KingHost
Canais iMasters

Segurança + Gerência de TI

Benefícios alcançados com a política de segurança

, por Álvaro Gulliver

Sabemos que o planejamento é fator crítico de sucesso e também responsável pela iniciativa de gerir a segurança da informação e a elaboração de um plano diretor de segurança. Mais do que um plano destinado a prover a organização de orçamento para investimentos tecnológicos, o planejamento tem de ser dinâmico e flexível para suportar as novas necessidades de segurança que surgem à medida que a organização cresce e se desenvolve.

Uma boa diretriz de segurança para um sistema refere-se a ameaças. A diretriz de segurança oferece uma estrutura para selecionar e implementar contramedidas contra as ameaças. Um dos benefícios mais imediatos é que a partir do momento em que uma diretriz é escrita, ela força todos a segui-la.

Política de segurança, de acordo com Beal (2005, p. 43), é o documento que registra os princípios e as diretrizes de segurança adotados pela organização, os quais devem ser observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação organizacionais.

Para Campos (2006, p. 100), o principal objetivo da política de segurança é estabelecer um padrão de comportamento que sirva como base para decisões da alta administração em assuntos relacionados à segurança. Ela é composta por um conjunto de regras e padrões que visam principalmente assegurar que as informações e serviços importantes para a empresa recebam proteção, de forma a garantir a confidencialidade, a integridade e a disponibilidade das informações.

A Política de Segurança define o conjunto de normas, de métodos e de procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação.

É importante ressaltar que as políticas, as normas e os procedimentos de segurança da informação devem ser:

  • simples;
  • compreensíveis (escritas de maneira clara e concisa);
  • homologadas e assinadas pela alta administração;
  • elaboradas de forma a permitir a sua implantação por fases;
  • alinhadas com as estratégias de negócio da empresa,
  • em consonância com os padrões e com os procedimentos já existentes;
  • flexíveis o bastante para acompanhar a constante evolução da tecnologia e dos negócios da empresa;
  • um instrumento de incentivo à ação de segurança, priorizando os ativos de maior valor e de maior importância;
  • positivas e não apenas concentradas em ações proibitivas ou punitivas.

Qual a abrangência da política de segurança?

Uma política de segurança deve alcançar vários setores da organização. Para entendermos alguns outros benefícios alcançados, podemos desmembrar a segurança em quatro grandes aspectos:

01. Segurança computacional

Conceitos e técnicas utilizados para proteger o ambiente informatizado contra eventos inesperados que possam causar qualquer prejuízo.

02. Segurança Lógica

Procedimentos e recursos para prevenir acesso não autorizado, dano e interferência nas informações e instalações físicas da organização.

03. Continuidade de negócios

Estrutura de procedimentos para reduzir, em um nível aceitável, o risco de interrupção ocasionada por desastres ou por falhas por meio da combinação de ações de prevenção e de recuperação.

04. Tempo

É importante observar que os valores agregados à organização com a implementação de política e seus benefícios precisam de um tempo para maturação, mas, como dito anteriormente, alguns já são atingidos assim que a política é colocada em prática, outros podem ser divididos conforme Ferreira e Araújo (2006) em:

Curto Prazo:

  •     Formalização e documentação dos procedimentos de segurança adotados pela empresa.
  •     Implementação de novos procedimentos e de controles.
  •     Prevenção de acessos não autorizados, danos ou interferência no andamento dos negócios, mesmo nos casos de falhas ou de desastres.
  •     Maior segurança nos processos do negócio.


Médio Prazo

  •     Padronização dos procedimentos de segurança incorporados na rotina da empresa.
  •     Adaptação segura de novos processos do negócio.
  •     Qualificação e quantificação dos sistemas de resposta a incidentes.
  •     Conformidade com os padrões de segurança, como a NBR ISO/IEC 17799.

Longo Prazo

  •     Retorno sobre o investimento realizado por meio da redução da incidência de problemas relacionados à segurança.
  •     Consolidação da imagem associada à Segurança da Informação.

Exemplos de Políticas de Segurança

  • A qualidade de nossos serviços é um bem de valor inestimável e de fundamental importância para nossa empresa. A continuidade de nossos negócios, operando com qualidade e competitividade depende da confidencialidade, da integridade e da disponibilidade de nossos ativos.
  • Os gestores de TI são responsáveis pela proteção dos ativos de TI, bem como pela autorização de seu uso, recebimento, processamento, armazenamento e transmissão das informações derivadas desses ativos.
  • Todos os colaboradores, bem como todos os prestadores de serviço e consultores, devem entender suas obrigações e principalmente implementar procedimentos de segurança da informação.
  • A área de segurança deve ser imediatamente comunicada sobre qualquer incidente de segurança, a fim de que possa tomar as devidas providências.
  •   Essa política é valida a partir de 09/09/1999.

Independentemente do tamanho da organização, e como forma de contribuir com esse planejamento, a NBR/ISO 17799 relaciona como principais fontes para a identificação dos requisitos de segurança os seguintes tópicos:

  • Avaliação de risco dos ativos da organização - para identificação das ameaças, probabilidade de ocorrência e vulnerabilidades e estimativa do impacto potencial associado.
  • Legislação vigente - estatutos e cláusulas contratuais a que a organização tem de atender.
  • Conjunto de princípios - visão, missão, objetivos e requisitos de processamento da informação organizacional

Conclusão

É importante salientar que para a organização obter sucesso na construção de normas e diretrizes, tem-se de levar em consideração que, após sua implementação, deverão ficar evidenciados os seguintes aspectos:

  • O envolvimento e o comprometimento da alta administração com relação à segurança da informação.
  • O entendimento de todos os colaboradores de que a informação é um dos ativos mais importantes da organização.
  • A formalização da responsabilidade de todos os colaboradores da empresa sobre a salvaguarda dos recursos da informação.
  • O estabelecimento de padrões para a manutenção da segurança da informação, visando tornar fácil sua revisão e adequação sempre que necessário.

Convencer a alta administração de que a política de segurança, sendo ela dispendiosa ou não, é importante na identificação das vulnerabilidades e na prevenção de danos à organização é uma variável que não pode ser desprezada por parte dos profissionais de segurança. E a Política da Segurança, por mais eficiente e eficaz que pareça, sempre deixará um risco residual.

Comente também

1 Comentário

André Gomes de Lira Muniz
André Gomes de Lira Muniz

Lento atentamente observa-se raízes da ISO 27002.

Há 1 ano Responder

Qual a sua opinião?

Comentários considerados ofensivos serão moderados.

Últimas notícias

21/05 às 15h40 Pesquisa da F-Secure aponta que malwares para Android cresceram 270% apenas em 2012
21/05 às 9h20 Worm disfarçado de imagem .JPG ataca usuários do Facebook
17/05 às 13h20 Pesquisadores descobrem trojan bancário disfarçado de instalador do Chrome
15/05 às 15h40 Estudo revela que um ciberataque pode custar às empresas até US$ 100 mil por hora
14/05 às 14h30 Falha no Kickstarter revela 70 mil projetos ainda não lançados
Ver mais notícias

Cursos Online

Descobrindo o Python 3

Com o curso em vídeo aulas, você irá entender os conceitos básicos da linguagem Python, atualmente considerada mais popular do que o PHP.

PHP Orientado a Objetos

O curso de PHP Orientado a Objetos tem como objetivo trazer compreensão sobre o que são objetos e como utilizá-los para o desenvolvimento de aplicações. Além de como trabalhar como abstração para se alcançar a reutilização de código.

Introdução ao desenvolvimento para iOS

Apresentação das ferramentas de desenvolvimento para aplicativos para iOS (Xcode, Interface Builder, iOS Simulator), como conseguí-las e como usá-las.


IBM Data Studio


Fornece aos desenvolvedores de bancos de dados e DBAs um ambiente integrado e modular para a administração produtiva de DB2 para Linux, UNIX e Windows.


Parceiros

IBM
PagSeguro
Internet Innovation
Dialhost
HostNet
Tecla
KingHost
DotStore
Dinamize