subject: Elaborando uma polĂtica de segurança para a empresa [print this page] O que poltica de segurana O que poltica de segurana
Instrumento utilizado para a definio das normas a serem utilizadas na organizao, prticas a serem exercidas/aplicadas aos ativos (funcionrios, clientes, prestadores de servios, fornecedores, informao, hardware, software) da empresa. Protege para obter a integridade e confidencialidade da informao. Controla para a melhor utilizao, e evitar riscos provenientes da m utilizao dos recursos, monitora sempre verificando se as normas esto sendo utilizadas adequadamente e se necessita de alguma mudana na poltica, garantindo sempre a disponibilidade.
O objetivo da poltica de segurana a reduo de incidentes, reduo de danos causados por incidentes ocorridos, procedimentos para a recuperao de eventuais danos causados por incidentes.
Reduo de incidentes:
feita atravs de medidas preventivas e normativas;
Os riscos devem sem previstos e eliminados antes que acontea o incidente;
Prevenir tem custo mais baixo que corrigir.
Reduo dos danos provocados por incidentes:
Mesmo com a poltica de segurana e a reduo de incidentes, temos que analisar os riscos, o que pode acontecer quando ocorrer um incidente, para reduzir o impacto deste incidente na organizao.
Recuperao de eventuais danos:
Quando ocorre o incidente temos que saber o que deve ser feito para a recuperao dos danos causados pelo incidente, temos que ter procedimentos que viabilizam esta recuperao de forma eficiente, com um mnimo de custo possvel, e menor impacto na estrutura da empresa.
Elaborando a poltica de segurana
Primeiramente temos que definir as pessoas ou equipes que vo ser responsveis pela elaborao, implantao e manuteno da poltica. Devemos definir as responsabilidades de cada equipe/pessoas, e trabalhar em conjunto com pessoas da alta administrao da organizao para aprovao da poltica e de fato obter maior respeito dos colaboradores que j estaro tambm conhecendo a poltica.
Agora j temos como base uma poltica para elaborar procedimentos e controles em cima de regras que os colaboradores j conhecem.
Principais fases para a elaborao de uma poltica:
Identificao dos recursos crticos: mapeamento dos processos da empresa e definir prioridades, importncia de cada processo, definindo assim prioridades de segurana nos processos que mais influenciam na organizao.
Classificao das informaes: deve-se classificar a importncia da informao dentro da organizao e assim definir o grau de proteo e as medidas para a sua manipulao, podendo ser: confidencial, que de extrema importncia para empresa, tendo que ter maior segurana; uso interno: que pode ser utilizada internamente pelos funcionrios/setores, que necessitam dessa informao tendo um escopo de segurana/confidencialidade em cima do setor/parte que a utiliza; pblica: na qual pessoas ou entidades externas podem ter conhecimento, informaes que no causam impactos nos ativos da empresa.
Elaborao de normas e procedimentos: a elaborao deve ser feita sobre os seguintes aspectos:
Acessos externos, internos, fsico e lgico;
Uso da Intranet e Internet;
Uso e instalao de softwares;
Uso de correio eletrnico;
Poltica de senhas;
Poltica de Backup;
Uso e utilizao de anti-vrus;
Auditoria;
Outros
Definio de planos de recuperao, contingncia, continuidade ps incidente.
Definir um plano que ser utilizado aps acontecer um incidente para diminuir o impacto causado e dar sequncia as atividades da organizao o mais rpido possvel, minimizando os prejuzos.
Fazer sanes ou aplicar penalidades caso no se cumpra a poltica.
Definir punies de acordo com a organizao, normalmente o grau da punio medido pelo grau do incidente, ou tamanho do dano causado, podendo ser at demitido. Por isso a alta organizao deve estar de acordo com a poltica de segurana e os colaboradores deve ter aderido e concordado com um termo de compromisso, podendo assim sofrer penalizaes em mbito judicial.
Direitos do usurio:
So as atividades/procedimentos que o usurio tem autorizao para realizar, garantido que a utilizao/realizao de forma correta dessas atividades, procedimentos, est de acordo com os direitos a ele garantido.
Obrigaes do usurio:
So as regras nas quais obrigado a realizar, todas estas obrigaes so determinadas no termo, na poltica de segurana.
Proibies ao usurio:
So as regras que define o que o usurio no pode fazer, so as restries, so detalhadas na poltica de segurana.
Elaborar um termo de compromisso:
utilizado na formalizao do comprometimento dos colaboradores em seguir a poltica de segurana, e deixado-os cientes das consequncias do seu no cumprimento. Deve ser assinado juntamente com o contrato de trabalho, ou adicionado ao mesmo caso a poltica seja implantada depois de sua contratao, a rea jurdica da organizao deve fazer uma anlise do documento.
Rever com a alta administrao.
Aps os passos anteriores devemos comunicar a diretoria da empresa sobre a implantao e a importncia da implantao da poltica na organizao, definir o comunicado e a forma de comunicao que ser feita para deixar os funcionrios cientes do incio da implantao.
Divulgao da poltica.
Deve ser divulgada a todos os funcionrios da empresa. Os mtodos de divulgao mais utilizados so: campanhas internas, palestras de conscientizao; jornais e folhetos internos; mailing; Intranet; deve ser criado um manual com as normas e procedimentos com linguagem de fcil entendimento.
No h polticas de segurana prontas para a utilizao e mesmo havendo no seria vivel, pois cada organizao tem suas particularidades, e devemos definir a poltica analisando a organizao que ser implantada a poltica.
Profissional de Tecnologia da Informao, atuando a 8 anos no mercado, trabalha com infra-estrutura, cursando Bacharelado em Sistemas de Informao, possui certificaes Microsoft, Linux, Cisco, atualmente exerce a funo de Analista de Suporte Pleno em Hospital Filantrpico na cidade de So Paulo, maior atuao na rea de redes, segurana da informao, Linux, Windows Server, Cisco, 3COM (Artigonal SC #3413838)
