

5. Definições claras de termos importantes

Lembre-se de que o público de uma política de segurança geralmente não é técnico. Uma linguagem concisa e livre de jargões é importante, e quaisquer termos técnicos no documento devem ser claramente definidos.

6. Adaptado ao apetite de risco da organização

O risco nunca pode ser completamente eliminado, mas cabe à gerência de cada organização decidir qual nível de risco é aceitável. Uma política de segurança deve levar em conta esse apetite ao risco, pois afetará os tipos de tópicos abordados.

7. Informações atualizadas

As atualizações de políticas de segurança são cruciais para manter a eficácia. Embora o programa ou a política mestre possa não precisar ser alterado com frequência, ele ainda deve ser revisado regularmente. As políticas específicas de questões precisarão ser atualizadas com mais frequência à medida que a tecnologia, as tendências da força de trabalho e outros fatores mudarem. Você pode descobrir que novas políticas também são necessárias ao longo do tempo: as políticas de BYOD e acesso remoto são ótimos exemplos de políticas que se tornaram onipresentes apenas na última década.

Dez perguntas a serem feitas ao criar sua política de segurança

Para que uma política de segurança tenha sucesso em ajudar a construir uma verdadeiracultura de segurança, ela precisa ser relevante e realista, com uma linguagem abrangente e concisa. Se isso soa como um ato de equilíbrio difícil, é porque é. Embora existam muitos modelos e exemplos do mundo real para ajudá-lo a começar, cada política de segurança deve ser ajustada às necessidades específicas da organização.

Se você está começando do zero ou construindo a partir de um modelo existente, as seguintes perguntas podem ajudá-lo a entrar na mentalidade certa:

  1. Como você alinhará sua política de segurança aos objetivos de negócios da organização?
  2. De quem vou precisar de buy-in? A alta administração está comprometida?
  3. Quem é o público desta política
  4. Qual é o escopo da política?
  5. Como a conformidade com a política será monitorada e aplicada?
  6. Quais regulamentos se aplicam ao seu setor? Por exemplo, GLBA, HIPAA, Sarbanes-Oxley, etc.
  7. Qual é o apetite ao risco da organização?
  8. Que tipo de regras, normas ou protocolos existentes (formais e informais) já estão presentes na organização?
  9. Com que frequência a política deve ser revisada e atualizada?
  10. Como as exceções de política serão tratadas?

Exemplos de políticas de segurança

Uma empresa grande e complexa pode ter dezenas de políticas de segurança de TI diferentes que abrangem diferentes áreas. As políticas que você optar por implementar dependerão das tecnologias em uso, bem como da cultura da empresa e do apetite ao risco. Dito isto, as seguintes políticas representam algumas das políticas mais comuns:

  1. Programa ou política organizacional: Esse plano de segurança de alto nível é uma obrigação para todas as organizações e explicita as metas e objetivos de um programa de segurança da informação. A política do programa também especifica funções e responsabilidades, monitoramento e aplicação de conformidade e alinhamento com outras políticas e princípios organizacionais.
  2. Política de uso aceitável: Essa é uma política específica do problema que define as condições aceitáveis sob as quais um funcionário pode acessar e usar os recursos de informação da empresa.
  3. Política de acesso remoto: Essa política específica do problema explica como e quando os funcionários podem acessar remotamente os recursos da empresa.
  4. Política de segurança de dados: A segurança de dadospode ser abordada na política do programa, mas também pode ser útil ter uma política dedicada descrevendo os princípios de classificação, propriedade e criptografia de dados para a organização.
  5. Política de firewall: Uma das diretivas específicas do sistema mais comuns, uma diretiva de firewall descreve os tipos de tráfego que o(s) firewall(s) de uma organização devem permitir ou negar. Note-se que, mesmo a este nível, a política ainda descreve apenas o “o quê”; um documento que descreve como configurar um firewall para bloquear determinados tipos de tráfego é um procedimento, não uma política.

Modelos de política de segurança e muito mais

Como discutimos, uma política de segurança eficaz precisa ser adaptada à sua organização, mas isso não significa que você precise começar do zero. Os modelos de política de segurança são um ótimo lugar para começar, seja elaborando uma política de programa ou uma política específica do problema. Aqui está uma lista rápida de modelos completamente gratuitos que você pode desenhar:

  1. Modelos de política de segurança do SANS Institute: O altamente respeitado SANS Institute tem uma coleção de políticas de segurança principalmente específicas de questões que foram criadas por meio de um consenso entre alguns dos especialistas mais experientes no assunto. Essas políticas modeladas são completamente gratuitas, mas lembre-se de personalizá-las para sua organização.
  2. Modelos de política de segurança PurpleSec: A empresa de consultoria de segurança PurpleSec também fornece modelos de segurança gratuitos como um recurso da comunidade. Você encontrará políticas de senha, políticas de segurança de e-mail, políticas de segurança de rede e muito mais em seu site.
  3. HealthIT.gov modelo de política de segurança: Este modelo do National Learning Consortium e do Escritório do Coordenador Nacional de Tecnologia da Informação em Saúde se concentra em tópicos relevantes para o setor de saúde, particularmente registros médicos eletrônicos.

Vários fornecedores on-line também vendem modelos de política de segurança que são mais adequados para atender aos requisitos regulatórios ou de conformidade, como os descritos na ISO 27001. Tenha em mente, porém, que o uso de um modelo comercializado dessa maneira não garante a conformidade.

Você também pode se inspirar em muitas políticas de segurança do mundo real que estão disponíveis publicamente. No entanto, simplesmente copiar e colar a política de outra pessoa não é ético nem seguro.

  1. Política de segurança da UC Berkeley: As políticas de segurança publicadas desta universidade bem conhecida são abrangentes e fáceis de ler, provando que uma política de segurança impressionante pode ser ambas.
  2. Política de segurança da cidade de Chicago: A terceira maior cidade dos Estados Unidos também mantém um índice de políticas de segurança facilmente digerível para seus funcionários, contratados e fornecedores.
  3. Política de segurança da Oracle: Esta longa política de segurança da gigante da tecnologia Oracle fornece uma visão incomum de uma grande política de segurança corporativa, que muitas vezes não é distribuída externamente.

Perguntas frequentes sobre política de segurança

P: Qual é o principal objetivo de uma política de segurança?

R: Uma política de segurança serve para comunicar a intenção da gerência sênior em relação à segurança da informação e conscientização de segurança. Ele contém princípios, metas e objetivos de alto nível que orientam a estratégia de segurança.

P: Quais são as principais políticas de segurança?

R: Três tipos de políticas de segurança de uso comum são políticas de programa, diretivas específicas de problemas e diretivas específicas do sistema. As políticas do programa são o nível mais alto e geralmente definem o tom de todo o programa de segurança da informação. As políticas específicas do problema lidam com questões específicas, como a privacidade do e-mail. As políticas específicas do sistema abrangem sistemas de computador específicos ou individuais, como firewalls e servidores da Web.

P: Preciso ter uma política de segurança?

R: Muitas peças de legislação, juntamente com normas regulamentares e de segurança, exigem políticas de segurança explicitamente ou por uma questão de praticidade. Ter pelo menos uma política de segurança organizacional é considerado uma prática recomendada para organizações de todos os tamanhos e tipos.

P: Como faço para criar uma diretiva de segurança?

R: Existem muitos recursos disponíveis para ajudá-lo a começar. An Introduction to Information Security (SP 800-12) do NIST fornece uma grande quantidade de informações e dicas práticas sobre políticas e gerenciamento de programas. O SANS Institute mantém um grande número demodelos de políticas de segurançadesenvolvidos por especialistas no assunto.

Considerações finais

Uma política de segurança é uma ferramenta indispensável para qualquer programa de segurança da informação, mas não pode viver no vácuo. Para fornecer proteção abrangente contra ameaças e remover vulnerabilidades, passar por auditorias de segurança com facilidade e garantir uma rápida recuperação de incidentes desegurançaque ocorram, é importante usar controles administrativos e técnicos juntos. AVaronis Data Security Platformpode ser um complemento perfeito à medida que você cria, implementa e ajusta suas políticas de segurança. Entre em contato conosco parauma demonstração individual hoje.

×

Robert Grimmick

Robert Grimmick

Robert é um consultor de TI e segurança cibernética baseado no sul da Califórnia. Ele gosta de aprender sobre as mais recentes ameaças à segurança do computador.

Artigo Original