Política de Segurança

CONCEITOS BÁSICOS E ELABORAÇÃO DA POLÍTICA SEGURANÇA

A política é elaborada considerando-se o ambiente em que se está trabalhando, para que os critérios estabelecidos estejam de acordo com as práticas internas da empresa e com as práticas de segurança atualmente adotadas a fim de buscar uma conformidade maior com critérios atualizados e reconhecidos em todo o mundo.

CONCEITOS BÁSICOS

Uma política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções que comanda as atuações de trabalho e define os critérios de segurança para que sejam adotados com o objetivo de estabelecer, padronizar e normatizar a segurança e seus processos tanto no escopo humano como no tecnológico. A partir desses princípios, é possível fazer da segurança das informações um esforço comum, como um arsenal informativo documentado e normatizado dedicado à padronização das atividades de cada um dos indivíduos envolvidos na segurança da informação.

ELABORAÇÃO DA POLÍTICA

Para elaborar uma política de segurança das informações, é importante levar em consideração as exigências básicas e as etapas necessárias para a sua produção.

* Exigências da política

* Etapas de produção

EXIGÊNCIAS DA POLÍTICA

A política é elaborada tomando-se como base a, legislação existente, cláusulas contratuais, a cultura da empresa e o conhecimento especializado de segurança dos profissionais envolvidos na sua aplicação e comprometimento. É importante considerar que para a elaboração de uma política de segurança institucional é preciso:

* Criar o Comitê de Segurança responsável por diversas definições que constarão na política;

* Elaborar o documento final.

* Oficializar o uso da política.

O Comitê de SegurançaEsse comitê é formado por um grupo de pessoas responsáveis por atividades referentes à criação e aprovação de requisitos e demandas de segurança na empresa.o Nas reuniões, são definidos os critérios de segurança adotados em cada área e o esforço comum necessário para que a segurança alcance tais critérios. O documento finalNesse documento devem aparecer as preocupações da administração no que se refere à segurança para que todas as normas, procedimentos e instruções possam vir a serem definidos. Deve também conter:

* A definição da própria política e seus objetivos;

* Uma declaração da administração que apóie os princípios estabelecidos e uma explicação das exigências de conformidade com relação a:

* legislação e cláusulas contratuais;

* educação e formação em segurança da informação;

* prevenção contra ameaças (vírus, cavalos de Tróia, hackers, incêndios, intempéries, etc.)

* Deve conter também a atribuição das responsabilidades das pessoas envolvidas, ficando claro os papéis de cada um na gestão e execução dos processos no que diz respeito a segurança;

* Não esquecer que toda documentação já existente sobre como realizar as tarefas deve ser analisada com relação aos princípios de segurança das informações, para aproveitar ao máximo as práticas atuais, avaliando e agregando segurança a essas tarefas.

Oficializar a política

A oficialização de uma política tem como base a sua aprovação por parte da administração da empresa.Deve ser publicada e comunicada de maneira adequada para todos os funcionários, parceiros, prestadores de serviços e clientes.

ETAPAS DE PRODUÇÃO DA POLÍTICA

O trabalho de produção se compõe de etapas distintas, entre outras:

* Objetivos e escopo

* Entrevista

* Investigação e análise de documentos

* Reunião de política

* Glossário da política

* Responsabilidades e penalidades

Objetivos e escopo

Neste ponto, deve-se elaborar a apresentação da política com relação a seus propósitos e conteúdos, buscando identificar resumidamente quais padrões a política tenta estabelecer, além da amplitude que terá em relação a ambientes, indivíduos, áreas e departamentos da empresa. Entrevista

As entrevistas tentam identificar junto aos usuários e administradores da empresa as preocupações que têm com os ativos, os processos de negócio, áreas ou tarefas que executam ou da qual participam. As entrevistas buscam identificar as necessidades de segurança existentes na empresa.

Investigação e análise de documentos

Nesta etapa, são identificados e analisados os documentos existentes da empresa e os que têm alguma relação com o processo de segurança no que se refere à redução de riscos, à diminuição de trabalho repetido e à falta de orientação. Entre a documentação existente, podemos considerar o seguinte: documentação de rotinas operacionais de sistemas, metodologias, políticas de qualidade entre outras.

Reunião de Política

Nas reuniões, realizadas com as equipes envolvidas na elaboração, os temas são levantados e discutidos. Além disso, são redigidos os parágrafos para a composição das normas com base no levantamento do objetivo e do escopo da política.

Glossário da Política

É importante esclarecer qualquer dúvida conceitual que possa surgir no momento da leitura da política. Portanto, recomenda-se que a política tenha um glossário específico no qual sejam especificados os termos e conceitos utilizados.

Responsabilidades e penalidades

É fundamental identificar os responsáveis pelo gerenciamento de segurança dos ativos com o objetivo de estabelecer as relações de responsabilidade para o cumprimento das tarefas, como as normas de aplicação de sanções resultantes de casos de inconformidade com a política elaborada. Dessa forma, busca-se o nível de consciência necessário dos envolvidos com relação às penalidades nos casos de infração da política de segurança.

DOCUMENTOS DA POLÍTICA DE SEGURANÇA

Ao iniciar o processo de elaboração de uma política de segurança, é necessário recompilar e revalidar certas informações com os usuários de ativos e realizar estudos nos documentos existentes. O objetivo dessa tarefa é definir que tipo de adaptação deve ser feita no modelo de padronização existente para atender às características da empresa. Se esses padrões já estiverem definidos, os documentos da política de segurança devem se adaptar a eles para garantir uma proximidade entre a prática de administração existente e a política sugerida. IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA

O sucesso da implantação de um sistema e uma política de segurança na empresa depende em grande parte do profundo conhecimento dos processos envolvidos nessa implantação. Uma vez recebida toda a informação necessária e depois de comunicar os resultados a todo o pessoal da empresa que o processo e a política de segurança possam ser implementados seguindo algum padrão de reconhecimento internacional.