Como elaborar uma política de segurança da informação (Parte I)

A elaboração de uma política de segurança da informação é uma tarefa complexa e trabalhosa. Devido a alguns fatores como, monitoramento contínuo, revisões e atualizações periódicas e seus benefícios, muitas das vezes os só serão notados a um médio ou longo prazo. Ela, que é inviável aos olhos de algumas pessoas. Mas com a situação atual do mundo dos negócios onde se tem o crescimento do uso de tecnologias, para diminuir custos e aumentar a produtividade, com sistemas cada vez mais interligados. Cria-se então a necessidade de tornar esta tecnologia segura e confiável.

O desenvolvimento e a implantação de uma política segurança da informação em uma empresa é uma importante ferramenta para combater ameaças aos ativos de uma empresa. Lembre-se eu disse combater (minimizar) as ameaças de uma empresa. Uma ilusão de muitos administradores de empresas é que a adoção de ferramentas como antivírus, firewall ou qualquer iniciativa com a finalidade de aumentar a segurança na empresa. Vai garantir a organização 100% de segurança, este é um erro clássico. Mas voltando a nosso tema inicial.

A política de segurança é um conjunto de diretrizes, normas e orientações de procedimentos que visam conscientizar e orientar os funcionários, clientes, parceiros, colaboradores e fornecedores para o uso seguro dos ativos da empresa. Existem muitos fatores que podem definir se uma política de segurança da informação vai ser um sucesso ou não.

A primeira coisa a ser feita é a criação de uma comissão composta por diversos profissionais de diferentes setores da empresa, quanto mais abrangente puder ser esta comissão maior será a divulgação das diretrizes de segurança na empresa. Outro beneficio de uma comissão abrangente, é que como existem profissionais de diversos setores da empresa, estas pessoas trazem consigo os requisitos de segurança dos locais em que eles trabalham.

Mas como definir o tamanho desta comissão? Para responder esta questão deveremos usar o bom senso e analisarmos alguns pontos:

  • Qual é o nível de abrangência eu quero/posso ter
  • O tamanho da comissão não vai atrapalhar a produtividade da comissão ou a empresa?
  • Quem serão as pessoas a serem convidadas a participarem
  • Quem são as pessoas chaves do processo de “produção” da empresa?

Depois da criação desta comissão é necessário definir quais os ativos da empresa deve ser protegido e principalmente, qual é o nível de segurança que cada ativo deve ter. Lembrando que ativo é tudo aquilo que tem algum valor para a empresa, como por exemplo, podemos citar as informações estratégicas, equipamentos e seus funcionários.

Esta analise dos riscos de cada ativo deve considerar o impacto no negócio causado por uma falha de segurança e a probabilidade de ocorrência desta falha. Outro fator que deve ser considerado é que esta analise deve ser refeita periodicamente de acordo com o ativo, para que se verifique como esta a situação do risco residual do ativo que pode ter aumento com o surgimento de um novo risco.

Através desta analise é possível definir quais os ativos precisam ser mais protegidos e consequentemente onde será empregado mais dinheiro, lembrando que o custo da proteção do ativo não deve ser maior que o valor financeiro do ativo ou o impacto causado por uma falha de segurança neste ativo.

Lucas L. Santana

Mais artigos deste autor »

Consultor de Segurança da Informação. Formada em 2008 em Sistemas de Informaçao e pós-graduado em Gestão de Segurança da Informação.


5 Comentários

Rodrigo Sita
1

Lucas, li hoje o seu artigo, muito bom o material… você já publicou a parte ll ?
Não consegui localizar…
Abs!
e parabens!

Jonatas G Lima
2

ola lucas
muito bom seu texto.
Sou pós-graduado em gestão de TI e até então nunca vi um esquema de elaboração de politica de segurança tão bem definida
abraço

Helder Barros
3

Lucas,
Li seu texto e gostei…
Sou especialista na área de T.I. e achei interessante a importância de divulgar a proteção para os ativos e informações, que realmente é primordial para qualquer empresa.
abraços e parabéns!
e até a próxima.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!