Fase de definição

A fase de definição das necessidades em termos de segurança é a primeira etapa para a implementação de uma política de segurança.

O objectivo consiste em determinar as necessidades da organização, fazendo uma verdadeira análise do sistema de informação, seguidamente estudar os diferentes riscos e a ameaça que representam para aplicar uma política de segurança adaptada.

A fase de definição comporta assim três etapas :

• A identificação das necessidades
• A análise dos riscos
• A definição da política de segurança

Identificação das necessidades

A fase de identificação das necessidades consiste inicialmente em fazer o inventário do sistema de informação, nomeadamente para os elementos seguintes:

• Pessoas e funções;
• Materiais, servidores e os serviços que emitem;
• Cartografia da rede (plano de endereçamento, topologia física, topologia lógica, etc.);
• Lista dos nomes de domínio da empresa;
• Infra-estrutura de comunicação (routers, comutadores, etc.) 
• Dados sensíveis.

Análise dos riscos

A etapa de análise dos riscos consiste em posicionar os diferentes riscos, avaliar a sua probabilidade e, por último, estudar o seu impacto.

A melhor abordagem para analisar o impacto de uma ameaça consiste em considerar o custo dos prejuízos que causaria (por exemplo, ataque a um servidor ou deterioração de dados vitais para a empresa).

Nesta base, pode ser interessante elaborar um quadro dos riscos e a sua potencialidade, ou seja a sua probabilidade de ocorrerem, afectando-lhes níveis escalonados de acordo com uma tabela a definir, por exemplo :

• Sem objecto (ou improvável): a ameaça não tem razão de ser;
• Fraco: a ameaça tem pouca possibilidade de acontecer;
• Média: a ameaça é real;
• Elevado: a ameaça tem grandes possibilidades de ocorrer.

Definição da política de segurança

A política de segurança é o documento de referência que define os objectivos desejados em matéria de segurança e os meios aplicados para os garantir.

A política de segurança define diversas regras, de procedimentos e de boas práticas que permitem assegurar um nível de segurança conforme às necessidades da organização.

Tal documento deve necessariamente ser conduzido como um verdadeiro projecto que associa representantes dos utilizadores e leva ao mais elevado nível da hierarquia, para que seja aceite por todos. Quando a redacção da política de segurança for terminada, as cláusulas relativas ao pessoal devem ser-lhes comunicadas, a fim de dar à política de segurança o máximo de impacto.

Métodos

Existem numerosos métodos que permitem criar uma política de segurança. Eis uma lista não exaustiva dos principais métodos :

• MARION (Metodologia de Análise de Riscos Informáticos Orientada por Níveis), criado pelo CLUSIF ;
  • https://www.clusif.asso.fr/fr/production/mehari/
• MEHARI (Método Harmonizado de Análise de Riscos);
  • https://www.clusif.asso.fr/fr/production/mehari/
• EBIOS (Expressão das Necessidades e Identificação dos Objectivos de Segurança), criado pela DCSSI (Direcção Central da Segurança dos Sistemas de Informação);
  • http://www.ssi.gouv.fr/fr/confiance/ebios.html
• A norma ISO 17799.