Sabemos que o planejamento é fator crítico de sucesso e também
responsável pela iniciativa de gerir a segurança da informação e a
elaboração de um plano diretor de segurança. Mais do que um plano
destinado a prover a organização de orçamento para investimentos
tecnológicos, o planejamento tem de ser dinâmico e flexível para
suportar as novas necessidades de segurança que surgem à medida que a
organização cresce e se desenvolve.

Uma boa diretriz de segurança para um sistema refere-se a ameaças. A
diretriz de segurança oferece uma estrutura para selecionar e
implementar contramedidas contra as ameaças. Um dos benefícios mais
imediatos é que a partir do momento em que uma diretriz é escrita, ela força
todos a segui-la.

Política de segurança, de acordo com Beal (2005, p. 43), é o documento
que registra os princípios e as diretrizes de segurança adotados pela
organização, os quais devem ser observados por todos os seus integrantes
e colaboradores e aplicados a todos os sistemas de informação
organizacionais.

Para Campos (2006, p. 100), o principal objetivo da política de
segurança é estabelecer um padrão de comportamento que sirva como base
para decisões da alta administração em assuntos relacionados à
segurança. Ela é composta por um conjunto de regras e padrões que visam
principalmente assegurar que as informações e serviços importantes para a
empresa recebam proteção, de forma a garantir a confidencialidade,
a integridade e a disponibilidade das informações.

A Política de Segurança
define o conjunto de normas, de métodos e de procedimentos utilizados para a
manutenção da segurança da informação, devendo ser formalizada e
divulgada a todos os usuários que fazem uso dos ativos de informação.

É importante ressaltar que as políticas, as normas e os procedimentos de
segurança da informação devem ser:

• simples;
• compreensíveis (escritas de maneira clara e concisa);
• homologadas e assinadas pela alta administração;
• elaboradas de forma a permitir a sua implantação por fases;
• alinhadas com as estratégias de negócio da empresa,
• em consonância com os padrões e com os procedimentos já existentes;
• flexíveis o bastante para acompanhar a constante evolução da
  tecnologia e dos negócios da empresa;
• um instrumento de incentivo à ação de segurança, priorizando os ativos
  de maior valor e de maior importância;
• positivas e não apenas concentradas em ações proibitivas ou punitivas.

Qual a abrangência da política de segurança?

Uma política de segurança deve alcançar vários setores da organização. Para entendermos alguns outros benefícios
alcançados, podemos desmembrar a segurança em quatro grandes aspectos:

01. Segurança computacional

Conceitos e técnicas utilizados para
proteger o ambiente informatizado contra eventos inesperados que possam
causar qualquer prejuízo.

02. Segurança Lógica

Procedimentos e recursos para prevenir
acesso não autorizado, dano e interferência nas informações e
instalações físicas da organização.

03. Continuidade de negócios

Estrutura de procedimentos para
reduzir, em um nível aceitável, o risco de interrupção ocasionada por
desastres ou por falhas por meio da combinação de ações de prevenção e
de recuperação.

04. Tempo

É importante observar que os valores agregados à
organização com a implementação de política e seus benefícios precisam
de um tempo para maturação, mas, como dito anteriormente, alguns já são
atingidos assim que a política é colocada em prática, outros podem ser
divididos conforme Ferreira e Araújo (2006) em:

Curto Prazo:

•     Formalização e documentação dos procedimentos de segurança adotados
  pela empresa.
•     Implementação de novos procedimentos e de controles.
•     Prevenção de acessos não autorizados, danos ou interferência no
  andamento dos negócios, mesmo nos casos de falhas ou de desastres.
•     Maior segurança nos processos do negócio.

Médio Prazo

•     Padronização dos procedimentos de segurança incorporados na rotina
  da empresa.
•     Adaptação segura de novos processos do negócio.
•     Qualificação e quantificação dos sistemas de resposta a incidentes.
•     Conformidade com os padrões de segurança, como a NBR ISO/IEC 17799.

Longo Prazo

•     Retorno sobre o investimento realizado por meio da redução da
  incidência de problemas relacionados à segurança.
•     Consolidação da imagem associada à Segurança da Informação.

Exemplos de Políticas de Segurança

• A qualidade de nossos serviços é um bem de valor inestimável e de
  fundamental importância para nossa empresa. A continuidade de nossos
  negócios, operando com qualidade e competitividade depende da
  confidencialidade, da integridade e da disponibilidade de nossos ativos.
• Os gestores de TI são responsáveis pela proteção dos ativos de TI, bem
  como pela autorização de seu uso, recebimento, processamento,
  armazenamento e transmissão das informações derivadas desses ativos.
• Todos os colaboradores, bem como todos os prestadores de serviço e
  consultores, devem entender suas obrigações e principalmente implementar
  procedimentos de segurança da informação.
• A área de segurança deve ser imediatamente comunicada sobre qualquer
  incidente de segurança, a fim de que possa tomar as devidas
  providências.
•  
  Essa política é valida a partir de 09/09/1999.

Independentemente do tamanho da organização, e como forma de contribuir
com esse planejamento, a NBR/ISO 17799 relaciona como principais fontes
para a identificação dos requisitos de segurança os seguintes tópicos:

• Avaliação de risco dos ativos da organização – para
  identificação das ameaças, probabilidade de ocorrência e
  vulnerabilidades e estimativa do impacto potencial associado.
• Legislação vigente – estatutos e cláusulas contratuais a que a
  organização tem de atender.
• Conjunto de princípios – visão, missão, objetivos e requisitos
  de processamento da informação organizacional

Conclusão

É importante salientar que para a organização obter sucesso na
construção de normas e diretrizes, tem-se de levar em consideração que,
após sua implementação, deverão ficar evidenciados os seguintes aspectos:

• O envolvimento e o comprometimento da alta administração com relação à
  segurança da informação.
• O entendimento de todos os colaboradores de que a informação é um dos
  ativos mais importantes da organização.
• A formalização da responsabilidade de todos os colaboradores da
  empresa sobre a salvaguarda dos recursos da informação.
• O estabelecimento de padrões para a manutenção da segurança da
  informação, visando tornar fácil sua revisão e adequação sempre que
  necessário.

Convencer a alta administração de que a política de segurança, sendo ela
dispendiosa ou não, é importante na identificação das vulnerabilidades e
na prevenção de danos à organização é uma variável que não pode ser
desprezada por parte dos profissionais de segurança. E a Política da
Segurança, por mais eficiente e eficaz que pareça, sempre deixará um
risco residual.