Definição:
Segurança da Informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar os riscos ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
Toda empresa deve por obrigação ter uma política de segurança muito bem elaborada e embasada nas leis e principalmente na ISO 27002.
Pensando nisso, segue algumas dicas para quem ainda não tem uma política de segurança da informação criada, mas, pretende implantar:
A INFORMAÇÃO
Considerada hoje o patrimônio mais caro de uma empresa, a informação pode existir de várias formas e modelos, escrita em papel, armazenada e transmitida por meios eletrônicos, exibida em filmes ou falada em conversas formais e informais, armazenadas em servidores, etc, seja qual for a forma em que a informação se apresente, ela deverá sempre estar protegida adequadamente.
O OBJETIVO
O Gestor da área de Segurança da Informação, deve estabelecer:
Ativos – Qualquer coisa que tenha valor para a organização [ISSO/IEC 13335-1:2004]
Controles – forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.
Nota: Controle é também usado como um sinônimo para proteção ou contramedida
Diretrizes – Descrição que orienta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos nas políticas [ISO/IEC 13335-1:2004]
Segurança da Informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar os riscos ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
Toda empresa deve por obrigação ter uma política de segurança muito bem elaborada e embasada nas leis e principalmente na ISO 27002.
Pensando nisso, segue algumas dicas para quem ainda não tem uma política de segurança da informação criada, mas, pretende implantar:
A INFORMAÇÃO
Considerada hoje o patrimônio mais caro de uma empresa, a informação pode existir de várias formas e modelos, escrita em papel, armazenada e transmitida por meios eletrônicos, exibida em filmes ou falada em conversas formais e informais, armazenadas em servidores, etc, seja qual for a forma em que a informação se apresente, ela deverá sempre estar protegida adequadamente.
O OBJETIVO
O Gestor da área de Segurança da Informação, deve estabelecer:
Ativos – Qualquer coisa que tenha valor para a organização [ISSO/IEC 13335-1:2004]
Controles – forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.
Nota: Controle é também usado como um sinônimo para proteção ou contramedida
Diretrizes – Descrição que orienta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos nas políticas [ISO/IEC 13335-1:2004]
Com as definições acima bem elaboradas, é possível melhorar muito qualquer sistema de processamento da informação, serviço ou infra-estrutura, ou as instalações físicas que os abriguem e garantir uma melhoria significativa na Segurança da Informação garantindo a preservação da confidencialidade, da integridade e da disponibilidade da informação, adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.
A POLÍTICA DE SEGURANÇA
Esta deve conter intenções e diretrizes globais formalmente expressas pela direção.
Uma análise/avaliação de riscos deve ser feita para se compreender melhor os riscos que a empresa pode ser exposta.
Para cada risco analisado e determinado, uma ação imediata deve ser planejada e programada para ser executada quando este determinado risco ocorrer. A intenção é ser pró-ativo e não deixar que tal situação ocorra, mas…
As diretrizes para a implementação da política, deve ser aprovada pela direção, contanto, deve-se ter uma declaração de comprometimento da direção assinada.
Sem o comprometimento inicial da direção, a política de segurança é somente um documento que acabará ficando no esquecimento.
OBS: A gestão da segurança da informação requer pelo menos a participação de todos os funcionários da organização.
Pessoal, isto é apenas uma migalha em se falando de segurança da informação. Para se criar uma política de segurança da informação é preciso muito empenho e conhecimento. Espero ter conseguido passar pelo menos uma noção quanto a este assunto.
Abraço a todos e boa sorte.<\div>
A POLÍTICA DE SEGURANÇA
Esta deve conter intenções e diretrizes globais formalmente expressas pela direção.
Uma análise/avaliação de riscos deve ser feita para se compreender melhor os riscos que a empresa pode ser exposta.
Para cada risco analisado e determinado, uma ação imediata deve ser planejada e programada para ser executada quando este determinado risco ocorrer. A intenção é ser pró-ativo e não deixar que tal situação ocorra, mas…
As diretrizes para a implementação da política, deve ser aprovada pela direção, contanto, deve-se ter uma declaração de comprometimento da direção assinada.
Sem o comprometimento inicial da direção, a política de segurança é somente um documento que acabará ficando no esquecimento.
OBS: A gestão da segurança da informação requer pelo menos a participação de todos os funcionários da organização.
Pessoal, isto é apenas uma migalha em se falando de segurança da informação. Para se criar uma política de segurança da informação é preciso muito empenho e conhecimento. Espero ter conseguido passar pelo menos uma noção quanto a este assunto.
Abraço a todos e boa sorte.<\div>