Network Design

A Política de Segurança, para quem ainda não está familiarizado com o assunto, é o conjunto de regras para governar a proteção que os ativos da companhia irão receber. Segundo a ISO/IEC 27002, “o objetivo da política de segurança da informação é prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes”. Uma política de segurança bem implementada possui vários aspectos, mas, podemos resumir em três:

• Redução da probabilidade de um incidente;
• Redução de danos (graves ou nenhum) causados por algum desses incidentes;
• Criação de procedimentos de recuperação de eventuais danos.

Lembrem de que a implantação das medidas e diretrizes de uma política de segurança não garante a segurança de seus ativos. Essa ideia é a precursora do caos, nunca acredite que sua empresa é impenetrável. Existem vários passos que devem ser seguidos após a implantação da política. Para Adachi (2004), a gestão da segurança pode ser dividida em três camadas: física, logica e humana:

• Segurança física tem como objetivo proteger os equipamentos que contém informações de pessoas não autorizadas e também proteger contra danos por desastres naturais ou auto infligidos.
• Segurança lógica está relacionada a acessos e tipos de privilégios que diferentes usuários possam ter. A organização é quem estabelece estas regras e protocolos.
• Segurança humana, esta é a mais difícil de avaliar os riscos e gerenciar a segurança, pois envolve o fator humano, com características psicológicas, socioculturais e emocionais, que variam drasticamente de indivíduo para indivíduo.

  O que deve constar em uma política de segurança Para começar, a instituição deve saber: de onde veio, onde está hoje e onde quer chegar. Então a primeira tarefa é definir o que deseja. Sabendo de onde veio, a instituição tem toda uma história e com ela todos os fatos ocorridos bons e maus. Com estas informações em mãos já dá para começar a desenhar a política utilizando os erros do passado para prevenções futuras. É preciso fixar os objetivos a serem atendidos claramente, definindo os recursos necessários, organizando as etapas e os prazos a serem cumpridos. Lembrem que um planejamento, mesmo que seja minucioso, no momento da execução vai apresentar arestas para serem aparadas. Como elaborar então uma política de segurança? Qual sua abrangência? A equipe deve ser grande ou pequena, com pessoas internas (treinadas) ou externas (contratadas)? Qual o perfil exigido para os profissionais responsáveis? Existem muitas questões para serem respondidas, mas, não existe nenhuma resposta clara para nenhuma pois as instituições possuem perfis diversos e devem ser analisados caso a caso. Para cada pergunta, pode surgir várias respostas. O que temos que ter em mente é que uma política de segurança envolve todos dentro da empresa, desde o porteiro até o presidente. A segurança depende da postura administrativa da empresa. As diretrizes básicas de uma política de segurança deve, pelo menos, abranger os seguintes aspectos:

• Objetivo – deve explicar rapidamente e com clareza a finalidade da política de segurança;
• A quem se destina – descrever claramente a estrutura da instituição, definir seus grupos, ocupantes, funções e quais políticas se aplicam;
• Responsabilidades – definir de forma clara os tipos de responsabilidades que envolvem o manuseio de ativos de informações, a quem ele deve ser atribuído e seus mecanismos de transferência;
• Diretivas de acesso – quem pode acessar o que, de que forma e com qual responsabilidade;
• Propriedade dos recursos – regras que regerão as propriedades de cada ativo da instituição;
• Responsabilização – quais as atitudes a serem tomadas no caso de uma ocorrência;
• Aspectos gerais – aqui deve ser descrito qualquer item que não se encaixe nos demais. Pode-se adicionar relacionamentos com outras normas que podem compor o ambiente da instituição, conceitos e definições, etc.

Lembrem-se de que a Política de Segurança da Informação tem como objetivo:

• Evitar ocorrências ou desastres;
• Detectar ou combater os danos ou sinistros;
• Minimizar o dano, devolvendo as funções/atividades originais;