DevSecOps

11 out, 2010

Benefícios alcançados com a política de segurança

Publicidade

Sabemos que o planejamento é fator crítico de sucesso e também
responsável pela iniciativa de gerir a segurança da informação e a
elaboração de um plano diretor de segurança. Mais do que um plano
destinado a prover a organização de orçamento para investimentos
tecnológicos, o planejamento tem de ser dinâmico e flexível para
suportar as novas necessidades de segurança que surgem à medida que a
organização cresce e se desenvolve.

Uma boa diretriz de segurança para um sistema refere-se a ameaças. A
diretriz de segurança oferece uma estrutura para selecionar e
implementar contramedidas contra as ameaças. Um dos benefícios mais
imediatos é que a partir do momento em que uma diretriz é escrita, ela força
todos a segui-la.

Política de segurança, de acordo com Beal (2005, p. 43), é o documento
que registra os princípios e as diretrizes de segurança adotados pela
organização, os quais devem ser observados por todos os seus integrantes
e colaboradores e aplicados a todos os sistemas de informação
organizacionais.

Para Campos (2006, p. 100), o principal objetivo da política de
segurança é estabelecer um padrão de comportamento que sirva como base
para decisões da alta administração em assuntos relacionados à
segurança.
Ela é composta por um conjunto de regras e padrões que visam
principalmente assegurar que as informações e serviços importantes para a
empresa recebam proteção, de forma a garantir a confidencialidade,
a integridade e a disponibilidade das informações.

A Política de Segurança
define o conjunto de normas, de métodos e de procedimentos utilizados para a
manutenção da segurança da informação, devendo ser formalizada e
divulgada a todos os usuários que fazem uso dos ativos de informação.

É importante ressaltar que as políticas, as normas e os procedimentos de
segurança da informação devem ser:

  • simples;
  • compreensíveis (escritas de maneira clara e concisa);
  • homologadas e assinadas pela alta administração;
  • elaboradas de forma a permitir a sua implantação por fases;
  • alinhadas com as estratégias de negócio da empresa,
  • em consonância com os padrões e com os procedimentos já existentes;
  • flexíveis o bastante para acompanhar a constante evolução da
    tecnologia e dos negócios da empresa;
  • um instrumento de incentivo à ação de segurança, priorizando os ativos
    de maior valor e de maior importância;
  • positivas e não apenas concentradas em ações proibitivas ou punitivas.

Qual a abrangência da política de segurança?

Uma política de segurança deve alcançar vários setores da organização. Para entendermos alguns outros benefícios
alcançados, podemos desmembrar a segurança em quatro grandes aspectos:

01. Segurança computacional

Conceitos e técnicas utilizados para
proteger o ambiente informatizado contra eventos inesperados que possam
causar qualquer prejuízo.

02. Segurança Lógica

Procedimentos e recursos para prevenir
acesso não autorizado, dano e interferência nas informações e
instalações físicas da organização.

03. Continuidade de negócios

Estrutura de procedimentos para
reduzir, em um nível aceitável, o risco de interrupção ocasionada por
desastres ou por falhas por meio da combinação de ações de prevenção e
de recuperação.

04. Tempo

É importante observar que os valores agregados à
organização com a implementação de política e seus benefícios precisam
de um tempo para maturação, mas, como dito anteriormente, alguns já são
atingidos assim que a política é colocada em prática, outros podem ser
divididos conforme Ferreira e Araújo (2006) em:

Curto Prazo:

  •     Formalização e documentação dos procedimentos de segurança adotados
    pela empresa.
  •     Implementação de novos procedimentos e de controles.
  •     Prevenção de acessos não autorizados, danos ou interferência no
    andamento dos negócios, mesmo nos casos de falhas ou de desastres.
  •     Maior segurança nos processos do negócio.

Médio Prazo

  •     Padronização dos procedimentos de segurança incorporados na rotina
    da empresa.
  •     Adaptação segura de novos processos do negócio.
  •     Qualificação e quantificação dos sistemas de resposta a incidentes.
  •     Conformidade com os padrões de segurança, como a NBR ISO/IEC 17799.

Longo Prazo

  •     Retorno sobre o investimento realizado por meio da redução da
    incidência de problemas relacionados à segurança.
  •     Consolidação da imagem associada à Segurança da Informação.

Exemplos de Políticas de Segurança

  • A qualidade de nossos serviços é um bem de valor inestimável e de
    fundamental importância para nossa empresa. A continuidade de nossos
    negócios, operando com qualidade e competitividade depende da
    confidencialidade, da integridade e da disponibilidade de nossos ativos.
  • Os gestores de TI são responsáveis pela proteção dos ativos de TI, bem
    como pela autorização de seu uso, recebimento, processamento,
    armazenamento e transmissão das informações derivadas desses ativos.
  • Todos os colaboradores, bem como todos os prestadores de serviço e
    consultores, devem entender suas obrigações e principalmente implementar
    procedimentos de segurança da informação.
  • A área de segurança deve ser imediatamente comunicada sobre qualquer
    incidente de segurança, a fim de que possa tomar as devidas
    providências.
  •  
    Essa política é valida a partir de 09/09/1999.

Independentemente do tamanho da organização, e como forma de contribuir
com esse planejamento, a NBR/ISO 17799 relaciona como principais fontes
para a identificação dos requisitos de segurança os seguintes tópicos:

  • Avaliação de risco dos ativos da organização – para
    identificação das ameaças, probabilidade de ocorrência e
    vulnerabilidades e estimativa do impacto potencial associado.
  • Legislação vigente – estatutos e cláusulas contratuais a que a
    organização tem de atender.
  • Conjunto de princípios – visão, missão, objetivos e requisitos
    de processamento da informação organizacional

Conclusão

É importante salientar que para a organização obter sucesso na
construção de normas e diretrizes, tem-se de levar em consideração que,
após sua implementação, deverão ficar evidenciados os seguintes aspectos:

  • O envolvimento e o comprometimento da alta administração com relação à
    segurança da informação.
  • O entendimento de todos os colaboradores de que a informação é um dos
    ativos mais importantes da organização.
  • A formalização da responsabilidade de todos os colaboradores da
    empresa sobre a salvaguarda dos recursos da informação.
  • O estabelecimento de padrões para a manutenção da segurança da
    informação, visando tornar fácil sua revisão e adequação sempre que
    necessário.

Convencer a alta administração de que a política de segurança, sendo ela
dispendiosa ou não, é importante na identificação das vulnerabilidades e
na prevenção de danos à organização é uma variável que não pode ser
desprezada por parte dos profissionais de segurança. E a Política da
Segurança, por mais eficiente e eficaz que pareça, sempre deixará um
risco residual.