Em toda Política de Segurança faz-se necessário ter uma idéia clara daquilo que
se quer defender, contra quem queremos defender e quais os entraves que essa
política oferece para funcionamento normal do sistema. Uma Política de Segurança de
uma empresa define as normas e procedimentos que melhor atendam ao propósito da
mesma, minimizando os riscos com perdas e violações de qualquer um dos seus bens.
Podemos assumir que todos os dados referentes a uma empresa fazem parte do seu
patrimônio.
Uma das diretrizes citadas por CARUSO (1999) é a responsabilidade sobre os
ativos. Nessa etapa é determinado quem é responsável e qual o grau de
responsabilidade envolvido na política de segurança para cada uma das funções
tenham ativos a ser regulados no âmbito da política de segurança. Não se deve
confundir responsabilidade sobre ativos com responsabilização; este último conceito
envolve a identificação clara das pessoas que acessam ativos e o nível de acesso que
estão tendo sobre os mesmos. Não é preciso ser responsável por um ativo para se ter
o direito de acesso a ele.
A informação é um bem de valor intangível, e não basta apenas meios
tecnológicos e informatizados para protegê-la contra danos e ataques internos e
externos de sua rede, necessitando assim de uma política de segurança da informação
bem estruturada, deixando as informações íntegras e seguras.
Determinações dos processos a serem praticados e estabelecimentos dos resultados
esperados, uma vez estabelecidas/instaladas as condições de insegurança empresarial;
Montagem/criação de cenários futuros, de maior probabilidade de ocorrência, para
estudo de “causas” e de “conseqüências”, com a concomitante caracterização das
práticas e resultados prováveis, em termos de medidas de segurança preventivas,
detectivas, corretivas e restauradoras;
Definição de atividades para analista de segurança de informática, para usuários e
para profissionais de informática e de segurança empresarial/patrimonial;
Elaboração de normas de planos, bem como definição de softwares a serem
adquiridos e de sustentação de hardware de terceiros, para situações de insegurança
em informática com forte potencial de ocorrência, como greve total ou paralisação
parcial do sistema computacional, acarretando atraso de processamento e conseqüentes
perdas financeiras para as organizações;
Criação de sistemas de informação para captação de indícios e identificação de
tendências, tanto de novas práticas de segurança, quanto de ocorrências com elevado
poder de desestabilização do ambiente de informática;
Definição de simulações e de testes que garantam/estabeleçam confiança nas
medidas de segurança consideradas adequadas;
Estabelecimento de objetivos, diretrizes, do perfil, dos custos e do nível de impacto
da segurança em informática almejada.
A aplicação da política de segurança
A política de segurança da informação compromete e responsabiliza cada um
que faz parte da empresa, estando todos cientes também que os ambientes da
empresa, inclusive correio eletrônico e Internet estão sujeitos a monitoramento. É
também obrigação de cada um manter-se atualizado com as regras da empresa.
Para garantir a Segurança da Informação, é necessário que todos os
colaboradores da empresa zelem para que os seguintes princípios sejam respeitados:
Vigilância: agir como guardiões dos ativos de informação da Empresa, evitando o uso
inadequado dos mesmos.
Atitude: assumir uma postura adequada no tratamento da segurança da informação,
tendo como base o comprometimento com a política definida.
Visão: considerar a política de segurança como uma estratégia da empresa e um
diferencial de negócio.
Tecnologia: contribuir com recursos de hardware e software que permitam
implementar, auxiliar, monitorar e controlar para que os ativos de informação da
empresa sejam usados de modo seguro e adequado por seus colaboradores.
Nenhum comentário:
Postar um comentário