Segurança da Informação

Ξ Deixe um comentário

Política de segurança da informação

publicado por Guilherme Teles

Política de segurança da informaçãoComo o trabalho de preparação detalhado é muitas vezes exaustivo, toda organização precisa de uma excelente, detalhada e bem escrita política de segurança da informação. Não é algo que deve ser feito com pressa ou apenas bem, deve ser excelente e bem discutido, bem pensado, e logicamente lembrando que “o diabo está nos detalhes”.  Lembre-se que toda política de segurança da informação deve estar alinhada aos objetivos da companhia.

A política é quase sempre um trabalho em andamento, de maneira direta, sempre em evolução. Deve evoluir com a tecnologia, especialmente essas tecnologias que visam sorrateiramente entrar em seu sistema. As ameaças vão continuar a evoluir, então, devemos fazer com o que os sistemas e as pessoas protejam sua empresa, e mantenham ameaças distantes.

Uma boa política de segurança nem sempre é um documento único , mas sim, um conglomerado de políticas que abordam áreas específicas, como informática e uso da rede, formas de autenticação, políticas e-mail, o uso da tecnologia remota/móvel e políticas de navegação na web. Em muitas empresas, até mesmo conduta e ética acabam por fazer parte deste conglomerado.

Elas devem ser escritas de tal maneira que sejam, ao mesmo tempo global, e facilmente compreendida por aqueles que afeta direta e indiretamente. Se você entregar algo extremamente complexo aos novos funcionários, eles terão dificuldades de entendimento e assimilação, por isso, mantenha o documento com uma linguagem acessível, para que a disseminação seja simples.

Para isso, primeiro, você precisa elaborar algumas políticas que definem a sua rede e sua arquitetura básica, por isso é importante termos a documentação de processos, topologias, procedimentos, dentre outros. Uma boa maneira de começar é fazer as seguintes perguntas :

  1. Quais os tipos de recursos precisam ser protegidos, tais como dados financeiros, cadastrais, clientes, transações etc.?
  2. Quantos usuários estarão acessando a rede internamente, tais como funcionários, prestadores de serviços, fornecedores etc.?
  3. Será que é necessário que haja acesso apenas em determinados momentos ou em uma base 24/7, em todos fusos horários e/ou internacional?
  4. Qual o orçamento eu tenho disponível?
  5. Será que os usuários remotos estarão acessando a rede e se sim, quantos?
  6. Haverá acesso remoto que necessite de um mecanismo de proteção, como replicação, para manter os dados sincronizados através da rede?

Em seguida, você deve explicar detalhadamente as responsabilidades para os requisitos de segurança e comunicar as suas expectativas para seus usuários. Vale destacar que estes são para muitos, o elo mais fraco em qualquer política de segurança da informação. Após isso, você deve trabalhar em conjunto com o seu administrador de rede, onde deverá listar as políticas para atividades web, download, acesso local e remoto, uso de e-mail e os tipos de autenticação. Para isso deverão ser abordadas questões tais como a adição de usuários, privilégios, senhas, dentre outros.

Você também deve estabelecer uma equipe de segurança cuja responsabilidade será criar políticas de segurança que são práticas, funcionais e sustentáveis. Essa equipe será responsável por propor o melhor plano de implementação dessas políticas de forma que abordem tanto a proteção de recursos de rede, como a facilidade de utilização. Além, disso a equipe de segurança deve desenvolver planos para responder à ameaças, bem como os horários de atualização de equipamentos e software.

Por fim, deve haver regras claras que definam como lidar com as mudanças na política de segurança da informação corporativa, assim como os tipos de conexões através de seu firewall que será ou não permitido.

[Crédito da Imagem: Segurança da informação – ShutterStock]

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Olá, sou o Guilherme Teles, trabalho há 20 anos em TI, e sempre fui motivado pela curiosidade da área. Fui responsável por muitos projetos de infra-estrutura, mensageira, segurança, SOA, gestão de identidades, dentre outros. Minha experiência inclui a concepção, implementação, suporte e documentação detalhada dos projetos. Atuo também como consultor e instrutor de sistemas operacionais, middleware (SOA, Oracle, IBM, TIBCO), segurança da informação e governança de TI. Minhas principais certificações são: CISSP, CHFI, CEH, LPIC-3, ITILFv3, MOFF, MCP

Guilherme Teles

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.