Política de segurança da informação

Como o trabalho de preparação detalhado é muitas vezes exaustivo, toda organização precisa de uma excelente, detalhada e bem escrita política de segurança da informação. Não é algo que deve ser feito com pressa ou apenas bem, deve ser excelente e bem discutido, bem pensado, e logicamente lembrando que “o diabo está nos detalhes”.  Lembre-se que toda política de segurança da informação deve estar alinhada aos objetivos da companhia.

A política é quase sempre um trabalho em andamento, de maneira direta, sempre em evolução. Deve evoluir com a tecnologia, especialmente essas tecnologias que visam sorrateiramente entrar em seu sistema. As ameaças vão continuar a evoluir, então, devemos fazer com o que os sistemas e as pessoas protejam sua empresa, e mantenham ameaças distantes.

Uma boa política de segurança nem sempre é um documento único , mas sim, um conglomerado de políticas que abordam áreas específicas, como informática e uso da rede, formas de autenticação, políticas e-mail, o uso da tecnologia remota/móvel e políticas de navegação na web. Em muitas empresas, até mesmo conduta e ética acabam por fazer parte deste conglomerado.

Elas devem ser escritas de tal maneira que sejam, ao mesmo tempo global, e facilmente compreendida por aqueles que afeta direta e indiretamente. Se você entregar algo extremamente complexo aos novos funcionários, eles terão dificuldades de entendimento e assimilação, por isso, mantenha o documento com uma linguagem acessível, para que a disseminação seja simples.

Para isso, primeiro, você precisa elaborar algumas políticas que definem a sua rede e sua arquitetura básica, por isso é importante termos a documentação de processos, topologias, procedimentos, dentre outros. Uma boa maneira de começar é fazer as seguintes perguntas :

1. Quais os tipos de recursos precisam ser protegidos, tais como dados financeiros, cadastrais, clientes, transações etc.?
2. Quantos usuários estarão acessando a rede internamente, tais como funcionários, prestadores de serviços, fornecedores etc.?
3. Será que é necessário que haja acesso apenas em determinados momentos ou em uma base 24/7, em todos fusos horários e/ou internacional?
4. Qual o orçamento eu tenho disponível?
5. Será que os usuários remotos estarão acessando a rede e se sim, quantos?
6. Haverá acesso remoto que necessite de um mecanismo de proteção, como replicação, para manter os dados sincronizados através da rede?

Em seguida, você deve explicar detalhadamente as responsabilidades para os requisitos de segurança e comunicar as suas expectativas para seus usuários. Vale destacar que estes são para muitos, o elo mais fraco em qualquer política de segurança da informação. Após isso, você deve trabalhar em conjunto com o seu administrador de rede, onde deverá listar as políticas para atividades web, download, acesso local e remoto, uso de e-mail e os tipos de autenticação. Para isso deverão ser abordadas questões tais como a adição de usuários, privilégios, senhas, dentre outros.

Você também deve estabelecer uma equipe de segurança cuja responsabilidade será criar políticas de segurança que são práticas, funcionais e sustentáveis. Essa equipe será responsável por propor o melhor plano de implementação dessas políticas de forma que abordem tanto a proteção de recursos de rede, como a facilidade de utilização. Além, disso a equipe de segurança deve desenvolver planos para responder à ameaças, bem como os horários de atualização de equipamentos e software.

Por fim, deve haver regras claras que definam como lidar com as mudanças na política de segurança da informação corporativa, assim como os tipos de conexões através de seu firewall que será ou não permitido.

[Crédito da Imagem: Segurança da informação – ShutterStock]