Política de Segurança da Informação – Como fazer?

O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões. Com o crescimento da internet e o uso de dispositivos móveis nas empresas é inevitável a ocorrência de problemas de segurança, é preciso muito planejamento e muito trabalho da equipe de TI para ligar com tudo isso. É importante criar normas rígidas e principalmente treinar toda a equipe interna e externa.

Agora. Quando a concorrência e criminosos conseguem através de meios fraudulentos, ter acesso a essas informações e usá-las para alavancar no mercado, saindo na frente com uma nova linha de produtos – roubada! Esse é só um exemplo. Nesse caso os gerentes de tecnologia da informação devem repensar suas ações, é preciso uma análise completa da área de TI e principalmente uma política de segurança da informação bem formulada e uma equipe bem informada e treinada.

Pesquisas recentes revelam que a maioria dos incidentes de segurança são ocasionados no ambiente interno, sendo que atualmente a grande parte dos recursos são investidos no ambiente externo (medidas de proteção, firewall, IDS, etc).  A equipe interna pode ser um grande problema, se não for bem treinada. É preciso mostrar como é fundamental proteger as informações gerenciais, tanto para a empresa quanto para o profissional. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas.

 

Mais afinal o que é política de segurança da informação?

A Política de Segurança da Informação – PSI é um documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos.

Para ter aceitação, é preciso que a cúpula estratégica (dirigentes) apóiem e participem do processo de implantação. É de suma importância o aval da diretoria para que todos aceitem, respeitem as normas e procedimentos vinculados na política de segurança.

Bem, o que precisamos colocar numa política de segurança da informação?

1º Precisamos fazer um planejamento, levantando o perfil da empresa.
Analisar o que deve ser protegido, tanto interno como externamente.

2º Aprovação da política de segurança pela diretoria.
Garantir que a diretoria apóie a implantação da política.

3º Análise interna e externa dos recursos a serem protegidos.
Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, enumerando as deficiências e fatores de risco.

4º Elaboração das normas e proibições, tanto física, lógica e humana.
Nesta etapa devemos criar as normas relativas à utilização de programas, utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos, bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc.

5º Aprovação pelo Recursos Humanos
As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos funcionários da organização.

6º Aplicação e Treinamento da Equipe
Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo declaração de comprometimento dos funcionários. A política deve ficar sempre disponível para todos os colaboradores da organização.

7º Avaliação Periódica

A política de segurança da informação deve ser sempre revista, nunca pode ficar ultrapassada.

8º Feedback
A organização deverá designar um colaborador específico para ficar monitorando a política, a fim de buscar informações ou incoerências, que venham a alterar o sistema, tais como vulnerabilidades, mudanças em processos gerenciais ou infra-estrutura.

Aprenda como lidar com o uso indiscriminado de dispositivos móveis (smartphones e tablets) dentro da sua empresa, também conhecida como Consumerização de TI. Proibir ou não! Veja esse artigo.

Ainda não sabe por onde começar? Baixe esses modelos de política de segurança.

Mais informações

Normas de Segurança
http://analistati.com/norma-abnt-iso-27001-o-que-e-isso/

Cartilha de Segurança
http://cartilha.cert.br/

Vídeos sobre segurança
http://www.antispam.br/videos/

Pen Drive – Saiba como se proteger
http://analistati.com/pen-drive-saiba-como-se-proteger/

Vírus: Tipos e Definições
http://analistati.com/virus-tipos-e-definicoes/

Proteja-se dos spams
http://analistati.com/proteja-se-dos-spams/

Navegue Protegido
http://analistati.com/navegue-protegido

Com um planejamento efetivo, o sucesso é garantido!

Fonte: Analista TI

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

2 Responses to “Política de Segurança da Informação – Como fazer?”

  1. Samuel Gomes de Sá disse:

    A minha pergunta é o seguinte;será que existe niveis de descriptografia de senhas de segurança de dados!!!!!!!!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *