Escolar Documentos
Profissional Documentos
Cultura Documentos
AULA 3
Introdução
A Política de Segurança da Informação de uma
organização é um conjunto de documentos que
descrevem quais são os objetivos que todas as
atividades ligadas a SI na organização devem
trabalhar para atingir.
As políticas servem como linha mestra de todas as
atividades de SI que são desempenhadas em uma
organização e são de extrema importância pois é
através delas que a estratégia de Si é montada e
passada para todas as áreas envolvidas.
Quem fará uso da Política
Colaboradores
Gerência
Técnicos
Profissionais de Segurança
Quando devem ser desenvolvidas
Antes que um problema de segurança ocorra
Outros casos
◼ Redução de Riscos – desenvolver políticas é uma forma de conhecer esses
riscos e trazê-los para dentro de patamares aceitavéis.
◼ Conformidade – o processo de conformidade com marcos legais e
regultatórios pode muitas vezes exigir o desenvolvimento de políticas.
Como devem ser desenvolvidas
Comece pelo mais importante: os objetivos!
Determine quais são os pontos prioritários
◼ Análise de Risco
Defina a força de trabalho
◼ Interna, externa ou mista
◼ Montar com comitê com pelo menos uma pessoa de cada área
(pessoas chave) que irão disseminar as informações na
corporação.
A política de segurança trabalha como viabilizador estratégico para objetivos maiores
que estão alinhados as necessidades de negócio de cada organização. Descobrir quais
são estes objetivos e desenvolver o documento tendo em mente que eles devem ser
atingidos e perseguidos é a melhor forma de desenvolver a políticas de forma eficaz.
Necessidades
O primeiro passo para montar uma política de
sucesso é, uma vez identificados os seus objetivos,
proceder também com a identificação dos ativos
mais relevantes ao alcance desses objetivos.
O que deve ser protegido?
Hardware
Software
Infraestrutura
Pessoas
Outros ativos
De quem estamos protegendo?
Agentes Internos
◼ Colaboradores descontentes
◼ Fraudes
Agentes Externos
◼ Crackers
◼ Espionagem
Bugs e erros
Eventos Naturais
◼ Tempestades, raios, etc..
Pontos a serem contemplados
Manuseio de informações
Licenciamento de software
Backups
Propriedade Intelectual
Resposta a incidente
Investigação e perícia
Acesso a Internet