O que é uma Política de Segurança da Informação?

Organizações de qualquer área de atuação possuem informações sigilosas armazenadas em Sistemas de Informação que deverão receber tratamento especial quanto à confidencialidade, integridade e disponibilidade. Para que essas três premissas sejam aplicadas de maneira eficaz necessita-se de uma análise minuciosa para que sejam atendidas de maneira minimamente satisfatória.

A política de segurança deve fixar medidas e procedimentos de segurança operacionais a que devem ser submetidos os sistemas de informações da organização. A complexidade da política de segurança da informação será proporcional ao tamanho da organização e ao papel que a TI representa para o negócio, quando bem feita fornece direção e apoio gerencial para a Segurança das Informações.

A gerência deve estabelecer uma direção política clara e demonstrar suporte a, e comprometimento com, a segurança das informações através da emissão e manutenção de uma política de segurança de informações para toda a organização. (ISO 17799)

A gerência administrativa deve concordar com o que está disposto no documento oficial da política de segurança e fazer com que todos os colaboradores tenham conhecimento dos termos descritos, podendo assim responsabilizá-los por infrações cometidas.

Nesse documento deve constar um mínimo de orientações que são:

  • Conceitos de segurança da informação, demonstrando o motivo da sua importância e por que deve ser respeitada;
  • Detalhar por que essa política é integra e a gerência administrativa está de acordo com isso;
  • Uma breve explicação sobre os tópicos abrangentes da política;
  • Explicar que as exigências ali expostas são de suma importância e que devem se obedecidas por todos independentemente do cargo;
  • Definir por que é importante haver obediência as exigências impostas, o treinamento para a segurança, prevenção e detecção de vírus, gerenciamento da continuidade do negócio, conseqüência por violações da política de segurança;
  • Relatar incidentes de segurança;
  • Referenciar materiais de apoio a política de segurança para que o usuário veja por outro ponto de vista a importância de determinada precaução.

Este deve ser repassado a todos os colaboradores da organização, assim eles entenderão as normas da organização e estarão dispostos a contribuir pela segurança e integridade dos dados.

Como qualquer documentação gerada pela organização, a política de segurança também deve ter uma equipe responsável por sua manutenção e revisão. Tendo em vista que alguns fatores estão em constante atualização e variam muito em um curto prazo de tempo, deve ser mantida uma manutenção para atualização de alguns requisitos tais como:

  • Eficácia da política, relatando o impacto dela com relação aos números de incidentes desde sua última atualização;
  • Análise do impacto no custo e controle da eficiência do negócio;
  • Os efeitos das mudanças na tecnologia.

FONTE:

MANDARINI, Marcos. Segurança Corporativa Estratégica. Ed. Manole, 2006.

ABREU, V. F. IMPLANTANDO A GOVERNANÇA DE TI: DA ESTRATEGIA A GESTAO DE PROCESSOS E SERVIÇOS. 2ª Ed. Editora Brasport. 2008.

Deixe um comentário

O seu endereço de e-mail não será publicado.