Olá Pessoal!
Vocês viram um pouco de segurança no post Os três pilares de segurança da informação.
No post de hoje falarei sobre: Políticas, Padrões e Procedimentos de segurança da informação .
Vamos? o/
Muitas empresas possuem, porém muitos sequer sabe do que se trata.
Mas O que seria uma política de segurança?
Políticas de segurança são regras que devem ser elaboradas e seguidas pelos utilizadores dos recursos de informação de uma empresa. São realizadas as atribuições de cada um em relação à segurança dos recursos com os quais trabalham.
Também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política. E tudo o que descumprir a política de segurança é considerado um incidente de segurança
Agora mais ambientados, vamos ver o que é descrito dentro do documento de política de segurança?
Existe uma estrutura normativa que divide o documento de políticas de segurança em 3 categorias:
- Política : Direcionada ao nível estratégico, define as regras de alto nível que representam os princípios básicos. Ela servirá como base para que as normas e os procedimentos sejam criados e detalhados;
- Normas : Direcionada ao nível tático, elas especificam as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política;
- Procedimentos : Direcionada ao nível operacional, descreve os procedimentos que serão realizados para realizar as atividades citadas nas normas e na política.
Pode haver também a classificação da informação. Poderá ser citado como:
- Confidencial: Informação crítica para os negócios da organização ou de seus clientes. A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, civis e criminais à empresa ou aos seus clientes. É sempre restrita a um grupo específico de pessoas, podendo ser este composto por empregados, clientes e/ou fornecedores.
- Interna: Informações da empresa que ela não tem interesse em divulgar, mas cujo acesso por parte de indivíduos externos à empresa deve ser evitado. Caso esta informação seja acessada indevidamente, poderá causar danos à imagem da Organização, porém, não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por todos os empregados e prestadores de serviços.
- Pública: Informação da empresa ou de seus clientes com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. É destinada ao público externo ou ocorre devido ao cumprimento de legislação vigente que exija publicidade da mesma.
Também é possível visualizar dentro do documento de políticas de segurança, papéis e responsabilidades.
Neste trecho do documento, são descritos as obrigações para cada tipo de colaborador.
Válido para estagiários,aprendizes, colaboradores e prestadores de serviço.
Assim como todas as regras criadas no documento de política, existe uma penalidade para o indivíduo que não as cumpre.
Geralmente, em cada documento d epolítica de segurança existe um capítulo exclusivo para penalidades.
Neste capítulo, estão reunidas as informações sobre as violações de política, sansões e o tipo de legislação aplicada.
Para cada norma não seguida, são avaliados os riscos e à cada penalidade a empresa tomará as medidas cabíveis embasando-se no capítulo sobre penalidades.
Uma norma que pode nortear a criação do documento de políticas, padrões e procedimentos de segurança da informação é a NBR ISO/IEC 27002.
Esta norma estabelece os princípios para a gestão de segurança da informação de uma organização,
podendo servir também como um guia prático de desenvolvimento de procedimentos para empresas.
Dentre as principais seções da norma, estão:
- Avaliação de risco;
- Política de segurança;
- Organização da segurança da informação;
- Gerência de recurso;
- Segurança dos recursos humanos;
- Segurança física e ambiental;
- Gerência das comunicações e das operações;
- Controle de acesso;
- Sistemas de informação, aquisição, desenvolvimento e manutenção;
- Gerência de incidentes da segurança da informação;
- Gerência da continuidade do negócio;
- Conformidade.
Bom pessoal, espero que tenham gostado.
Até a próxima galera!
o/
0 comments:
Postar um comentário