Política de Segurança da Informação – Introdução ao Desenvolvimento

Observação: este foi o tema do meu trabalho de conclusão da pós. A partir do trabalho criei este artigo resumindo os principais assuntos. 

politica-seguranca-informacao-como-criar

A informação é um ativo muito importante, essencial ao funcionamento das organizações e consequentemente necessita ser adequadamente protegida. Ela pode ser apresentada em diversas formas: impressa ou escrita em papel, falada em conversas, armazenada eletronicamente em arquivos de som, imagem, vídeo, texto, entre outros. Independente de forma ou meio, a informação é compartilhada ou armazenada.

De acordo com a norma ISO/IEC 27002, segurança da informação é a proteção da informação contra vários tipos de ameaças, com o intuito de garantir a continuidade do serviço, minimizar os riscos, maximizar o retorno sobre os investimentos e as oportunidades. São exemplos de ameaças: espionagem (invasores de redes e sistemas), sabotagem, vandalismo, vulnerabilidades a incêndios, inundação, códigos maliciosos, entre outros.

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Esses controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados de acordo com as necessidades em questão, a fim de garantir a segurança da informação. A gestão da segurança da informação requer a participação de todos os funcionários e a criação de uma política – que deve ser documentada.

Um dos primeiros passos para a gestão da segurança da informação é a elaboração e aprovação de uma política de segurança da informação.

O que é uma política de segurança?

Uma política de segurança é a expressão formal das regras pelas quais é fornecido o acesso aos recursos tecnológicos da organização. Uma política de segurança não é um documento definitivo, inalterável ou inquestionável, pelo contrário, requer constante atualização e participação de gerentes, usuários e equipe de TI.

Objetivo da política: proteção do conhecimento e da infraestrutura, a fim de atender os requisitos legais, viabilizar os serviços prestados e evitar ou reduzir os riscos e ameaças. Orientação e o estabelecimento de diretrizes para a proteção dos ativos de informação, prevenção de ameaças e a conscientização da responsabilidade dos funcionários. É conveniente que a gestão da segurança da informação esteja alinhada e em conjunto com os outros processos de gestão.

Princípios: integridade, confidencialidade e disponibilidade da informação.

Propósitos: informar aos usuários suas responsabilidades com relação à proteção da tecnologia e ao acesso à informação e oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e de redes.

 A norma ISO/IEC 27002 descreve as três fontes principais de requisitos de segurança da informação:

  1. Análise dos princípios, objetivos e requisitos dos serviços prestados.
  2. Legislação vigente, estatutos e regulamentos.
  3. Análise de riscos, ameaças e vulnerabilidades.

Além da análise de requisitos, é recomendável também que gerentes/supervisores de cada área estabeleçam critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área, classificando as informações de acordo com a lista abaixo:

  1. pública;
  2. interna;
  3. confidencial e
  4. restrita.

A elaboração da política de segurança de cada empresa possui suas particularidades de acordo com os requisitos de segurança analisados e alinhados a gestão de processos. Abaixo são sugeridos itens a serem estudados para a criação de regras:

  • utilização da rede;
  • administração de contas;
  • política de senhas;
  • utilização de correio eletrônico;
  • acesso à Internet;
  • uso das estações de trabalho;
  • uso dispositivos de mídias removíveis;
  • uso de impressoras;
  • uso de equipamentos particulares;
  • controle de acesso físico (controle de entrada e saída de pessoas);
  • termo de compromisso (documento onde usuário se compromete a respeitar a política de segurança);
  • verificação da utilização da política (supervisão realizada por gestores e equipe de TI) e
  • Violação da política (definição de ações tomadas nos casos de desrespeito a política de segurança).

Diana Paula

Mais artigos deste autor »

Analista de Sistemas desde 2007 (Setor público), antes professora e design gráfico.
Formação: Bacharelado em Ciência da Computação (UBC), Licenciatura em Matemática (UBC) e Pós Graduação em Governança de TI (Senac).
TGI Graduação (Processamento de Imagens): Utilização da técnica de subtração radiográfica.
TCC Pós-graduação: Proposta de Política de Segurança para a Estrutura de Tecnologia da informação de uma Secretaria de Saúde Municipal.

6 Comentários

Lorival
2

Boa noite, gostei muito de seu artigo.
Estou iniciando meu trabalho de conclusão de curso e o tema que escolhi foi Segurança da Informação, você teria alguma recomendação para deixar meu trabalho mais completo.
Sem mais, obrigado e parabéns pelo artigo.

Diana Paula
3

Obrigada pelos comentários.
Em meu trabalho sobre Segurança iniciei com uma base teoria semelhante ao artigo, porém mais extensa, incluindo também a legislação referente, depois desenvolvi uma política na prática com regras e recomendações que poderiam ser aplicadas em uma empresa.

Andre
6

Ótimo artigo, parabéns! Esse tipo de informação sempre contribui para o nosso crescimento profissional!
Obrigado por compartilhar esse conhecimento!

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!


sete × = 42

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>