Este documento discute a importância da segurança da informação e fornece diretrizes para o desenvolvimento de uma política de segurança da informação. Ele explica que a segurança da informação envolve a proteção de ativos de informação contra ameaças por meio de controles como políticas, processos e hardware/software. Também fornece exemplos de itens que devem ser abordados em uma política de segurança, como uso da rede, senhas, e-mail e controle de acesso físico.
Política de Segurança da Informação – Introdução ao Desenvolvimento
1. Política de Segurança da Informação – Introdução ao Desenvolvimento
A informação é um ativo muito importante, essencial ao funcionamento das organizações e
consequentemente necessita ser adequadamente protegida. Ela pode ser apresentada em
diversas formas: impressa ou escrita em papel, falada em conversas, armazenada
eletronicamente em arquivos de som, imagem, vídeo, texto, entre outros. Independente de
forma ou meio, a informação é compartilhada ou armazenada.
De acordo com a norma ISO/IEC 27002, segurança da informação é a proteção da
informação contra vários tipos de ameaças, com o intuito de garantir a continuidade do
serviço, minimizar os riscos, maximizar o retorno sobre os investimentos e as
oportunidades. São exemplos de ameaças: espionagem (invasores de redes e sistemas),
sabotagem, vandalismo, vulnerabilidades a incêndios, inundação, códigos maliciosos,
entre outros.
A segurança da informação é obtida a partir da implementação de um conjunto de
controles adequados, incluindo políticas, processos, procedimentos, estruturas
organizacionais e funções de software e hardware. Esses controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados de
acordo com as necessidades em questão, a fim de garantir a segurança da
informação. A gestão da segurança da informação requer a participação de todos os
funcionários e a criação de uma política – que deve ser documentada.
Um dos primeiros passos para a gestão da segurança da informação é a elaboração e
aprovação de uma política de segurança da informação.
O que é uma política de segurança?
Uma política de segurança é a expressão formal das regras pelas quais é fornecido o
acesso aos recursos tecnológicos da organização. Uma política de segurança não é um
documento definitivo, inalterável ou inquestionável, pelo contrário, requer constante
atualização e participação de gerentes, usuários e equipe de TI.
Objetivo da política: proteção do conhecimento e da infraestrutura, a fim de atender os
requisitos legais, viabilizar os serviços prestados e evitar ou reduzir os riscos e ameaças.
Orientação e o estabelecimento de diretrizes para a proteção dos ativos de informação,
prevenção de ameaças e a conscientização da responsabilidade dos funcionários. É
conveniente que a gestão da segurança da informação esteja alinhada e em conjunto
com os outros processos de gestão.
Princípios: integridade, confidencialidade e disponibilidade da informação.
Propósitos: informar aos usuários suas responsabilidades com relação à proteção da
tecnologia e ao acesso à informação e oferecer um ponto de referência a partir do qual se
possa adquirir, configurar e auditar sistemas computacionais e de redes.
A norma ISO/IEC 27002 descreve as três fontes principais de requisitos de segurançada
informação:
2. 1. Análise dos princípios, objetivos e requisitos dos serviços prestados.
2. Legislação vigente, estatutos e regulamentos.
3. Análise de riscos, ameaças e vulnerabilidades.
Além da análise de requisitos, é recomendável também que gerentes/supervisores de
cada área estabeleçam critérios relativos ao nível de confidencialidade da informação
(relatórios e/ou mídias) gerada por sua área, classificando as informações de acordo
com a lista abaixo:
1. pública;
2. interna;
3. confidencial e
4. restrita.
A elaboração da política de segurança de cada empresa possui suas particularidades de
acordo com os requisitos de segurança analisados e alinhados a gestão de processos.
Abaixo são sugeridos itens a serem estudados para a criação de regras:
utilização da rede;
administração de contas;
política de senhas;
utilização de correio eletrônico;
acesso à Internet;
uso das estações de trabalho;
uso dispositivos de mídias removíveis;
uso de impressoras;
uso de equipamentos particulares;
controle de acesso físico (controle de entrada e saída de pessoas);
termo de compromisso (documento onde usuário se compromete a respeitar a
política de segurança);
verificação da utilização da política (supervisão realizada por gestores e equipe de
TI) e
Violação da política (definição de ações tomadas nos casos de desrespeito a
política de segurança).
Fonte:http://www.profissionaisti.com.br - Diana Paula