Definição das necessidades de termos de segurança informática
Fase de definição
A fase de definição das necessidades em termos de segurança é a primeira etapa para a implementação de uma política de segurança.
O objectivo consiste em determinar as necessidades da organização, fazendo uma verdadeira análise do sistema de informação, seguidamente estudar os diferentes riscos e a ameaça que representam para aplicar uma política de segurança adaptada.
A fase de definição comporta assim três etapas :
- A identificação das necessidades
- A análise dos riscos
- A definição da política de segurança
Identificação das necessidades
A fase de identificação das necessidades consiste inicialmente em fazer o inventário do sistema de informação, nomeadamente para os elementos seguintes:
- Pessoas e funções;
- Materiais, servidores e os serviços que emitem;
- Cartografia da rede (plano de endereçamento, topologia física, topologia lógica, etc.);
- Lista dos nomes de domínio da empresa;
- Infra-estrutura de comunicação (routers, comutadores, etc.)
- Dados sensíveis.
Análise dos riscos
A etapa de análise dos riscos consiste em posicionar os diferentes riscos, avaliar a sua probabilidade e, por último, estudar o seu impacto.
A melhor abordagem para analisar o impacto de uma ameaça consiste em considerar o custo dos prejuízos que causaria (por exemplo, ataque a um servidor ou deterioração de dados vitais para a empresa).
Nesta base, pode ser interessante elaborar um quadro dos riscos e a sua potencialidade, ou seja a sua probabilidade de ocorrerem, afectando-lhes níveis escalonados de acordo com uma tabela a definir, por exemplo :
- Sem objecto (ou improvável): a ameaça não tem razão de ser;
- Fraco: a ameaça tem pouca possibilidade de acontecer;
- Média: a ameaça é real;
- Elevado: a ameaça tem grandes possibilidades de ocorrer.
Definição da política de segurança
A política de segurança é o documento de referência que define os objectivos desejados em matéria de segurança e os meios aplicados para os garantir.
A política de segurança define diversas regras, de procedimentos e de boas práticas que permitem assegurar um nível de segurança conforme às necessidades da organização.
Tal documento deve necessariamente ser conduzido como um verdadeiro projecto que associa representantes dos utilizadores e leva ao mais elevado nível da hierarquia, para que seja aceite por todos. Quando a redacção da política de segurança for terminada, as cláusulas relativas ao pessoal devem ser-lhes comunicadas, a fim de dar à política de segurança o máximo de impacto.
Métodos
Existem numerosos métodos que permitem criar uma política de segurança. Eis uma lista não exaustiva dos principais métodos :
- MARION (Metodologia de Análise de Riscos Informáticos Orientada por Níveis), criado pelo CLUSIF ;
- MEHARI (Método Harmonizado de Análise de Riscos);
- EBIOS (Expressão das Necessidades e Identificação dos Objectivos de Segurança), criado pela DCSSI (Direcção Central da Segurança dos Sistemas de Informação);
- http://www.ssi.gouv.fr/fr/confiance/ebios.html
- A norma ISO 17799.
Assine nossa newsletter!
