POLITICA DE SEGUNRANÇA DA INFORMAÇÃO

Normas

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Politi ca de segu ranca

Política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação. Sem regras pré-estabelecidas, decisões tornam-se inconsistentes e vulnerabilidades surgem.

Ainda hoje, grande parte dos gerentes e diretores de TI ainda acredita que o problema da segurança se resume a equipamentos. Hoje a última tendência nessa área é adquirir um IDS (Intrusion Detection System), assim como no passado foram os firewalls. Essas tecnologias são muito boas e necessárias, mas antes faz-se necessário saber onde esta tecnologia será implementada, além da configuração ideal para as necessidades do negócio (é preferível não ter um firewall a mantê-lo desatualizado ou mal configurado). Além do aspecto puramente técnico, é importante ressaltar que praticar algo com o mínimo de segurança envolve, sobretudo, adotar mudanças comportamentais, pois sem dúvida alguma o ser humano é o elo mais fraco dessa corrente. Há muito tempo que a preocupação com a segurança da informação deixou de se restringir apenas à sala dos servidores para se estender até onde os usuários e clientes estão. O nascimento de uma "cultura de segurança da informação", baseada em educação e treinamentos afins, é presenciada em todas as empresas que conseguiram adaptar seus processos de trabalho às exigências requeridas pelas normas de segurança sugeridas. De acordo com as últimas pesquisas realizadas pelo CSI (Computer Security Institute), 71% dos incidentes de segurança são causados por pessoal interno. Nessa estatística devemos considerar que além dos tão temidos funcionários insatisfeitos, muitos dos incidentes são ocasionados por erros. Logo, educação e capacitação é fundamental para evitar erros e acidentes e, também, conscientizar parceiros, funcionários e terceiros.

A maioria dos incidentes de segurança é

causada por falhas humanas e técnicas que poderiam

facilmente ser evitadas caso uma política de

segurança da informação fosse adotada e seguida

Mas onde a chamada "política de segurança da informação" entra nessa história? Bem, como a manutenção da segurança de dados e informações de qualquer empresa é responsabilidade direta de todos aqueles que trabalham nela, com ela ou para ela (desde o presidente ao office-boy, passando por prestadores de serviço e fornecedores), é preciso que um conjunto mínimo de regras formais sejam seguidas por todos, de forma que as diretrizes que norteiam a segurança da informação na organização não sejam estabelecidas a partir do bom senso individual de cada um (pois o conceito do que é ou não de "bom senso" varia de pessoa para pessoa...). E é exatamente aí que entra em cena a necessidade de se adotar uma política de segurança, pois ela ajuda estabelecer padrões para a utilização dos recursos de TI através da atribuição de responsabilidades e fornecendo regras básicas, guias e definições para todos na empresa. Seu principal propósito é informar aos usuários suas principais obrigações para a proteção da tecnologia e do acesso à informação, já que ajudam a prevenir inconsistências que poderiam introduzir riscos às informações corporativas e servem como base para a imposição de regras e processos mais detalhados.

A política de segurança estabelece regras e

normas de conduta que diminuirão a probabilidade da

ocorrência de incidentes que provoquem, por exemplo,

a indisponibilidade, furto ou perda de informações

Idealmente, a política de segurança deve ser suficientemente clara e compreensiva, de forma que possa ser aceita e seguida através da organização, enquanto flexível o suficiente para abordar uma vasta gama de dados, atividades e recursos. Ela

...