Uriel Henrique Pedroso 1. Identificação dos Recursos Críticos • Sistemas de informação; • Hardware; • Dados; • Software; • Infraestrutura; • Peopleware; • Disponibilidade de Serviços; • Funcionários e Suprimentos;
Tudo aquilo que é essencial à empresa, conhecendo os requisitos para
o funcionamento e a continuidade dos serviços e processos. 2. Classificação das Informações • Confidencial (Mais alto nível de confidencialidade); • Restrito (Médio nível de confidencialidade); • Uso interno (Mais baixo nível); • Pública (Acesso geral); 3. Definição geral dos objetivos de segurança a serem atingidos; • Objetivo X Meta: Qualitativo X Quantitativo; 4. Análise das necessidades de segurança • Identificação das possíveis ameaças, análise de riscos e impactos: o Phising; o Engenharia Social; o DDoS; o Roubo de Informações; o Espionagem empresarial; 5. Elaboração de Proposta de Política • Definição a partir da coleta de informação e levantamento de questões anteriores; 6. Discussões abertas com os envolvidos • Concordância entre as partes referente ao acesso às informações e às necessidades e permissões 7. Apresentação de documentação formal • Documentação da política formal; 8 Aprovação • Revisão da política formal estipulada 9. Publicação • Publicação oficial da política documentada; 10. Divulgação • Explanação das políticas estipuladas perante todos os envolvidos em todos os níveis hierárquicos; 11. Treinamento • Conscientização e Treinamento de pessoal para cumprir as políticas estipuladas 12. Implementação • Execução contínua da política estipulada e suas possíveis penalidades quando burladas; 13. Avaliação e identificação das mudanças necessárias • Aferição da efetividade da política definida e análise dos resultados obtidos com a política de segurança. 14. Revisão • Reação conforme resultados, falhas e dificuldades encontradas.