Políticas, Padrões e Procedimentos de segurança da informação

Olá Pessoal!

Vocês viram um pouco de segurança no post Os três pilares de segurança da informação.

No post de hoje falarei sobre: Políticas, Padrões e Procedimentos de segurança da informação . 

Vamos? o/

Muitas empresas possuem, porém muitos sequer sabe do que se trata. 

Mas O que seria uma política de segurança?

Políticas de segurança são regras que devem ser elaboradas e seguidas pelos utilizadores dos recursos de informação de uma empresa. São realizadas as atribuições de cada um em relação à segurança dos recursos com os quais trabalham.

Também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política. E tudo o que descumprir a política de segurança é considerado um incidente de segurança

Agora mais ambientados, vamos ver o que é descrito dentro do documento de política de segurança?

Existe uma estrutura normativa que divide o documento de políticas de segurança em 3 categorias:
  1. Política : Direcionada ao nível estratégico, define as regras de alto nível que representam os princípios básicos. Ela servirá como base para que as normas e os procedimentos sejam criados e detalhados;

  2.  Normas : Direcionada ao nível tático, elas especificam as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política;

  3. Procedimentos : Direcionada ao nível operacional, descreve os procedimentos que serão realizados para realizar as atividades citadas nas normas e na política.
Pode haver também a classificação da informação.  Poderá ser citado como:
  • Confidencial: Informação crítica para os negócios da organização ou de seus clientes. A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, civis e criminais à empresa ou aos seus clientes. É sempre restrita a um grupo específico de pessoas, podendo ser este composto por empregados, clientes e/ou fornecedores.
  • Interna:  Informações da empresa que ela não tem interesse em divulgar, mas cujo acesso por parte de indivíduos externos à empresa deve ser evitado. Caso esta informação seja acessada indevidamente, poderá causar danos à imagem da Organização, porém, não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por todos os empregados e prestadores de serviços.
  • Pública: Informação da empresa ou de seus clientes com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. É destinada ao público externo ou ocorre devido ao cumprimento de legislação vigente que exija publicidade da mesma.
Também é possível visualizar dentro do documento de políticas de segurança, papéis e responsabilidades.

Neste trecho do documento, são descritos as obrigações para cada tipo de colaborador. 
Válido para estagiários,aprendizes, colaboradores e prestadores de serviço.

Assim como todas as regras criadas no documento de política, existe uma penalidade para o indivíduo que não as cumpre.
Geralmente, em cada documento d epolítica de segurança existe um capítulo exclusivo para penalidades.

Neste capítulo, estão reunidas as informações sobre as violações de política, sansões e o tipo de legislação aplicada.

Para cada norma não seguida, são avaliados os riscos e à cada penalidade a empresa tomará as medidas cabíveis embasando-se no capítulo sobre penalidades.

Uma norma que pode nortear a criação do documento de políticas, padrões e procedimentos de segurança da informação é a NBR ISO/IEC 27002.

Esta norma estabelece os princípios para a gestão de segurança da informação de uma organização,
podendo servir também como um guia prático de desenvolvimento de procedimentos para empresas.

Dentre as principais seções da norma, estão:
  1. Avaliação de risco;
  2. Política de segurança;
  3. Organização da segurança da informação;
  4. Gerência de recurso;
  5. Segurança dos recursos humanos;
  6. Segurança física e ambiental;
  7. Gerência das comunicações e das operações;
  8. Controle de acesso;
  9. Sistemas de informação, aquisição, desenvolvimento e manutenção;
  10. Gerência de incidentes da segurança da informação;
  11. Gerência da continuidade do negócio;
  12. Conformidade.

Bom pessoal, espero que tenham gostado.

Até a próxima galera!
o/

Thallita Celeste

Olá! Sou Thallita, fundadora do blog ThallitaCeleste. Sou Analista de segurança, com fome de conhecimento e grande vontade de ajudar as pessoas ao redor. Aqui, tento manter meu histórico sobre diversos temas. Bem, seja Bem Vindo ao meu Blog! Espero que goste. o/

Nenhum comentário:

Postar um comentário