Política de segurança, de acordo com Beal (2005, p. 43), é o documento que registra os princípios e as diretrizes de segurança adotados pela organização, os quais devem ser observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação organizacionais.
Uma política de segurança deve alcançar vários setores da organização. Para entendermos alguns outros benefícios alcançados, podemos desmembrar a segurança em quatro grandes aspectos:
01. Segurança computacional
Conceitos e técnicas utilizados para proteger o ambiente informatizado contra eventos inesperados que possam causar qualquer prejuízo.
02. Segurança Lógica
Procedimentos e recursos para prevenir acesso não autorizado, dano e interferência nas informações e instalações físicas da organização.
03. Continuidade de negócios
Estrutura de procedimentos para reduzir, em um nível aceitável, o risco de interrupção ocasionada por desastres ou por falhas por meio da combinação de ações de prevenção e de recuperação.
04. Tempo
É importante observar que os valores agregados à organização com a implementação de política e seus benefícios precisam de um tempo para maturação, mas, como dito anteriormente, alguns já são atingidos assim que a política é colocada em prática, outros podem ser divididos conforme Ferreira e Araújo (2006) em:
Curto Prazo:
· Formalização e documentação dos procedimentos de segurança adotados pela empresa.
· Implementação de novos procedimentos e de controles.
· Prevenção de acessos não autorizados, danos ou interferência no andamento dos negócios, mesmo nos casos de falhas ou de desastres.
· Maior segurança nos processos do negócio.
Médio Prazo
· Padronização dos procedimentos de segurança incorporados na rotina da empresa.
· Adaptação segura de novos processos do negócio.
· Qualificação e quantificação dos sistemas de resposta a incidentes.
· Conformidade com os padrões de segurança, como a NBR ISO/IEC 17799.
Longo Prazo
· Retorno sobre o investimento realizado por meio da redução da incidência de problemas relacionados à segurança.
· Consolidação da imagem associada à Segurança da Informação.
Exemplos de Políticas de Segurança
· A qualidade de nossos serviços é um bem de valor inestimável e de fundamental importância para nossa empresa. A continuidade de nossos negócios, operando com qualidade e competitividade depende da confidencialidade, da integridade e da disponibilidade de nossos ativos.
· Os gestores de TI são responsáveis pela proteção dos ativos de TI, bem como pela autorização de seu uso, recebimento, processamento, armazenamento e transmissão das informações derivadas desses ativos.
· Todos os colaboradores, bem como todos os prestadores de serviço e consultores, devem entender suas obrigações e principalmente implementar procedimentos de segurança da informação.
· A área de segurança deve ser imediatamente comunicada sobre qualquer incidente de segurança, a fim de que possa tomar as devidas providências.
· Essa política é valida a partir de 09/09/1999.
Independentemente do tamanho da organização, e como forma de contribuir com esse planejamento, a NBR/ISO 17799 relaciona como principais fontes para a identificação dos requisitos de segurança os seguintes tópicos:
· Avaliação de risco dos ativos da organização - para identificação das ameaças, probabilidade de ocorrência e vulnerabilidades e estimativa do impacto potencial associado.
· Legislação vigente - estatutos e cláusulas contratuais a que a organização tem de atender.
· Conjunto de princípios - visão, missão, objetivos e requisitos de processamento da informação organizacional.
Nenhum comentário:
Postar um comentário