Politica de segurança do trabalho
Politica de segurança do trabalho A Segurança da Informação se refere à proteção existente sobre as informações de determinada empresa ou pessoa, isto é, aplica-se tanto as informações corpo ativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. De acordo com o RFC 2196 (The Site Security Handbook), uma politica de segurança que devem ser segui s p ar 3 organização.
As políticas de segur definir claramente as to view nut*ge formal de regras s recursos de uma ntação realista, e de dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.
O documento que define a política de segurança deve deixar e fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido. Algumas normas definem aspectos que dev devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira).
A ISO começou a publicar a série de normas 27000, em substituição à ISO 1 7799 (e por conseguinte ? BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005. Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido). Os elementos da política de segurança devem ser considerados: A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar, possa usar.
Dados críticos devem estar disponíveis ininterruptamente. A egalidade A Integridade: o sistema deve estar sempre íntegro e em ondições de ser usado. A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condiçóes de analisar a identidade do sistema. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado. Com Isso vem as ameaça de segurança: *Ameaças à segurança As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 características principais, quais sejam: Perda de Confidencialidade: seria quando há uma quebra de sigilo e uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais s PAGFarl(F3 usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários. erda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da nformação. Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela.
Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação critica de negóc10, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção. No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas ezes conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas).
Estas pessoas são motivadas para fazer esta ilegalidade por vários motivos. Os principais são: notoriedade, auto-estima, vingança e o dinheiro. De acordo com pesquisa elaborada pelo Computer Security Institute mais de 70% dos ataques partem de usuários legítimos de sistemas de informação (Insiders) o que motiva corporações a investir largamente em controles de segurança para seus ambientes corporativos (intranet). PAGF3ÜF3