Escolar Documentos
Profissional Documentos
Cultura Documentos
Dessa forma, é importante que a PSI seja definida com base nos objetivos estratégicos da
empresa, garantindo que a informação seja preservada e isenta de riscos de divulgação indevida.
A PSI deve estar sempre alinhada aos intentos corporativos da organização, a partir dos quais são
definidos os objetivos da segurança da informação, que devem ter como principal aspecto a
continuidade de negócios em relação ao uso da informação.
fundamental que existam uma política principal em nível estratégico e outras políticas agregadas a
ela, bem como documentos ou normas subsidiárias direcionados a temas específicos, ligados ao
objetivo principal da organização. Todos esses documentos acabam criando um conjunto de
normas que deve:
6 permitir o uso em questões legais, em acordos e contratos, no dia a dia das pessoas que
participam da organização e nas negociações com o mercado;
7 definir padrões;
8 auxiliar na conscientização dos colaboradores.
Para que a segurança da informação tenha relevância e seja seguida e respeitada pela
organização, é necessário considerar alguns pontos importantes, a saber:
A política deve expressar a verdade, ou seja, ser viável para implementação, para que o que
estiver definido em seu documento seja seguido não somente pelos funcionários, mas também
pelos líderes, como exemplo aos demais.
Não se podem definir, em uma política ou norma, requisitos impossíveis de serem atendidos. Após
a implementação da política, devem ser implementadas algumas ações que a levem ao
conhecimento dos usuários. Dessa forma, é necessário que:
- Exista um processo que garanta que essa política e os demais regulamentos de segurança
estejam sempre atualizados.
Nesse sentido, as áreas de negócios devem apoiar a área de tecnologia na difusão da Política de
Segurança da Informação entre todos os seus grupos e equipes, com participações em eventos
de disseminação e conscientização para a divulgação de seu modelo. A área de TI é a res-
ponsável por criar as regras a serem aplicadas no âmbito da segurança aos ativos de TI, assim
como monitorar o seu cumprimento.
2. Realize uma avaliação de risco para determinar o nível necessário de segurança para proteger seus
ativos.
3. Crie uma lista de verificação para tornar todos conscientes dos pontos fortes e fracos de segurança.
4. Realize uma avaliação, analise suas conclusões e discuta recomendações para corrigir as
deficiências e/ou melhorar a segurança com a administração departamental e a equipe de TI.
5. Desenvolva o seu plano de segurança, criando um projeto para implementação com prazos
definidos.
Papéis e responsabilidades
Algumas empresas buscam o desenvolvimento individual, outras preferem trabalhar em grupo ou,
ainda, aprender a partir de uma ferramenta de autoaprendizado, sempre com base em políticas,
normas e procedimentos criados para sustentar a cultura organizacional, conforme sistematizado
na figura 1.
Toda a empresa deve seguir esses parâmetros, cabendo aos líde-res serem os patrocinadores da
mudança de cultura pelo exemplo, evitando descumprir as regras voltadas à proteção das
informações de negócio.
É preciso identificar todos os ativos, os quais podem estar dispostos em várias formas, como
segue:
A partir desse ponto é necessário, com vistas a priorizar os ativos de maior valor, estabelecer uma
estratégia para a implementação de controles para sua proteção.
Comunicação e treinamento
Desde o momento em que ocorre, o incidente é reportado de forma on-line, depois é classificado e
investigado por meio da coleta de dados e, em seguida, é apresentada uma solução; uma vez
aprovada, a solução é testada e implementada. No fim do processo, são produzidos relatórios
para acompanhamento das áreas envolvidas, e indicadores podem ser gerados para que a
diretoria esteja ciente dos problemas que ocorrem na infraestrutura de tecnologia da empresa.
Em uma descrição simples, o acordo de nível de serviço, também conhecido como Service Level
Agreement (SLA), é definido como o prazo máximo em que a TI deve resolver e encerrar um
incidente, destacando que esse prazo é definido em negociação com as áreas usuárias.
Notificação de eventos de SI
Notificação da escalação
Sempre que um caso é escalado, a notificação é distribuída para vários indivíduos ou grupos,
dependendo da prioridade do incidente. Seguindo regras básicas para notificações, pode-se
afirmar que:
- O mecanismo-padrão para notificação poderá ser o e-mail, que, em geral, é gerenciado por uma
ferramenta que faz todo o controle do tempo de escalação previamente configurado;
- O e-mail também serve para escalar para outros níveis que, normalmente, não fazem parte do
fluxo comum de escalonamento, e são evitados justamente pelo potencial alto fluxo de e-mails
gerados;
- A escalação ou notificação por telefone é a mais indicada. Todos os números de contatos das
pessoas-chave na resolução do incidente devem ser registrados em uma tabela ou planilha para o
conhecimento e acesso de todos, em caso de necessidade;
- O contato da diretoria ou de gerentes em nível sênior deve incluir o CIO (Chief Information
Officer), o CTO (Chief Technology Officer) e todos os gerentes funcionais. A escalação de um caso
não retira a responsabilidade individual do encarregado pela resolução do incidente. Quando
outras pessoas são envolvidas, elas são adicionadas como partes interessadas.
A qualquer tempo, um caso pode ser escalado, e o registro será atualizado para que se saiba quais
pessoas estão cientes do incidente, sendo que as notificações serão realizadas pelo service desk.
Quanto às notificações, podemos classificá-las em três tipos:
Coleta de evidências
A coleta de evidências é feita por meio de ferramentas usadas para examinar essas informações e
fornecer relatórios capazes de auxiliar no monitoramento e na análise dos incidentes. As
evidências devem ser coletadas de acordo com os procedimentos que atendam integralmente às
leis e aos regulamentos aplicáveis, sempre com o apoio da área jurídica. Sempre que uma
evidência é transferida de pessoa para pessoa, há uma cadeia de custódia. Deve-se ter um
registro detalhado a ser mantido para todos, destacando cada passo dessa evidência, se seu fim
for para uso legal.
Monitoração e indicadores
Gestão de ativos
Todos os ativos devem ser claramente identificados, e um inventário dos mais importantes deverá
ser compilado e mantido. Consideram-se, para esse controle, as seguintes ações:
O proprietário do ativo será aquele a quem se atribuirá a responsabilidade por sua proteção,
devendo efetuar as seguintes ações:
Todos os funcionários, fornecedores e terceiros devem seguir as regras para uso permitido de
ativos e informações de ativos associados aos recursos de processamento da informação. As
regras desenvolvidas para esse padrão são, basicamente:
• Solicitar a todos os funcionários, fornecedores e terceiros que sigam as regras para o uso
aceitável de recursos de informação e informações associadas a instalações de
processamento, incluindo:
• Regras de uso de correio eletrônico e de internet;
• Diretrizes para o uso de dispositivos móveis, especialmente para o uso fora das
instalações da organização;
• Regras ou orientações específicas relevantes, fornecidas pela administração.
A devolução de ativos deve ser feita por todos os funcionários, fornecedores e terceiros após o
encerramento de suas atividades, do contrato ou do acordo. Em geral, as empresas fazem com
que os usuários assinem um termo de responsabilidade, com referências à política de segurança
da informação, reforçando a importância do uso correto e da responsabilidade de devolver o
equipamento com as devidas condições após o uso do ativo.
Toda empresa que tem algum tipo de processo de desenvolvimento na sua estrutura deve definir e
implementar uma política de desenvolvimento seguro. Nesse sentido, alguns requisitos devem ser
considerados:
Os projetos de desenvolvimento devem ser orientados para os resultados. Cada equipe deve ter
flexibilidade suficiente para adotar ferramentas e práticas que possam melhorar a sua capacidade
de entrega enquanto os resultados satisfazem os critérios de governança e seguem o processo
global de desenvolvimento.
Gestão de patches