O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões.
Agora. Quando a concorrência e criminosos conseguem através de meios fraudulentos, ter acesso a essas informações e usá-las para alavancar no mercado, saindo na frente com uma nova linha de produtos – roubada! Esse é só um exemplo. Nesse caso os gerentes de tecnologia da informação devem repensar suas ações, é preciso uma análise completa da área de TI e principalmente uma política de segurança da informação bem formulada e uma equipe bem informada e treinada.
Pesquisas recentes revelam que a maioria dos incidentes de segurança são ocasionados no ambiente interno, sendo que atualmente a grande parte dos recursos são investidos no ambiente externo (medidas de proteção, firewall, IDS, etc). A equipe interna pode ser um grande problema, se não for bem treinada. É preciso mostrar como é fundamental proteger as informações gerenciais, tanto para a empresa quanto para o profissional. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas.
Mais afinal o que é política de segurança da informação?
A Política de Segurança da Informação – PSI é um documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos.
Para ter aceitação, é preciso que a cúpula estratégica (dirigentes) apóiem e participem do processo de implantação. É de suma importância o aval da diretoria para que todos aceitem, respeitem as normas e procedimentos vinculados na política de segurança.
Bem, o que precisamos colocar numa política de segurança da informação?
1º Precisamos fazer um planejamento, levantando o perfil da empresa.
Analisar o que deve ser protegido, tanto interno como externamente.
2º Aprovação da política de segurança pela diretoria.
Garantir que a diretoria apóie a implantação da política.
3º Análise interna e externa dos recursos a serem protegidos.
Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, enumerando as deficiências e fatores de risco.
4º Elaboração das normas e proibições, tanto física, lógica e humana.
Nesta etapa devemos criar as normas relativas à utilização de programas, utilização da internet, acessos físicos e lógicos, bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc.
5º Aprovação pelo Recursos Humanos
As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos funcionários da organização.
6º Aplicação e Treinamento da Equipe
Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo declaração de comprometimento dos funcionários. A política deve ficar sempre disponível para todos os colaboradores da organização.
7º Avaliação Periódica
A política de segurança da informação deve ser sempre revista, nunca pode ficar ultrapassada.
8º Feedback
A organização deverá designar um colaborador específico para ficar monitorando a política, a fim de buscar informações ou incoerências, que venham a alterar o sistema, tais como vulnerabilidades, mudanças em processos gerenciais ou infra-estrutura.
Ainda não sabe por onde começar? Baixe esses modelos de política de segurança.
Mais informações
Normas de Segurança
http://analistati.com/norma-abnt-iso-27001-o-que-e-isso/
Cartilha de Segurança
http://cartilha.cert.br/
Vídeos sobre segurança
http://www.antispam.br/videos/
Pen Drive – Saiba como se proteger
http://analistati.com/pen-drive-saiba-como-se-proteger/
Vírus: Tipos e Definições
http://analistati.com/virus-tipos-e-definicoes/
Proteja-se dos spams
http://analistati.com/proteja-se-dos-spams/
Navegue Protegido
http://analistati.com/navegue-protegido
Abraços a todos
[...] para garantir segurança e proteção dos dados trafegados. A empresa possui regras e uma política de segurança da informação eficiente e bem divulgada; Administração da Rede: usuários, hardware das estações e da rede, [...]
Verdade, é bem focado, não adianta criarmos manuais longos, cheios de regras e normas, que os colaboradores não irão ler. É preciso objetividade. Abraços
Parabens pelo artigo!
Gostei da definição didática que você utilizou para explorar o assunto e anda apresentar os assuntos relacionados.
O interessante deste artigo é que ele despertar o interesse para o responsável da empresa, profissional da área e principalmente para usuários que utilizam a tecnologias da empresa para trabalhar, sobre o risco em que ele pode colocar a empresa com uso indevido.
Verdade, temos que criar regras e diretrizes condizentes com a realidade vivida, os colaborados precisam entender como e porque será implementada uma PSI na empresa. Um fator determinando é não somente proibir, mas sim ensinar porque está sendo proibido. Na empesa que implantei a política, utilizei o treinamento como fator chave, mostrar quais os perigos do má uso, para depois eles saberem o que e porque está sendo proibido.
Obrigado pelas considerações
Parabéns! Gostei do post e do site. Útil e sem enrolação.
Sobre PSI, ao longo de mais de 10 anos atuando em Segurança e TI, posso complementar dizendo que a regra principal é “Menos é mais!”. Tem gente que escreve uma tese de doutorado e não uma PSI, depois não sabe porque ela não é efetiva.
O mais importante não é o que se escreve como diretriz e regras para uma PSI, é o COMO se escreve e isto poderá ser implementado nas empresas. É melhor ter uma diretriz simples e conseguir implantá-la em 1 ano, do que ter 10 e nunca conseguir implementá-la. A PSI não é uma PSTI (política de segurança de TI), portanto, deve englobar regras para pessoas, processos e tecnologias.
Obrigado, Precisando de alguma coisa ou ajuda, pode contar comigo. Abraços e Sucesso!
tranquilo o material aki postado esta sendo de grande valor,, abrigado
Sou eu mesmo Fabrício Cristian Basto, veja mais http://analistati.com/sobre
muito bom o artigo gostaria de saber quem escreveu ou quem é o autor pois estou fazendo um trabalho e usei o mesmo como referencia mas nao vejo o autor obrigado
[...] com o objetivo de impor regras para o bom uso dos recursos da empresa. Saiba como criar uma política de segurança com o esse [...]
[...] Política de segurança da informação, como fazer? http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/ [...]
Realmente é bem difícil, vejo isso na empresa que trabalho, foi uma luta e está sendo conseguir educar e conscientizar o pessoal, antes era uma bagunça, graças a Deus os problemas estão diminuindo.
Abraços Glaúcio
Muito bom esse post!!!
É muito difícil ver empresas que buscam aplicar políticas de segurança da informação (Presencio isso em empresas de pequeno e médio porte). O mais difícil ainda é justificar os custos com SI sem que tenha ocorrido um incidente prévio.
Anyway, muito bom esse post!!