Definição das necessidades de termos de segurança informática

Última modificação: domingo 27 setembro 2009 à 16:09 por owliance.pt_004.

Fase de definição

A fase de definição das necessidades em termos de segurança é a primeira etapa para a implementação de uma política de segurança.

O objectivo consiste em determinar as necessidades da organização, fazendo uma verdadeira análise do sistema de informação, seguidamente estudar os diferentes riscos e a ameaça que representam para aplicar uma política de segurança adaptada.

A fase de definição comporta assim três etapas :

A identificação das necessidades
A análise dos riscos
A definição da política de segurança

Identificação das necessidades

A fase de identificação das necessidades consiste inicialmente em fazer o inventário do sistema de informação, nomeadamente para os elementos seguintes:

Pessoas e funções;
Materiais, servidores e os serviços que emitem;
Cartografia da rede (plano de endereçamento, topologia física, topologia lógica, etc.);
Lista dos nomes de domínio da empresa;
Infra-estrutura de comunicação (routers, comutadores, etc.)
Dados sensíveis.

Análise dos riscos

A etapa de análise dos riscos consiste em posicionar os diferentes riscos, avaliar a sua probabilidade e, por último, estudar o seu impacto.

A melhor abordagem para analisar o impacto de uma ameaça consiste em considerar o custo dos prejuízos que causaria (por exemplo, ataque a um servidor ou deterioração de dados vitais para a empresa).

Nesta base, pode ser interessante elaborar um quadro dos riscos e a sua potencialidade, ou seja a sua probabilidade de ocorrerem, afectando-lhes níveis escalonados de acordo com uma tabela a definir, por exemplo :

Sem objecto (ou improvável): a ameaça não tem razão de ser;
Fraco: a ameaça tem pouca possibilidade de acontecer;
Média: a ameaça é real;
Elevado: a ameaça tem grandes possibilidades de ocorrer.

Definição da política de segurança

A política de segurança é o documento de referência que define os objectivos desejados em matéria de segurança e os meios aplicados para os garantir.

A política de segurança define diversas regras, de procedimentos e de boas práticas que permitem assegurar um nível de segurança conforme às necessidades da organização.

Tal documento deve necessariamente ser conduzido como um verdadeiro projecto que associa representantes dos utilizadores e leva ao mais elevado nível da hierarquia, para que seja aceite por todos. Quando a redacção da política de segurança for terminada, as cláusulas relativas ao pessoal devem ser-lhes comunicadas, a fim de dar à política de segurança o máximo de impacto.

Métodos

Existem numerosos métodos que permitem criar uma política de segurança. Eis uma lista não exaustiva dos principais métodos :

MARION (Metodologia de Análise de Riscos Informáticos Orientada por Níveis), criado pelo CLUSIF ;
- https://www.clusif.asso.fr/fr/production/mehari/
MEHARI (Método Harmonizado de Análise de Riscos);
- https://www.clusif.asso.fr/fr/production/mehari/
EBIOS (Expressão das Necessidades e Identificação dos Objectivos de Segurança), criado pela DCSSI (Direcção Central da Segurança dos Sistemas de Informação);
- http://www.ssi.gouv.fr/fr/confiance/ebios.html
A norma ISO 17799.

Veja também

Definição das necessidades
Definição de rede - Dicas - Redes
Mouse definição - Dicas - Partes do computador
Placa de rede definição - Dicas - Partes do computador
Erro de definição da cmos (bios) - Dicas -BIOS
Url definição - Dicas - Protocolos de Internet

Este documento, intitulado 'Definição das necessidades de termos de segurança informática', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.

Introdução à segurança informática

Teste de intrusão