A elaboração de uma PSI é um processo evolutivo, muitas vezes demorado, de construção de políticas e regras. Esta elaboração deve envolver diversos aspectos.
1. Agentes envolvidos na segurança da informação
O processo de criação e manutenção de uma política de segurança de informações envolve algumas pessoas ou agentes, são elas:
>> Gestor da informação: é o indivíduo responsável por tomar decisões em nome da organização no que diz respeito ao uso, à identificação, à classificação e à proteção de um recurso específico da informação;
>> Custodiante: é o agente responsável pelo processamento, organização e guarda da informação;
>> Usuário: qualquer pessoa que interage diretamente com o sistema computadorizado. Um usuário autorizado com poderes para adicionar ou atualizar a informação. Em alguns ambientes, o usuário pode ser o proprietário da informação.
2. Classificação de informações
A classificação de informações é um processo crítico para a determinação dos dados que devem ser protegidos numa organização. Ela identifica os ativos de informação e os critérios adequados de proteção para cada tipo de informação. Ela tem como objetivo principal o de assegurar que os ativos da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar sua importância, a prioridade e o nível de proteção requerido.
A implementação da classificação leva em conta diversos fatores, como requisitos legais, análise de risco, análise de impacto no negócio (BIA – Business Impact Analysis), a fim de obter um valor para informação. Desta forma a informação pode ser valorada a partir de custos de aquisição/recriação da informação perdida, vantagem competitiva perdida (investimento em determinada área de pesquisa de produtos) e prejuízos advindos da perda (fórmula de um produto, lançamento de um novo produto etc.).
Um bom exemplo de uma política de classificação de informações vem do governo brasileiro, que através de decretos e leis (Lei 8.159 – Lei dos Arquivos, decretos 4.553/5.301 e Lei 11.111) implementou a seguinte classificação de documentos:
>> Ultrassecreto: máximo de trinta anos;
>> Secreto: máximo de vinte anos;
>> Confidencial: máximo de dez anos;
>> Reservado: máximo de cinco anos.
3. Política de acesso externo a instituição
Com o advento da Internet e a necessidade crescente de acesso imediato às informações corporativas, os colaboradores têm a necessidade crescente de conectividade de qualquer lugar, a qualquer hora do dia, com as empresas. Para garantir a segurança neste acesso alguns pontos de atenção devem ser obedecidos:
>> Definição de convênios com empresas de telecomunicações para acesso às bases corporativas;
>> Utilização de criptografia e certificação digital em acessos externos;
>> Auditoria de acessos;
>> Configuração de firewall.
4. Política de uso da Intranet
Informações internas que são, ou devem ser distribuídas, devem obedecer a certas regras de controle.
Algumas destas políticas seguem:
-- Divulgação via uma home-page (Intranet);
-- Criação de um modelo de distribuição de versões de software;
-- Criação de um modelo que permita identificação de pirataria;
-- Criação de um padrão de atualização de programas antivírus;
-- Estabelecimento de uma política de backup.
5. Política de uso da Internet
O acesso à Internet é hoje parte integrante das atividades de uma corporação. Contudo, esta exposição deve ser guiada por uma política específica. Segue alguns pontos importantes a serem considerados na PSI, aplicados ao acesso corporativo a Internet:
-- Forma de acesso de empregados;
-- Padronização da home-page institucional;
-- Padronização da home-page comercial;
-- Criptografia e certificação;
-- Configuração do firewall;
-- Auditoria de eventos - trilhas de auditoria.
6. Política de uso de software
Um dos grandes problemas que as empresas enfrentam atualmente é o uso de cópias não legalizadas de software, conhecidos como “softwares piratas”. A política deve prever orientações claras de como tratar aquisição de softwares. Alguns pontos de atenção mais importantes são:
>> Controle antipirataria;
>> Definição da linha mestra dos softwares utilizados por ambiente computacional – criação de contratos globais com parceiros.
7. Política de acesso físico
O acesso físico às informações é parte integrante de qualquer política de segurança. O acesso físico a computadores e servidores traz um grande perigo a continuidade operacional destes.
Pontos de atenção a constar na política:
>> Controle de acesso físico;
>> Definição de ambientes físicos de alta criticidade;
>> Monitoração de ambientes.
8. Política de acesso lógico
Tão importante quanto o acesso físico aos equipamentos, o acesso lógico deve ser preservado e monitorado. Assim, o PSI deverá conter no mínimo os seguintes itens:
-- Política de senhas e userid;
-- Definição de perfis de acesso aos ambientes e aplicativos;
-- Log de eventos mínimos nas transações: dia e hora do acesso, endereço eletrônico de quem acessou e ações executadas.
Nenhum comentário:
Postar um comentário