Política de Segurança da Informação – Como fazer?

seguranca

O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões. Com o crescimento da internet e o uso de dispositivos móveis nas empresas é inevitável a ocorrência de problemas de segurança, é preciso muito planejamento e muito trabalho da equipe de TI para ligar com tudo isso. É importante criar normas rígidas e principalmente treinar toda a equipe interna e externa.

Agora. Quando a concorrência e criminosos conseguem através de meios fraudulentos, ter acesso a essas informações e usá-las para alavancar no mercado, saindo na frente com uma nova linha de produtos – roubada! Esse é só um exemplo. Nesse caso os gerentes de tecnologia da informação devem repensar suas ações, é preciso uma análise completa da área de TI e principalmente uma política de segurança da informação bem formulada e uma equipe bem informada e treinada.

Pesquisas recentes revelam que a maioria dos incidentes de segurança são ocasionados no ambiente interno, sendo que atualmente a grande parte dos recursos são investidos no ambiente externo (medidas de proteção, firewall, IDS, etc).  A equipe interna pode ser um grande problema, se não for bem treinada. É preciso mostrar como é fundamental proteger as informações gerenciais, tanto para a empresa quanto para o profissional. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas.

Mais afinal o que é política de segurança da informação?

A Política de Segurança da Informação – PSI é um documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos.

Para ter aceitação, é preciso que a cúpula estratégica (dirigentes) apóiem e participem do processo de implantação. É de suma importância o aval da diretoria para que todos aceitem, respeitem as normas e procedimentos vinculados na política de segurança.

Bem, o que precisamos colocar numa política de segurança da informação?

1º Precisamos fazer um planejamento, levantando o perfil da empresa.
Analisar o que deve ser protegido, tanto interno como externamente.

2º Aprovação da política de segurança pela diretoria.

Garantir que a diretoria apóie a implantação da política.

3º Análise interna e externa dos recursos a serem protegidos.
Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, enumerando as deficiências e fatores de risco.

4º Elaboração das normas e proibições, tanto física, lógica e humana.
Nesta etapa devemos criar as normas relativas à utilização de programas, utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos, bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc.

5º Aprovação pelo Recursos Humanos
As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos funcionários da organização.

6º Aplicação e Treinamento da Equipe
Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo declaração de comprometimento dos funcionários. A política deve ficar sempre disponível para todos os colaboradores da organização.

7º Avaliação Periódica
A política de segurança da informação deve ser sempre revista, nunca pode ficar ultrapassada.

8º Feedback

A organização deverá designar um colaborador específico para ficar monitorando a política, a fim de buscar informações ou incoerências, que venham a alterar o sistema, tais como vulnerabilidades, mudanças em processos gerenciais ou infra-estrutura.

9º Atenção à novas tecnologias
O setor de TIC deve está sempre atendo à novas tecnologias e demandas externas, para poder analisar e atualizar constantemente a PSI da empresa, um exemplo é a utilização indiscriminada de dispositivos móveis (smartphones e tablets) dentro da empresa, também conhecida como Consumerização de TI e o uso de Aplicativos móveis de Mensagens de Texto e Voz, tudo deve está bem definido, com regras claras na Política de Segurança da Informação.

Ainda não sabe por onde começar? Baixe esses modelos de política de segurança.

Mais informações

Normas de Segurança
http://analistati.com/norma-abnt-iso-27001-o-que-e-isso/

Cartilha de Segurança
http://cartilha.cert.br/

Vídeos sobre segurança

http://www.antispam.br/videos/

Pen Drive – Saiba como se proteger

http://analistati.com/pen-drive-saiba-como-se-proteger/

Vírus: Tipos e Definições

http://analistati.com/virus-tipos-e-definicoes/

Proteja-se dos spams
http://analistati.com/proteja-se-dos-spams/

Navegue Protegido

http://analistati.com/navegue-protegido

Com um planejamento efetivo, o sucesso é garantido!


Fabrício Cristiam Basto, nascido e criado no interior do Espírito Santo, em São Gabriel da Palha, você conhece? Ache no Google Maps! Sou formado em Administração de Empresas com ênfase em Análise de Sistemas – CRA: 9009, com especialização em finanças, tecnologia da informação e gestão pública. Currículo Lattes: http://lattes.cnpq.br/3014017071032681

17 Comentários

  1. Verdade, é bem focado, não adianta criarmos manuais longos, cheios de regras e normas, que os colaboradores não irão ler. É preciso objetividade. Abraços

  2. Paulo Moraes says:

    Parabens pelo artigo!
    Gostei da definição didática que você utilizou para explorar o assunto e anda apresentar os assuntos relacionados.
    O interessante deste artigo é que ele despertar o interesse para o responsável da empresa, profissional da área e principalmente para usuários que utilizam a tecnologias da empresa para trabalhar, sobre o risco em que ele pode colocar a empresa com uso indevido.

  3. Verdade, temos que criar regras e diretrizes condizentes com a realidade vivida, os colaborados precisam entender como e porque será implementada uma PSI na empresa. Um fator determinando é não somente proibir, mas sim ensinar porque está sendo proibido. Na empesa que implantei a política, utilizei o treinamento como fator chave, mostrar quais os perigos do má uso, para depois eles saberem o que e porque está sendo proibido.

    Obrigado pelas considerações

  4. Parabéns! Gostei do post e do site. Útil e sem enrolação.

    Sobre PSI, ao longo de mais de 10 anos atuando em Segurança e TI, posso complementar dizendo que a regra principal é “Menos é mais!”. Tem gente que escreve uma tese de doutorado e não uma PSI, depois não sabe porque ela não é efetiva.

    O mais importante não é o que se escreve como diretriz e regras para uma PSI, é o COMO se escreve e isto poderá ser implementado nas empresas. É melhor ter uma diretriz simples e conseguir implantá-la em 1 ano, do que ter 10 e nunca conseguir implementá-la. A PSI não é uma PSTI (política de segurança de TI), portanto, deve englobar regras para pessoas, processos e tecnologias.

  5. Obrigado, Precisando de alguma coisa ou ajuda, pode contar comigo. Abraços e Sucesso!

  6. orinaldo says:

    tranquilo o material aki postado esta sendo de grande valor,, abrigado

  7. Sou eu mesmo Fabrício Cristian Basto, veja mais http://analistati.com/sobre

  8. ivanildo says:

    muito bom o artigo gostaria de saber quem escreveu ou quem é o autor pois estou fazendo um trabalho e usei o mesmo como referencia mas nao vejo o autor obrigado

  9. AnalistaTI says:

    Realmente é bem difícil, vejo isso na empresa que trabalho, foi uma luta e está sendo conseguir educar e conscientizar o pessoal, antes era uma bagunça, graças a Deus os problemas estão diminuindo.

    Abraços Glaúcio

  10. Muito bom esse post!!!

    É muito difícil ver empresas que buscam aplicar políticas de segurança da informação (Presencio isso em empresas de pequeno e médio porte). O mais difícil ainda é justificar os custos com SI sem que tenha ocorrido um incidente prévio.

    Anyway, muito bom esse post!!

Deixe um comentário