llsantana.org

A elaboração de uma política de segurança da informação é uma tarefa complexa e trabalhosa. Devido a alguns fatores como, monitoramento contínuo, revisões e atualizações periódicas e seus benefícios muitas das vezes só serão notados a um médio ou longo prazo. Ela seria inviável aos olhos de algumas pessoas. Mas com a situação atual do mundo dos negócios onde se tem o crescimento do uso de tecnologias, para diminuir custos e aumentar a produtividade, com sistemas cada vez mais interligados. Cria-se então a necessidade de tornar esta tecnologia segura e confiável.

O desenvolvimento e a implantação de uma política segurança da informação em uma empresa é uma importante ferramenta para combater ameaças aos ativos de uma empresa. A política de segurança é um conjunto de diretrizes, normas e orientações de procedimentos que visam conscientizar e orientar os funcionários, clientes, parceiros, colaboradores e fornecedores para o uso seguro dos ativos da empresa. Existem muitos fatores que podem definir se uma política de segurança da informação vai ser um sucesso ou não.

A primeira coisa a ser feita é a criação de uma comissão composta por diversos profissionais de diferentes setores da empresa, quanto mais abrangente puder ser esta comissão maior será a divulgação das diretrizes de segurança na empresa. Outro beneficio de uma comissão abrangente, é que como existem profissionais de diversos setores da empresa, estas pessoas trazem consigo os requisitos de segurança dos locais em que eles trabalham.

Depois da criação desta comissão é necessário definir quais os ativos da empresa deve ser protegido e principalmente, qual é o nível de segurança que cada ativo deve ter. Esta analise dos riscos de cada ativo deve considerar o impacto no negócio causado por uma falha de segurança e a probabilidade de ocorrência desta falha. Outro fator que deve ser considerado é que esta analise deve ser refeita periodicamente de acordo com o ativo, para que se verifique como esta a situação do risco residual do ativo que pode ter aumento com o surgimento de um novo risco.

Através desta analise é possível definir quais os ativos precisam ser mais protegidos e consequentemente onde será empregado mais dinheiro, lembrando que o custo da proteção do ativo não deve ser maior que o valor financeiro do ativo ou o impacto causado por uma falha de segurança neste ativo.

Com os ativos e seus respectivos riscos definidos, passamos para a seleção dos controles. Lembramos que a seleção dos controles varia de acordo com a necessidade de cada empresa e que estes controles não ira eliminar os riscos, mas reduzi-los para um percentual aceitável.

Existem 11 ( onze ) seções com diversos controles que podem ser selecionados para ser implementado na norma, são eles:

1. Política de segurança. Tem como objetivo trazer uma orientação e o apoio da direção para a segurança da informação. Este apoio da direção se tornará indispensável durante a implementação da norma na empresa, pois isto acarretará mudança de hábitos pessoais e até mesmo uma mudança na cultura da empresa e no seu relacionamento com clientes e fornecedores.

2. Segurança organizacional. Tem dois objetivos; gerenciar a segurança da informação na empresa, através da atribuição de responsabilidades relacionadas com a segurança da informação, criação de um grupo responsável pela coordenação da segurança da informação da empresa. Além de tratar da segurança da informação no relacionamento da empresa com as partes externas como clientes, fornecedores ou empresas terceirizadas.

3. Gestão de ativos. Define os responsáveis pelos ativos da empresa, definindo o uso aceitável daquele ativo, outro ponto abordado neste controle é a classificação das informações. Nesta classificação define-se a classificação de uma informação de acordo com o seu valor e sua sensibilidade para a organização.

4. Segurança em recursos humanos. Possui como objetivo garantir a segurança da informação em três momentos diferentes da “vida” profissional do funcionário na empresa, que é antes da contratação, durante a contratação e no encerramento ou mudança de contratação. Entre alguns dos controles desta sessão esta a definição de papeis e responsabilidades antes da contratação, a definição do processo e de como a disciplina será realizada caso o funcionário viole as normas de segurança da empresa.

5. Segurança física e do ambiente. Prevê a criação de controles para criação e controle de áreas seguras e da segurança em equipamentos. Como exemplo podemos citar os controles. Segurança em salas, escritórios e instalações, que define medidas para estabelecimento de uma segurança física nas dependências da empresa ou ainda o controle que define regras para ser aplicadas em cabeamento que exista dentro da empresa.

6. Gerenciamento das operações e comunicações. Possui 10 ( dez ) objetivos que abrange situações como manuseio de mídias, gerenciamento de serviços de terceirizados, gerenciamento de segurança de rede e proteção contra códigos maliciosos entre outros.

7. Controle de acesso. Possui controles que prevêem todos os tipos de acesso que funcionários, terceiros e fornecedores possam ter com relação aos ativos da empresa. Seja acesso à rede, ao sistema operacional, a alguma aplicação ou ate mesmo um acesso remoto. Definição de políticas de controle de acesso, gerenciamento de senhas de usuário, controle de roteamento de rede, são alguns exemplos de controles abordados por esta sessão.

8. Aquisição, desenvolvimento e manutenção de sistemas de informação. Cuida para que qualquer sistema que venha a ser desenvolvido pela empresa ou por terceiros bem como a aquisição ou os contratos de manutenção possa ser feito de forma segura para a empresa reduzindo os riscos que aquele processo prejudique de alguma forma o nível de segurança já existente.

9. Gerenciamento de incidentes de segurança da informação. Abrange controles que cuidam da empresa caso ela sofra um incidente de segurança que está previsto ou não. Além de buscar um aprendizado com os incidentes que não estavam previsto, faz parte desta sessão o processo de coleta de evidencias ou, por exemplo, o processo de notificação de um evento de segurança na empresa.

10. Gestão de continuidade de negocio. Esta sessão prevê a criação de um plano de restabelecimento do negocio caso haja um incidente de segurança que interrompa o curso normal do negocio. Essa sessão é uma tentativa de não interromper as atividades do negocio e proteger processos críticos contra efeitos de falhas.

11. Conformidade e controles. Busca verificar a conformidade legal e técnica da organização e de evidencias das auditorias feitas para garantia destas conformidades.

Apesar de existirem inúmeros controles nem todos podem ser aplicados na política. A definição de quais controles será aplicada à política da empresa, dependerá principalmente de quais ativos a empresa deseja proteger e qual deve ser o nível desta proteção. Lembrando que quanto mais ativos ou quanto maior é o nível de segurança requerido pelo ativo maior será o custo total do projeto.

Mas existem controles que são essenciais em qualquer política são os seguintes controles:

• Direito de propriedade intelectual. Controle que tenta evitar a quebra de copyright, como exemplo podemos citar a utilização de um software sem a devida licença.
• Cuidados com os registros da organização. Podemos incluir a prevenção contra a perca, destruição e falsificação dos registros, retenção, armazenamento e descarte da informação. Uma situação que este controle abrange, por exemplo, é o descarte de HD’s da empresa, como ele deve ser feito para que não vá nenhuma informação junto com o equipamento.
• Proteção dos dados e o direito a privacidade das informações pessoais. Muitas das informações que existem na empresa são informações pessoais dos funcionários, estas informações podem ser utilizada pela empresa mas existem algumas restrições impostas pelas leis. Estas restrições devem ser observadas pela empresa para que não haja por fora da leis e assim posteriormente venha a sofrer alguma multa, processo por parte de algum funcionário ou ate mesmo prejuízo de sua imagem.

A fase de análise de soluções, seja de hardware ou software, é uma fase critica. Por ser necessário que se escolham soluções que traga um nível de segurança proposto na política sem diminuir o nível de funcionalidade da rede, mas que seu custo de implantação não ultrapasse o valor disponível para o projeto.

Um dos fatores que também deve ser analisado durante o processo de desenvolvimento da política é a linguagem que será usada, pois a política deve ser um documento claro e fácil de entender para pessoas que não atuam na área de segurança. Se houver falha nesta comunicação, acarretara dificuldades durante o processo de implantação, pois os usuários não vão saber o que a política estabelece.

Outro fator importante para o sucesso da política e como ela será divulgada para os usuários, se haverá palestras, se algum treinamento deverá ser realizado. Existe a necessidade de mostrar aos usuários que as práticas propostas na política devem ser cumpridas e que a participação dele é muito importante para que a empresa possa desfrutar do nível de segurança que a política desenvolvida propõe.

Após a implantação da política, para que ela continue sendo satisfatória para a empresa, ou melhor, para que com o tempo ela não se torne desatualizada, é necessário implantar controles de melhoria continua da política. Empresas costumam realizar revisões periódicas em suas políticas, outra necessidade é que seja feita uma revisão sempre que acontece uma falha de segurança de nível médio ou grave.

Além da norma há também a necessidade de se atualizar os treinamentos dos usuários para facilitar o entendimento e a comunicação.

Referências

www.clavis.com.br, Acessado em 10/08/08

HEICKEL, Dalila. Normas e procedimentos de segurança da informação – Florianópolis:SENAI/SC, 2008

ABNT, NBR ISSO/IEC 17799 Tecnologia da informação – Código de prática para a gestão da segurança da informação, Rio de Janeiro, 2001