Objetivando dividir o problema para resolvê-lo por etapas, estratégia básica da nossa abordagem, buscamos encontrar partes ou conjuntos de regras, procedimentos, que pudessem ser desenvolvidas separadamente e que, juntas, convergissem para a Política de Segurança da Informação da organização.
Em nossa investigação observamos características apresentadas nos conteúdos dos documentos pesquisados para as rotinas e procedimentos de segurança dentro dos processos organizacionais, as quais se apresentam com perfil de abrangência que nos permitiram associá- las em três fluxos (Figura 16), a saber:
• FLUXO DA MACRO-POLÍTICA – Possui um perfil de abrangência genérica, definindo as regras fundamentais da organização. Trata do contexto organizacional. A participação efetiva da alta direção em sua formulação é essencial. Esta política contém premissas e questões que, inexoravelmente devem estar contempladas nas outras políticas. Seu conteúdo inclui definições gerais dos fundamentos da segurança da informação, responsabilidades gerais e o compromisso da alta direção da organização [ISO, 2000]. Este grupo possui apenas uma política de segurança denominada : Macro-política de Segurança da Informação.
• FLUXO DAS META-POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO - Conjunto de definições, regras, procedimentos e determinações que, não restritas, permeiam todas as outras políticas de segurança existentes na organização. Reúnem conjuntos de meta-regras [SCHREINER , 2001] as quais só se modificam se houver alteração nos fundamentos do negócio da organização ou no contexto em que ela está inserida. Estas políticas caracterizam-se por conter regras inalteráveis, auto-suportadas e axiomáticas, que servem de referência para criação de todas as outras políticas. Fazem parte desse grupo a Meta- política de Treinamento e Sensibilização, a Meta-política de Classificação da Informação, a Meta-política de Gerência de Risco e a Meta-política de Tratamento de Incidentes.
• FLUXO DAS MICRO-POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO –
Conjuntos de definições, regras, procedimentos e determinações que modelam as interações dos agentes de informações em determinada área ou aspecto de uma organização. As políticas particulares abrangerão, setorialmente, questões para manutenção dos requisitos de confidencialidade, integridade e disponibilidade dos ativos de informação, os quais foram devidamente classificados em conformidade com o definido na
Meta-política de Classificação da Informação. Veja na Figura 17 algumas políticas [FRASER, 1997] integrantes de grupo.
Macro
Macro--política de política de
Segurança da Informação
Segurança da Informação
Meta
Meta--políticaspolíticasde de Segurança da Informação
Segurança da Informação
Micro
Micro--políticas de políticas de
Segurança da Informação
Segurança da Informação
Figura 16 – Hierarquia das Políticas de Segurança da Informação
Macro
Macro--política de Segurança política de Segurança da Informação da Informação Meta
Meta--política de política de Treinamento e Treinamento e Sensibilização Sensibilização
Meta Meta--política política Tratamento de Tratamento de
Incidente Incidente
Meta Meta--política política Classificação da Classificação da
Informação Informação Micro
Micro--política de política de Criptografia Criptografia
Micro
Micro--política de política de Interconexão de redes Interconexão de redes
Micro
Micro--política de política de Controle de Acesso Controle de Acesso
Micro Micro--política política
de Senhas de Senhas Micro
Micro--política de Controle de política de Controle de Computadores Computadores Micro Micro-- política de política de PABX PABX Micro Micro--política política de
de WiressWiressLANLAN
Micro Micro--política política
de de ManMan. de . de Computadores Computadores
Micro
Micro--política de política de Segurança Segurança Patrimonial Patrimonial Outras Micro Outras Micro-- políticas de S.I. políticas de S.I. Meta
Meta--política política Gerência de Gerência de
Risco Risco
Figura 17 - Estrutura da Política de Segurança da Informação
Na elaboração das políticas de segurança da informação faz-se necessário ordenar suas formulações de modo a não contrapor definições ou regras, criando uma relação de precedência e dependência entre atividades executadas nas políticas geradas (Figura 18). O processo define também uma proposta de seqüência para o início da elaboração das políticas, oferecendo assim uma organização temporal à estrutura proposta.
O Processo Unificado para Políticas de Segurança da Informação propõe que seja inicialmente elaborada a Macro-política de Segurança e, na elaboração das Meta-políticas de Segurança obedeça-se a seqüência indicada na Figura 18. Inicialmente deve ser elaborada a Meta-política de T&S (Treinamento e Sensibilização) para que seja definido todo o processo e viabilizado a formação dos colaboradores em segurança da informação (em ordem de prioridade a ser estabelecida), incluindo a alta direção, possibilitando a capacitação para as atividades que serão desenvolvidas no restante do processo (PUPSI). Uma vez explicitados os critérios e passos, definidos na Meta-política de Classificação da Informação, e os colaboradores devidamente treinados, deve ser realizada a classificação dos ativos de informação da organização. A classificação dos ativos é executada numa parte do processo da Meta-política de Gerência de Riscos, próxima Meta-política a ser definida. Por fim, após a definição das metodologias para classificação dos ativos, identificação das ameaças e vulnerabilidades, deve-se elaborar os procedimentos para tratamento de incidentes de segurança, a ser definido na Meta-política de Tratamento de Incidentes. Em seguida, elabora- se as Micro-políticas conforme conveniência da organização, estabelecida em processo de Análise de Risco Preliminar (integrante da Política de Gerência de Risco).
Figura 18 –Seqüência de elaboração das políticas
Cabe ainda reforçar que as políticas (Macro-políticas, Meta-política e Micro-políticas) integrantes do PUPSI, são também, processos que, uma vez iniciados permanecem em contínua execução, contendo atividades que ocorrem paralelamente gerando muitas relações
de cliente-fornecedor entre os mesmos. Sendo assim, o estabelecimento da seqüência (Figura 18) de elaboração das políticas não define uma relação de dependência com o término do processo (política), mas uma relação de precedência entre algumas atividades existentes no início da elaboração das mesmas.
Na busca de uma melhor gerência sobre a elaboração da Macro-política, Meta-políticas e Micro-políticas de Segurança da Informação, o PUPSI está dividido em fases. Esta nova divisão do projeto oferece um nível de granularidade adequado para um bom trabalho de planejamento e acompanhamento. Cada fase estará concluída com a apresentação de pelo menos um marco por fase, caracterizando-se como um momento de avaliação, decisão e redirecionamento (se for o caso) do projeto. Mantendo a similaridade com a proposta para divisão do projeto em fases no RUP, temos as seguintes fases por projeto: Iniciação,
Elaboração, Construção e Transição.