Introdução
Sabemos que o planejamento é fator crítico de sucesso e também responsável pela iniciativa de gerir a segurança da informação e a elaboração de um plano diretor de segurança. Mais do que um plano destinado a prover a organização de orçamento para investimentos tecnológicos, o planejamento tem de ser dinâmico e flexível para suportar as novas necessidades de segurança que surgem à medida que a organização cresce e se desenvolve.
Uma boa diretriz de segurança para um sistema refere-se a ameaças. A diretriz de segurança oferece uma estrutura para selecionar e implementar contramedidas contra as ameaças. Um dos benefícios mais imediatos é que a partir do momento que uma diretriz é escrita ela força cada um a segui-la.
Política de segurança, de acordo com Beal (2005, p. 43), é o documento que registra os princípios e as diretrizes de segurança adotados pela organização, os quais devem ser observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação organizacionais.
Para Campos (2006, p. 100), o principal objetivo da política de segurança é estabelecer um padrão de comportamento que sirva como base para decisões da alta administração em assuntos relacionados à segurança. Ela é composta por um conjunto de regras e padrões que visam principalmente assegurar que as informações e serviços importantes para a empresa recebam proteção, de forma a garantir a confidencialidade, integridade e disponibilidade das informações. A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação.
É importante ressaltar que as políticas, normas e procedimentos de segurança da informação devem ser:
• simples;
• compreensíveis (escritas de maneira clara e concisa);
• homologadas e assinadas pela alta administração;
• elaboradas de forma a permitir a sua implantação por fases;
• alinhadas com as estratégias de negócio da empresa,
• em consonância com os padrões e procedimentos já existentes;
• flexíveis o bastante para acompanhar a constante evolução da tecnologia e dos negócios da empresa;
• um instrumento de incentivo à ação de segurança, priorizando os ativos de maior valor e de maior importância;
• positivas e não apenas concentradas em ações proibitivas ou punitivas.
Onde a política abrange?
Vários setores da organização, para entendermos alguns outros benefícios alcançados, podemos desmembrar a segurança em quatro grandes aspectos:
• Segurança computacional – Conceitos e técnicas utilizados para proteger o ambiente informatizado contra eventos inesperados que possam causar qualquer prejuízo.
• Segurança Lógica – Procedimentos e recursos para prevenir acesso não autorizado, dano e interferência nas informações e instalações físicas da organização.
• Continuidade de negócios – Estrutura de procedimentos para reduzir, em um nível aceitável, o risco de interrupção ocasionada por desastres ou falhas por meio da combinação de ações de prevenção e recuperação.
• Tempo – É importante observar que os valores agregados à organização com a implementação de política e seus benefícios precisam de um tempo para maturação, mas, como dito anteriormente, alguns já são atingidos assim que a política é colocada em prática, outros podem ser divididos conforme Ferreira e Araújo (2006) em:
Curto Prazo:
Formalização e documentação dos procedimentos de segurança adotados pela empresa.
Implementação de novos procedimentos e controles.
Prevenção de acessos não autorizados, danos ou interferência no andamento dos negócios, mesmo nos asos de falhas ou desastres.
Maior segurança nos processos do negócio.
Médio Prazo
Padronização dos procedimentos de segurança incorporados na rotina da empresa.
Adaptação segura de novos processos do negócio.
Qualificação e quantificação dos sistemas de resposta a incidentes.
Conformidade com os padrões de segurança, como a NBR ISO/IEC 17799.
Longo Prazo
Retorno sobre o investimento realizado por meio da redução da incidência de problemas relacionados à segurança.
Consolidação da imagem associada à Segurança da Informação.
Exemplos de Política:
• A qualidade de nossos serviços é um bem de valor inestimável e de fundamental importância para nossa empresa. A continuidade de nossos negócios, operando com qualidade e competitividade depende da confidencialidade, integridade e disponibilidade de nossos ativos.
• Os gestores de TI são responsáveis pela proteção dos ativos de TI, bem como pela autorização de seu uso, recebimento, processamento, armazenamento e transmissão das informações derivadas desses ativos.
• Todos os colaboradores, bem como todos os prestadores de serviço e consultores, devem entender suas obrigações e principalmente implementar procedimentos de segurança da informação.
• A área de segurança deve ser imediatamente comunicada sobre qualquer incidente de segurança, a fim de que possa tomar as devidas providências.
• Esta política é valida a partir de 09/09/1999.
Independentemente do tamanho da organização e como forma de contribuir com este planejamento, a NBR/ISO 17799 relaciona como principais fontes para a identificação dos requisitos de segurança os seguintes tópicos:
• Avaliação de risco dos ativos da organização – para identificação das ameaças, probabilidade de ocorrência e vulnerabilidades e estimativa do impacto potencial associado.
• Legislação vigente – estatutos e cláusulas contratuais a que a organização tem de atender.
• Conjunto de princípios – visão, missão, objetivos e requisitos de processamento da informação organizacional
Conclusão
É importante salientar que para a organização obter sucesso na construção de normas e diretrizes, tem-se de levar em consideração que, após sua implementação, deverá ficar evidenciado os seguintes aspectos:
• O envolvimento e o comprometimento da alta administração com relação à segurança da informação.
• O entendimento de todos os colaboradores de que a informação é um dos ativos mais importantes da organização.
• A formalização da responsabilidade de todos os colaboradores da empresa sobre a salvaguarda dos recursos da informação.
• O estabelecimento de padrões para a manutenção da segurança da informação, visando tornar fácil sua revisão e adequação sempre que necessário.
Convencer a alta administração de que a política de segurança, sendo ela dispendiosa ou não, é importante na identificação das vulnerabilidades e na prevenção de danos à organização é uma variável que não pode ser desprezada por parte dos profissionais de segurança e a Política da Segurança por mais eficiente e eficaz que pareça, sempre deixará um risco residual.
Nenhum comentário:
Postar um comentário