Com o atual crescimento e expansão do uso de recursos tecnológicos e computacionais, as corporações mostram a necessidade de um padrão definido por regras e procedimentos para o uso dos mesmos afim de manter o controle e o monitoramento, visando otimizar o investimento em tecnologia e evitar gastos desnecessários devido ao uso indevido dos ativos de TI e acesso a informações não permitidas. Detectar vulnerabilidades do ambiente tecnológico e criar ações para eliminá-las são alguns dos atuais desafios dos profissionais ligados à área de segurança da informação.

Neste artigo vou descrever como formular e implementar uma política de segurança da informação de forma simples e eficiente para mantermos o controle a um nível adequado visando proteger os recursos da corporação de forma a termos um ambiente menos vulnerável e consequentemente mais seguro e produtivo, mantendo os usuários informados sobre a politica de segurança da informação.

Disseminar a política de segurança da informação é essencial, pois através dela estabelecemos padrões, responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das informações. Cada política é personalizada para cada caso, pois temos ambientes, recursos, pessoas e ações diferentes para cada modelo de negócio.

Política de Segurança da Informação (PSI)

O que é "isso" e para que serve?

Esse é um tema bastante polêmico no cenário empresarial, onde temos corporações que independentes do tamanho e porte, utilizam cada vez mais os recursos tecnológicos como um diferencial para agilizarem e ganhar eficiência nos processos, mas que se não forem utilizados de maneira controlada, acarretam em desperdício de tempo, dinheiro, credibilidade e reputação no mercado devido à falta de um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção necessária de forma a garantir os três princípios básicos da segurança da informação: confidencialidade, integridade e disponibilidade, chamada de Política de Segurança da Informação (PSI).

Sua função básica consiste em estabelecer padrões, responsabilidades e critérios, para o correto funcionamento da rotina empresarial. É extremamente recomendável a criação da política antes da ocorrência do(s) primeiro(s) incidentes relacionados à segurança da informação. Ela pode ser usada para documentar o processo de controle de qualidade e também para evitar problemas legais com o mau uso dos recursos disponíveis.

Devido a sua abrangência ela é subdividida em três blocos designados: diretrizes, normas, procedimentos e instruções, sendo destinadas às áreas estratégica, tática e operacional. A importância de expressar o valor que a empresa atribui para suas informações e disseminação da cultura organizacional são partes das diretrizes, o que é algo bem estratégico, conforme mencionado anteriormente.

Quando entramos na subdivisão tática, estamos ligados diretamente às normas, detalhamento de ambientes, situações, processos e orientações para o uso adequado do que a empresa tem de maior valor, a informação. Para uma maior eficiência deve ser baseada na versão mais atual da BS 7799 ou ISO 27001. A parte de procedimentos e instruções deverá conter o maior número de situações possíveis com o a ação correta em determinada situação.

[1] Comentário enviado por avner em 04/05/2010 - 08:57h:

Parabens,
Muito bom ,
Estas Politicas são fundamentais para o conhecimneto de um bom profissional.

[2] Comentário enviado por paulomoraes em 04/05/2010 - 12:30h:

Tentei contribuir com algo útil para utilização nas corporações, não importando o tamanho. Obrigado pela opinião.

[3] Comentário enviado por thur em 17/05/2010 - 10:08h:

Artigo essencial para todo profissional da área de TI.
Já imprimi e guardei na minha pasta.
Parabéns.

[4] Comentário enviado por jrjorro em 08/04/2012 - 10:32h:

Muito bom a explanação! Parabéns pela metodologia tb. Bem útil pra quem ta começando.