Pesquisar neste blog

sexta-feira, 26 de agosto de 2011

Desenvolvimento da PSI (Política de Segurança da Informação)

Olá queridos leitores, uma premissa clara no desenvolvimento da PSI é que se deve entender claramente o que proteger, identificando ativos e definindo objetivos e de quem proteger e o pontos de preocupação que podem danificar os ativos.

O que proteger?

Definição e identificação do ativo de informação, obtido, por exemplo, via análise de risco.

De quem proteger?

Organizações diferentes têm necessidades diferentes. Dependendo do ramo de atividade, a preocupação pode ser fraude ou espionagem. Outras preocupações comuns dizem respeito à localização – enchentes, invasões. Existe também um ramo de negócios – comércio eletrônico – cujas preocupações são com fraude eletrônica.

Alguns pontos contemplados na elaboração de uma PSI são:

• manuseio de informações,
• licenciamento de programas (software),
• processos de backups/recuperação,
• propriedade intelectual,
• respostas a incidentes,
• investigação e perícia forense,
• acesso à internet e uso do correio eletrônico (e-mail).

Além de cumprir os requisitos legais observando questões legais, novo Código Civil, Lei da S/As, Sarbanes-Oxley, questões regulatórias, agências reguladoras, Banco Central e CVM.

Quando se desenvolve uma PSI, de fato a preocupação está em evitar e tratar ameaças à segurança das informações no ambiente corporativo. Estas ameaças dizem respeito aos três itens já mencionados: integridade, disponibilidade e confidencialidade.


Veja alguns exemplos de ameaças tratadas por uma PSI:

• Relativos à integridade:
  >> Ameaças ambientais, como enchentes, incêndios, tempestades;
  >> Erros humanos, fraudes e erros de processamentos.

• Relativos à disponibilidade:
  >> Falhas em sistemas ou nos diversos ambientes computacionais.

• Relativos à confidencialidade:
  >> Divulgação da informação, premeditada ou acidentalmente;
  >> Alteração da informação premeditada ou acidental.


Tipos de Documentos

Apesar de ser um documento único, uma PSI é constituída de diferentes tipos de documentos, classificados segundo sua função:

• Um que define estratégia adotada > a política.
• Um segundo que define a tática a ser usada > a norma.
• Um terceiro que descreve as tarefas operacionais a serem utilizadas > o procedimento.

Veja alguns exemplos:

Política: somente é permitido o uso de software homologado na empresa;

Norma: Segurança, Lógica/ Acesso remoto - O acesso remoto deve ser controlado através do registro em arquivo de Log;

Procedimento: para executar o backup do servidor de correio, entrar como administrador no servidor, selecionar opção xyz.



Fatores importantes na elaboração do PSI

Existem vários fatores a se contemplar na elaboração de uma PSI. Alguns destes fatores são problemas de TI discutidos durantes anos. Outros envolvem alta quantidade de dinheiro e, por isto, estão em voga. Alguns destes fatores são:

1. Como lidar com a questão de propriedade intelectual;
2. Definir a forma de manuseio de informações;
3. Licenciamento de software;
4. Política de backups e recuperação dos dados;
5. Respostas a incidentes;
6. Investigação e perícia forense;
7. Acesso à internet e uso do correio eletrônico.



Nenhum comentário: