lendo...
Internet, Tecnologia

Benefícios alcançados com a política de segurança


 

 

Sabemos que o planejamento é fator crítico de sucesso e também responsável pela iniciativa de gerir a segurança da informação e a elaboração de um plano diretor de segurança. Mais do que um plano destinado a prover a organização de orçamento para investimentos tecnológicos, o planejamento tem de ser dinâmico e flexível para suportar as novas necessidades de segurança que surgem à medida que a organização cresce e se desenvolve.

Uma boa diretriz de segurança para um sistema refere-se a ameaças. A diretriz de segurança oferece uma estrutura para selecionar e implementar contramedidas contra as ameaças. Um dos benefícios mais imediatos é que a partir do momento em que uma diretriz é escrita, ela forçatodos a segui-la.

Política de segurança, de acordo com Beal (2005, p. 43), é o documento que registra os princípios e as diretrizes de segurança adotados pela organização, os quais devem ser observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação organizacionais.

Para Campos (2006, p. 100), o principal objetivo da política de segurança é estabelecer um padrão de comportamento que sirva como base para decisões da alta administração em assuntos relacionados à segurança. Ela é composta por um conjunto de regras e padrões que visam principalmente assegurar que as informações e serviços importantes para a empresa recebam proteção, de forma a garantir a confidencialidade, a integridade e a disponibilidade das informações.

A Política de Segurança define o conjunto de normas, de métodos e de procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação.

É importante ressaltar que as políticas, as normas e os procedimentos de segurança da informação devem ser:

  • simples;
  • compreensíveis (escritas de maneira clara e concisa);
  • homologadas e assinadas pela alta administração;
  • elaboradas de forma a permitir a sua implantação por fases;
  • alinhadas com as estratégias de negócio da empresa,
  • em consonância com os padrões e com os procedimentos já existentes;
  • flexíveis o bastante para acompanhar a constante evolução da tecnologia e dos negócios da empresa;
  • um instrumento de incentivo à ação de segurança, priorizando os ativos de maior valor e de maior importância;
  • positivas e não apenas concentradas em ações proibitivas ou punitivas.
Qual a abrangência da política de segurança?

Uma política de segurança deve alcançar vários setores da organização. Para entendermos alguns outros benefícios alcançados, podemos desmembrar a segurança em quatro grandes aspectos:

01. Segurança computacional

Conceitos e técnicas utilizados para proteger o ambiente informatizado contra eventos inesperados que possam causar qualquer prejuízo.

02. Segurança Lógica

Procedimentos e recursos para prevenir acesso não autorizado, dano e interferência nas informações e instalações físicas da organização.

03. Continuidade de negócios

Estrutura de procedimentos para reduzir, em um nível aceitável, o risco de interrupção ocasionada por desastres ou por falhas por meio da combinação de ações de prevenção e de recuperação.

04. Tempo

É importante observar que os valores agregados à organização com a implementação de política e seus benefícios precisam de um tempo para maturação, mas, como dito anteriormente, alguns já são atingidos assim que a política é colocada em prática, outros podem ser divididos conforme Ferreira e Araújo (2006) em:

Curto Prazo:

  •     Formalização e documentação dos procedimentos de segurança adotados pela empresa.
  •     Implementação de novos procedimentos e de controles.
  •     Prevenção de acessos não autorizados, danos ou interferência no andamento dos negócios, mesmo nos casos de falhas ou de desastres.
  •     Maior segurança nos processos do negócio.

Médio Prazo

  •     Padronização dos procedimentos de segurança incorporados na rotina da empresa.
  •     Adaptação segura de novos processos do negócio.
  •     Qualificação e quantificação dos sistemas de resposta a incidentes.
  •     Conformidade com os padrões de segurança, como a NBR ISO/IEC 17799.

Longo Prazo

  •     Retorno sobre o investimento realizado por meio da redução da incidência de problemas relacionados à segurança.
  •     Consolidação da imagem associada à Segurança da Informação.
Exemplos de Políticas de Segurança
  • A qualidade de nossos serviços é um bem de valor inestimável e de fundamental importância para nossa empresa. A continuidade de nossos negócios, operando com qualidade e competitividade depende da confidencialidade, da integridade e da disponibilidade de nossos ativos.
  • Os gestores de TI são responsáveis pela proteção dos ativos de TI, bem como pela autorização de seu uso, recebimento, processamento, armazenamento e transmissão das informações derivadas desses ativos.
  • Todos os colaboradores, bem como todos os prestadores de serviço e consultores, devem entender suas obrigações e principalmente implementar procedimentos de segurança da informação.
  • A área de segurança deve ser imediatamente comunicada sobre qualquer incidente de segurança, a fim de que possa tomar as devidas providências.
  • Essa política é valida a partir de 09/09/1999.

Independentemente do tamanho da organização, e como forma de contribuir com esse planejamento, a NBR/ISO 17799 relaciona como principais fontes para a identificação dos requisitos de segurança os seguintes tópicos:

  • Avaliação de risco dos ativos da organização – para identificação das ameaças, probabilidade de ocorrência e vulnerabilidades e estimativa do impacto potencial associado.
  • Legislação vigente – estatutos e cláusulas contratuais a que a organização tem de atender.
  • Conjunto de princípios – visão, missão, objetivos e requisitos de processamento da informação organizacional
Conclusão

É importante salientar que para a organização obter sucesso na construção de normas e diretrizes, tem-se de levar em consideração que, após sua implementação, deverão ficar evidenciados os seguintes aspectos:

  • O envolvimento e o comprometimento da alta administração com relação à segurança da informação.
  • O entendimento de todos os colaboradores de que a informação é um dos ativos mais importantes da organização.
  • A formalização da responsabilidade de todos os colaboradores da empresa sobre a salvaguarda dos recursos da informação.
  • O estabelecimento de padrões para a manutenção da segurança da informação, visando tornar fácil sua revisão e adequação sempre que necessário.

Convencer a alta administração de que a política de segurança, sendo ela dispendiosa ou não, é importante na identificação das vulnerabilidades e na prevenção de danos à organização é uma variável que não pode ser desprezada por parte dos profissionais de segurança. E a Política da Segurança, por mais eficiente e eficaz que pareça, sempre deixará um risco residual.

Fonte: Álvaro Gulliver (atua na área de Tecnologia da Informação desde 2001 com desenvolvimento web e projetos de sistemas, com foco em banco de dados e segurança da informação. )

Anúncios

Discussão

Nenhum comentário ainda.

Comente, opine, sugira, complemente, participe!

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Portal Lucyanpaes

Edição

Calendário

outubro 2010
S T Q Q S S D
« set   fev »
 123
45678910
11121314151617
18192021222324
25262728293031

Arquivos

Melhores Ofertas da Internet

Coloque seu e-mail para receber novidades e notificações do Blog.

Junte-se a 2.330 outros seguidores

@lucyanpaes

Erro: o Twitter não respondeu. Por favor, aguarde alguns minutos e atualize esta página.

RSS Portal Cantinho da Lú (Oficial)

  • Ocorreu um erro. É provável que o feed esteja indisponível. Tente mais tarde.

Visitas – Portal Lucyanpaes

Portal Cantinho da Lú (Oficial)

%d blogueiros gostam disto: