Política de Segurança da Informação – Introdução ao Desenvolvimento
Transferir como DOCX, PDF0 gostou839 visualizações
Este documento discute a importância da segurança da informação e fornece diretrizes para o desenvolvimento de uma política de segurança da informação. Ele explica que a segurança da informação envolve a proteção de ativos de informação contra ameaças por meio de controles como políticas, processos e hardware/software. Também fornece exemplos de itens que devem ser abordados em uma política de segurança, como uso da rede, senhas, e-mail e controle de acesso físico.
Política de Segurança da Informação – Introdução ao Desenvolvimento
- 1. Política de Segurança da Informação – Introdução ao Desenvolvimento A informação é um ativo muito importante, essencial ao funcionamento das organizações e consequentemente necessita ser adequadamente protegida. Ela pode ser apresentada em diversas formas: impressa ou escrita em papel, falada em conversas, armazenada eletronicamente em arquivos de som, imagem, vídeo, texto, entre outros. Independente de forma ou meio, a informação é compartilhada ou armazenada. De acordo com a norma ISO/IEC 27002, segurança da informação é a proteção da informação contra vários tipos de ameaças, com o intuito de garantir a continuidade do serviço, minimizar os riscos, maximizar o retorno sobre os investimentos e as oportunidades. São exemplos de ameaças: espionagem (invasores de redes e sistemas), sabotagem, vandalismo, vulnerabilidades a incêndios, inundação, códigos maliciosos, entre outros. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Esses controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados de acordo com as necessidades em questão, a fim de garantir a segurança da informação. A gestão da segurança da informação requer a participação de todos os funcionários e a criação de uma política – que deve ser documentada. Um dos primeiros passos para a gestão da segurança da informação é a elaboração e aprovação de uma política de segurança da informação. O que é uma política de segurança? Uma política de segurança é a expressão formal das regras pelas quais é fornecido o acesso aos recursos tecnológicos da organização. Uma política de segurança não é um documento definitivo, inalterável ou inquestionável, pelo contrário, requer constante atualização e participação de gerentes, usuários e equipe de TI. Objetivo da política: proteção do conhecimento e da infraestrutura, a fim de atender os requisitos legais, viabilizar os serviços prestados e evitar ou reduzir os riscos e ameaças. Orientação e o estabelecimento de diretrizes para a proteção dos ativos de informação, prevenção de ameaças e a conscientização da responsabilidade dos funcionários. É conveniente que a gestão da segurança da informação esteja alinhada e em conjunto com os outros processos de gestão. Princípios: integridade, confidencialidade e disponibilidade da informação. Propósitos: informar aos usuários suas responsabilidades com relação à proteção da tecnologia e ao acesso à informação e oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e de redes. A norma ISO/IEC 27002 descreve as três fontes principais de requisitos de segurançada informação:
- 2. 1. Análise dos princípios, objetivos e requisitos dos serviços prestados. 2. Legislação vigente, estatutos e regulamentos. 3. Análise de riscos, ameaças e vulnerabilidades. Além da análise de requisitos, é recomendável também que gerentes/supervisores de cada área estabeleçam critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área, classificando as informações de acordo com a lista abaixo: 1. pública; 2. interna; 3. confidencial e 4. restrita. A elaboração da política de segurança de cada empresa possui suas particularidades de acordo com os requisitos de segurança analisados e alinhados a gestão de processos. Abaixo são sugeridos itens a serem estudados para a criação de regras: utilização da rede; administração de contas; política de senhas; utilização de correio eletrônico; acesso à Internet; uso das estações de trabalho; uso dispositivos de mídias removíveis; uso de impressoras; uso de equipamentos particulares; controle de acesso físico (controle de entrada e saída de pessoas); termo de compromisso (documento onde usuário se compromete a respeitar a política de segurança); verificação da utilização da política (supervisão realizada por gestores e equipe de TI) e Violação da política (definição de ações tomadas nos casos de desrespeito a política de segurança). Fonte:http://www.profissionaisti.com.br - Diana Paula