A Política de Segurança, para quem ainda não está familiarizado com o assunto, é o conjunto de regras para governar a proteção que os ativos da companhia irão receber.
Segundo a ISO/IEC 27002, “o objetivo da política de segurança da informação é prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes”.
Uma política de segurança bem implementada possui vários aspectos, mas, podemos resumir em três:
- Redução da probabilidade de um incidente;
- Redução de danos (graves ou nenhum) causados por algum desses incidentes;
- Criação de procedimentos de recuperação de eventuais danos.
- Segurança física tem como objetivo proteger os equipamentos que contém informações de pessoas não autorizadas e também proteger contra danos por desastres naturais ou auto infligidos.
- Segurança lógica está relacionada a acessos e tipos de privilégios que diferentes usuários possam ter. A organização é quem estabelece estas regras e protocolos.
- Segurança humana, esta é a mais difícil de avaliar os riscos e gerenciar a segurança, pois envolve o fator humano, com características psicológicas, socioculturais e emocionais, que variam drasticamente de indivíduo para indivíduo.
- Objetivo – deve explicar rapidamente e com clareza a finalidade da política de segurança;
- A quem se destina – descrever claramente a estrutura da instituição, definir seus grupos, ocupantes, funções e quais políticas se aplicam;
- Responsabilidades – definir de forma clara os tipos de responsabilidades que envolvem o manuseio de ativos de informações, a quem ele deve ser atribuído e seus mecanismos de transferência;
- Diretivas de acesso – quem pode acessar o que, de que forma e com qual responsabilidade;
- Propriedade dos recursos – regras que regerão as propriedades de cada ativo da instituição;
- Responsabilização – quais as atitudes a serem tomadas no caso de uma ocorrência;
- Aspectos gerais – aqui deve ser descrito qualquer item que não se encaixe nos demais. Pode-se adicionar relacionamentos com outras normas que podem compor o ambiente da instituição, conceitos e definições, etc.
- Evitar ocorrências ou desastres;
- Detectar ou combater os danos ou sinistros;
- Minimizar o dano, devolvendo as funções/atividades originais;