Política de segurança da informação

Origem: Wikipédia, a enciclopédia livre.

Uma política de segurança da informação (PSI) ou PoSIC (política de segurança das informações e comunicações) que tem por objetivo possibilitar o gerenciamento da segurança em uma organização, estabelecendo regras e padrões para proteção da informação. A política possibilita manter a confidencialidade, garantir que a informação não seja alterada ou perdida e permitir que a informação esteja disponível quando for necessário. É um elemento essencial para o sucesso de um SGSI (Sistema de Gestão de Segurança da Informação).

A segurança da informação procura proteger diferentes tipos de ameaças para garantir a continuidade dos negócios, reduzir riscos e busca a maximização dos retornos em investimentos e ampliação das oportunidades de negócios.

O conteúdo da política de segurança da informação varia. Entre as organizações, dependendo de seu grau de informatização, de mercado, requisitos de segurança, etc. No entanto, uma política de segurança da informação geralmente inclui a definição de segurança da Informação, seus objetivos e o que compõe. Confia no compromisso da alta administração, define os procedimentos de controle de segurança da informação a serem implementados, como o uso de senhas, as responsabilidades dessa política e as penalidades de sua violação.

Política de segurança da informação é a padronização das normas obrigatórias a fim de manter o controle do comportamentos dos envolvidos para garantir a proteção e as informações da organização. Se tornando semelhante ao Direito, as leis possuem em si definição semelhante as políticas de segurança da informação, e para a avaliação de eficiência e eficácia de uma PSI, quanto a manutenção comportamental, é indicado uma adaptação das teorias de análise comportamental do Direito.

Seu processo de implantação deve resultar na documentação dos procedimentos e sua padronização, também suas ferramentas e técnicas utilizadas. Criando assim indicadores, registros e definindo um processo de conscientização.

Os controles devem ser definidos levando em conta as características de cada empresa, definindo o que é permitido e o que é proibido. A implantação, para ser bem sucedida, deve partir da diretoria da empresa para os demais funcionários (abordagem top down). A política deve ser divulgada para todos os funcionários da organização, de forma a manter a segurança das informações.

Um método importante de avaliar em segurança da informação o quanto o comportamento de seu profissional é seguro ou perigoso aos dados e ativos de uma empresa leva em conta[1];

  • a susceptibilidade a ameaças por parte do funcionário;
  • a severidade das ameaças que ele possa vir a receber;
  • a certeza da detecção por parte da POSIC;
  • a severidade da punição;
  • o esforço de salvaguarda;
  • a satisfação do funcionário.

Norma ISO/IEC TR 13335[editar | editar código-fonte]

A norma ISO/IEC é um exemplo de uma norma de técnicas muito utilizada para gestão de segurança na área de tecnologia da informação. Ela é utilizada junto de outras normas como a BS 7799-2, sendo essa uma norma que sugere quais os processos devam ser implementados. Dentre suas técnicas estão a criação de um comitê multidisciplinar que se reúna para avaliar os níveis aceitáveis de risco e cobrança e uma lista extensa de contramedidas em diferentes situações.

Papéis envolvidos[editar | editar código-fonte]

As atividades que devem ser executadas para implantar a PoSIC devem ser realizadas por pessoas, grupos de trabalho e setores representados por papéis. Os papéis executam as ações identificadas pelas práticas envolvidas no processo, as quais apresentam alguma atividade durante a implantação da PoSIC. Um papel possui um conjunto de atribuições e/ou responsabilidades sobre as atividades do processo, ou seja, representam as funções a serem desempenhadas pelos profissionais envolvidos. Os principais papeis envolvidos são[2]:

Comitê de Segurança da Informação: formado por pessoas das áreas finalísticas e da TI com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações no âmbito da organização. É sugerido que tais pessoas adquiram conhecimentos satisfatórios em segurança da informação.

Comitê de Tecnologia da Informação: formado por representantes das áreas finalísticas e da TI e tem a prerrogativa de dirigir o alinhamento das ações e dos investimentos para o alcance dos objetivos estratégicos da organização, bem como priorizá-los, além de avaliar os resultados do desempenho da TI.

Autoridade Máxima: membro da alta administração no nível hierárquico mais elevado da organização. A Autoridade Máxima é o principal patrocinador da PoSIC.

Gestor de Segurança da Informação: é o servidor responsável pelas ações de segurança da informação e comunicações no âmbito da organização;

Grupo de trabalho: constituído por representantes dos diferentes setores da organização especificamente para elaboração da PoSIC;

Servidores em geral: pessoas de qualquer setor pertencente ao quadro de servidores da organização.

Criação de uma PoSIC[editar | editar código-fonte]

Para a definição de uma política de segurança de informação é necessário que o comitê de segurança que irá definir as políticas siga as normas e padrões, como ISO/IEC TR 13335 e as RFC's 2196 e 2828. As políticas devem especificar a regulamentação, as responsabilidades e possíveis penalidades do descumprimento da mesma. Uma política de informação não é estática e pode sofrer alterações com o tempo e seus resultados devem ser analisados após um certo período de avaliação. É imprescindível que as políticas sejam respeitadas por todo ambiente organizacional para que sejam resguardados os princípios da segurança da informação: confidencialidade, integridade, disponibilidade e autenticidade.[3]

A criação de uma PoSIC segue os seguintes passos:

  • Formação do comitê
  • Identificação das informações
  • Descrição dos objetivos
  • Análise de segurança
  • Criação do escopo da política
  • Discussão com os afetados (colaboradores) pela política:
  • Documentação
  • Aprovação da política
  • Implementação

Após a aprovação de uma política é efetuada deve-se conscientizar todo o ambiente a qual ela afeta a fim de garantir sua efetividade. O comitê que é criado na primeira etapa possui a responsabilidade da gestão da política em questão, precisa seguir as normas e acompanhar todas as fases de implementação da PoSIC. Na fase de implementação da PoSIC se torna vital a divulgação e a conscientização de todos os colaboradores acerca da importância na Organização.

Referências

  1. Klein, Rodrigo. «WHAT INFLUENCES INFORMATION SECURITY BEHAVIOR? A STUDY WITH BRAZILIAN USERS» 
  2. «Papéis Envolvidos». Guia de Melhores Práticas para Implantar PoSIC 
  3. Martins, Alaíde Barbosa (2005). «UMA METODOLOGIA PARA IMPLANTAÇÃO DE UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO». Consultado em 13 de setembro de 2021 
  1. Höne, Karin; Eloff, J. H.P. <<https://www.sciencedirect.com/science/article/pii/S0167404802005047?via%3Dihub>> Information security policy — what do international information security standards say? Acesso em 14 de setembro de 2021.
  2. ISO/IEC TR 13335 <<https://www.iso.org/standard/29240.html>> Acesso em 12 de setembro de 2021.
  3. Ki-Aries, Duncan; Faily, Shamal. «Persona-centred information security awareness». ELSEVIER. Computers & Security. Consultado em 27 de agosto de 2021.
  4. Klein, Rodrigo; Luciano, Edimara. «What influences information security behavior? A study with brazilian users.». TECSI - FEA/USP. JISTEM - Journal of Information Systems and Technology Management. Consultado em 27 de agosto de 2021.
  5. Martins, Alaíde; Santos, Celso. «Uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação». TECSI - FEA/USP. JISTEM - Journal of Information Systems and Technology Management. Consultado em 27 de agosto de 2021.