You are on page 1of 7

23/3/2011 Política de Segurança de Informação: …

Política de Segurança de Informação: um


modelo de como não fazer « Efetividade.net
Fonte:http://www.efetividade.net/2009/01/20/politica-de-seguranca-de-informacao-um-modelo-de-como-nao-fazer/

A política de segurança da sua organização é inexistente ou ineficaz, e ainda por cima dificulta que os
usuários possam usar os recursos de informática para realizar trabalho legítimo? Você não está sozinho, esta
é uma fonte contínua de frustração para bastante gente.

Na verdade, e para ser justo, mesmo quando ela funciona bem, é provável que muitos usuários
ocasionalmente sintam que ela é um entrave ao seu desempenho. Mas quando ela não funciona, o efeito é
muito mais frustrante.

Batendo na mesma tecla

As causas são bem conhecidas, e não é necessário formação em TI para entender por que as coisas
acontecem assim. E a listagem abaixo é justamente isso: uma lista do que deve ser feito se quisermos que a
política de segurança de TI não funcione, acompanhada de ocasionais comentários em itálico explicando ou
ampliando os itens. Mas a receita oposta (a do sucesso) seja bem mais difícil de definir ;-)

Os comentários em itálico são todos meus, mas a lista original foi publicada há 2 semanas no Internet Storm
Center. Eu me esforcei menos para fazer uma tradução fiel, e mais para torná-la suficientemente
compreensível para poder ser entendida (com menos jargões, especialmente) por todo mundo que tem
interesse no avanço da segurança das informações em suas organizações, e na redução das proibições e
restrições desnecessárias ou injustificadas.

Já vai longe o tempo em que eu era administrador de redes e lia diariamente sites como o Internet Storm
Center. Mas tanto naquela época como agora eu sempre acreditei que a organização só faz a política – quem
faz a segurança são os usuários. E é suficientemente fácil encontrar exemplos de políticas de segurança de
informação sendo mal-empregados e gerando mais prejuízos do que benefícios.

Portanto, se a lista abaixo provocar reflexões sobre a situação na sua organização, compartilhe conosco nos
comentários!

Vamos à lista!

efetividade.net/…/politica-de-seguran… 1/7
23/3/2011 Política de Segurança de Informação: …

Política de Segurança da Informação: checklist do que NÃO


fazer
Práticas de segurança

Espere que os usuários, em prol da segurança, abram mão da conveniência. Abrir mão da
conveniência é algo que geralmente se faz só por obrigação imposta, por mais que se
compreenda e apóie a política (e se deseje que “os outros” abram mão das suas conveniências),
em especial quando as pessoas se percebem impedidas, pela própria organização, de realizar o
trabalho que se espera delas.
Tranque tanto a infra-estrutura, que trabalhar se torne complicado demais. Complemento do
comentário acima. E há um risco adicional: os usuários vão encontrar “jeitinhos”, como o uso
de cópias locais, versões antigas e mídias não-autorizadas.
Diga “não” sempre que lhe solicitarem alguma aprovação. Assumindo que você tenha força
suficiente para sustentar um comportamento deste tipo, aí quem vai encontrar jeitinhos serão
departamentos inteiros, filiais, e outros agregados.

Imponha requisitos de segurança sem as ferramentas e treinamento adequados. Vira letra morta, e
ainda por cima custa caro. Segurança precisa ser praticada por todos, o que pressupõe
ferramentas e educação.
Concentre-se em mecanismos preventivos, ignorando as tecnologias de detecção. Se você acreditar
que suas barreiras são inexpugnáveis, corre o risco de perceber o inimigo já agindo livremente
dentro delas, tarde demais
Não analise logs de sistemas, aplicações e segurança.
Não tenha tratamento especial e separação para seus servidores acessíveis via Internet. Se os seus
servidores acessíveis via Internet ficarem na mesma rede que os demais computadores da
organização, a tendência é que todos os demais computadores estejam bem mais expostos do

efetividade.net/…/politica-de-seguran… 2/7
23/3/2011 Política de Segurança de Informação: …
que deveriam.
Assuma que seu gerenciamento de atualizações de sistemas funciona, sem verificá-lo. Basta haver um
computador sem uma atualização crítica, para colocar por água abaixo todo o restante do
esforço.
Apague logs porque eles ficaram grandes demais para ler. Configure-os de acordo, processe-os e
leia! Ou arrume quem o faça, regularmente e com muita atenção.
Espere que o SSL resolva todas as questões de segurança de seus aplicativos web. SSL é só o
mínimo necessário, e o “cadeadinho fechado” no rodapé do navegador não protege contra as
falhas na programação ou na arquitetura.

Proíba o uso de pen drives, sem delimitar o acesso à Internet. Os mesmos arquivos que podem
entrar ou sair via pen-drive podem fazê-lo via uma grande variedade de sites na Internet. Pen
drives são uma ferramenta, mas o que deve ser restrito é trazer ou levar os arquivos não
autorizados que se queira impedir. Só proibir os pen drives é incômodo e ineficaz.
Aja como se fosse superior a seus pares nas demais áreas de TI. Cooperação é muito mais eficaz.
Pare de aprender sobre tecnologias e ataques.
Adote novas tecnologias antes que elas tenham maturidade suficiente. Folders, livretos, exposições e
as conversas dos vendedores devem ser tomados em conjunto com doses saudáveis de
consideração.
Contrate alguém só porque ele tem um monte de certificações.
Não informe seus gestores sobre os problemas de segurança que os seus esforços evitaram. Os seus
custos e as dificuldades que você gera, eles vêem. Permita que vejam claramente os resultados
também.
Não faça treinamento cruzado nas equipes de segurança e TI. Os desenvolvedores, equipes de
suporte, operação e manutenção são essenciais na segurança. E os profissionais da segurança
precisam conhecer as tecnologias que estão protegendo ou restringindo.

Gestão de senhas

Exija que seus usuários troquem de senha com muita frequência. …e eles adotarão esquemas fáceis

efetividade.net/…/politica-de-seguran… 3/7
23/3/2011 Política de Segurança de Informação: …
de lembrar (e quebrar), ou escreverão as senhas em algum lugar de fácil acesso.
Espere que seus usuários lembrem de senhas sem escrevê-las. …e eles nunca vão trocá-las, ou
escolherão sempre senhas fáceis.
Imponha requisitos de seleção de senhas que exijam esforço demais. …e eles as esquecerão com
freqüência e pedirão ajuda a terceiros na hora de trocá-las, falando em voz alta a senha que
tentaram e qual irão tentar agora.
Use a mesma senha em sistemas com níveis de risco diferentes.
Deixe de considerar a facilidade com que uma senha pode ser regerada ou zerada. Às vezes com um
simples telefonema, sem verificação de identidade.

Política de segurança e adoção de padrões

Ignore requisitos legais. Não é razoável: proibir o que uma norma superior permite, permitir o
que a lei proíbe, atribuir a si mesmo o poder de realizar verificações ou praticar ações que
potencialmente violem direitos alheios. Mesmo assim muita gente tenta, todos os dias, e se dá
mal na hora de colocar em prática.
Assuma que os usuários irão ler a política de segurança porque você pediu a eles. Eles só o farão se
precisarem muito. Publicar pode ser o suficiente para que eles venham a conhecer as linhas
gerais, eventualmente distorcidas pela Rádio Corredor. Para que os usuários conheçam uma
política detalhadamente, é preciso recorrer a outros meios de educação. Na prática, você não
pode assumir nem mesmo que toda a equipe de TI, ou que a maioria dos executivos, vá ler a
norma.

Use modelos de documentos de segurança sem adaptá-los. E não vale adaptar só um pouquinho.
A não ser que a implantação vá ser para fins didáticos.
Pule direto para a adoção completa das normas ISO antes de estar pronto. Maturidade, de modo
geral, implica em um plano de adoção em várias etapas sucessivas.
Crie políticas de segurança que você não poderá fazer cumprir. Uma norma cujo cumprimento não
é (ou não pode ser) exigido pode ser até mesmo pior do que a ausência de normatização, e
acaba servindo apenas para punir culpados depois que a porta já estiver arrombada e as vacas
tiverem fugido do estábulo.
Faça cumprir políticas cuja aprovação formal é incompleta ou insuficiente. Especialmente caso exista
possibilidade de o caso ir parar no judiciário (mesmo que seja o trabalhista, em caso de

efetividade.net/…/politica-de-seguran… 4/7
23/3/2011 Política de Segurança de Informação: …
penalidade disciplinar), ou houver interações complexas entre departamentos ou áreas da
organização.
Siga cegamente requisitos das normas, sem criar uma arquitetura de segurança completa.
Crie sua política de segurança só para marcar um ponto em uma checklist. Se for só para dizer que
tem, aí o melhor é mesmo cumprir apenas os requisitos mínimos e estar preparado para arcar
com os resultados. Fazer pela metade sai mais caro, e pode ser tão ou mais ineficaz do que só
fazer o mínimo que a norma exige.
Contrate alguém para escrever a sua política de segurança sem conhecer sua realidade.
Em um ambiente multi-idiomas, traduza a sua política sem manter significados consistentes em todas as
traduções.
Esconda dos funcionários a sua política. Divulgue a todos, não restrinja a divulgação do que não
for informação sensível, preocupe-se com a internalização e adoção na prática.
Assuma que se as políticas funcionaram para o ano passado, funcionarão para o próximo. Quantos
prédios haviam sido atingidos intencionalmente por aviões de grande porte antes do 11 de
setembro?
Assuma que atender as normas significa que você está seguro. Atender as normas é só o mínimo
necessário.
Assuma que as políticas não se aplicam aos executivos. Se houver exceções, elas devem constar na
norma, e não podem comprometer sua eficácia. Pouco adianta todo o restante do esforço se um
gerente puder trazer um pen drive de casa para instalar um programa ou compartilhar um
arquivo em uma máquina da rede local. Uma variante do mesmo erro: “Assuma que as
políticas não se aplicam ao pessoal de TI”.
Esconda-se dos auditores. Se a prioridade é a segurança, não apenas você deve dar as boas
vindas a eles, como ainda se esforçar para oferecer a eles uma visão ampla, geral e irrestrita.
Mas se a prioridade for apenas obter uma certificação ou atender a uma determinação da
matriz, você nem precisaria estar lendo este material.

Ferramentas de segurança

Ative uma ferramenta de segurança como veio na caixa, sem configurá-la.


Configure o IDS (sistema de detecção de intrusão) para ser sensível demais, ou de menos. Se ele
gerar muitos falsos-positivos, você vai acabar ignorando os verdadeiros. Se ele for muito
permissivo, pode deixar de detectar alguma intrusão real.
Compre ferramentas de segurança sem considerar os custos de ativação e manutenção. Mesmo
quando o contrato inclui a implantação e manutenção, há outros custos associados que
precisam ser considerados.
Dependa de anti-vírus e firewalls, sem controles adicionais.

efetividade.net/…/politica-de-seguran… 5/7
23/3/2011 Política de Segurança de Informação: …

Adote verificações regulares de vulnerabilidades, mas não acompanhe com atenção os resultados.
Deixe seu anti-vírus, IDS e outras ferramentas rodando no piloto automático. O custo orçado destas
ferramentas deve incluir o valor dos profissionais que precisarão acompanhá-las, gerenciá-las e
resolver as situações que elas apontarem, se possível antes que se tornem em
comprometimentos.
Empregue múltiplas tecnologias de segurança sem entender quanto cada uma delas contribui.
Se apresse para comprar produtos caros quando uma correção simples e barata corrigiria sozinha
80% do problema. Corrigir só 80% do problema não é suficiente, mas se é simples e rápido fazê-
lo, o ideal é verificar se é possível colocar em prática e depois reavaliar a situação, para ver se
a ferramenta cara é necessária para resolver os 20% restantes, ou se outros caminhos surgem.

Gestão de risco

Tente aplicar o mesmo rigor a todos os ativos de informação, independente do seu perfil de risco.
Fica bem mais caro do que deveria, atrapalha processos sem necessidade, e prejudica bastante
a adoção e internalização pelas pessoas envolvidas.
Dê a alguém o título de Gestor dos Riscos, mas não lhe dê o poder de tomada de decisões
correspondente. Ele terá que optar entre se omitir, ou ser o chato que fica apontando riscos nas
atividades alheias podendo ser ignorado, ou ainda saber que está lá só para levar a culpa.
Ignore o quadro geral, e se concentre nas análises quantitativas. É mentalmente desafiante e muito
interessante aplicar os modelos matemáticos de quantificação de riscos, mas eles não podem
substituir a visão do todo, e sim complementá-la.
Assuma que você não precisa se preocupar com segurança, porque sua organização é muito pequena
ou insignificante.
Assuma que você está seguro porque não se tem notícia de que foi invadido recentemente. Será que
você foi invadido e nem sabe? É mais comum do que muitos imaginam.
Seja paranóico sem considerar o valor do recurso ou o seu fator de exposição. Admitindo que o
comportamento paranóico tem seu lugar, mesmo assim é necessário empregá-lo com critério.
Classifique todos os seus dados como “top secret”. Nivelar por cima, nesse caso, tem
praticamente o mesmo efeito que nivelar por baixo.

Leia também:

efetividade.net/…/politica-de-seguran… 6/7
23/3/2011 Política de Segurança de Informação: …
How to Suck at Information Security, o artigo original de Lenny Zeltser.
a discussão no Slashdot.

Leia também:

Entrevista de emprego: perguntas selecionadas

efetividade.net/…/politica-de-seguran… 7/7

You might also like