Política de segurança da informação
Uma política de segurança da informação (PSI) ou política de segurança das informações e comunicações (PoSIC) tem por objetivo possibilitar o gerenciamento da segurança de informação em uma organização, estabelecendo regras e padrões para proteção da informação. A política possibilita manter a confidencialidade, garantir que a informação não seja alterada ou perdida e permitir que a informação esteja disponível quando for necessário. É um elemento essencial para o sucesso de um SGSI (Sistema de Gestão de Segurança da Informação).
A segurança da informação procura proteger diferentes tipos de ameaças para garantir a continuidade dos negócios, reduzir riscos e busca a maximização dos retornos em investimentos e ampliação das oportunidades de negócios.
O conteúdo da política de segurança da informação varia. Entre as organizações, dependendo de seu grau de informatização, de mercado, requisitos de segurança, etc. No entanto, uma política de segurança da informação geralmente inclui a definição de segurança da Informação, seus objetivos e o que compõe. Confia no compromisso da alta administração, define os procedimentos de controle de segurança da informação a serem implementados, como o uso de senhas, as responsabilidades dessa política e as penalidades de sua violação.
Política de segurança da informação é a padronização das normas obrigatórias a fim de manter o controle do comportamentos dos envolvidos para garantir a proteção e as informações da organização. Se tornando semelhante ao Direito, as leis possuem em si definição semelhante as políticas de segurança da informação, e para a avaliação de eficiência e eficácia de uma PSI, quanto a manutenção comportamental, é indicado uma adaptação das teorias de análise comportamental do Direito.
Seu processo de implantação deve resultar na documentação dos procedimentos e sua padronização, também suas ferramentas e técnicas utilizadas. Criando assim indicadores, registros e definindo um processo de conscientização.
Os controles devem ser definidos levando em conta as características de cada empresa, definindo o que é permitido e o que é proibido. A implantação, para ser bem sucedida, deve partir da diretoria da empresa para os demais funcionários (abordagem top down). A política deve ser divulgada para todos os funcionários da organização, de forma a manter a segurança das informações.
Um método importante de avaliar em segurança da informação o quanto o comportamento de seu profissional é seguro ou perigoso aos dados e ativos de uma empresa leva em conta[1];
- a susceptibilidade a ameaças por parte do funcionário;
- a severidade das ameaças que ele possa vir a receber;
- a certeza da detecção por parte da POSIC;
- a severidade da punição;
- o esforço de salvaguarda;
- a satisfação do funcionário.
Norma ISO/IEC TR 13335
editarA norma ISO/IEC é um exemplo de uma norma de técnicas muito utilizada para gestão de segurança na área de tecnologia da informação. Ela é utilizada junto de outras normas como a BS 7799-2, sendo essa uma norma que sugere quais os processos devam ser implementados. Dentre suas técnicas estão a criação de um comitê multidisciplinar que se reúna para avaliar os níveis aceitáveis de risco e cobrança e uma lista extensa de contramedidas em diferentes situações.
Papéis envolvidos
editarAs atividades que devem ser executadas para implantar a PoSIC devem ser realizadas por pessoas, grupos de trabalho e setores representados por papéis. Os papéis executam as ações identificadas pelas práticas envolvidas no processo, as quais apresentam alguma atividade durante a implantação da PoSIC. Um papel possui um conjunto de atribuições e/ou responsabilidades sobre as atividades do processo, ou seja, representam as funções a serem desempenhadas pelos profissionais envolvidos. Os principais papeis envolvidos são[2]:
Comitê de Segurança da Informação: formado por pessoas das áreas finalísticas e da TI com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações no âmbito da organização. É sugerido que tais pessoas adquiram conhecimentos satisfatórios em segurança da informação.
Comitê de Tecnologia da Informação: formado por representantes das áreas finalísticas e da TI e tem a prerrogativa de dirigir o alinhamento das ações e dos investimentos para o alcance dos objetivos estratégicos da organização, bem como priorizá-los, além de avaliar os resultados do desempenho da TI.
Autoridade Máxima: membro da alta administração no nível hierárquico mais elevado da organização. A Autoridade Máxima é o principal patrocinador da PoSIC.
Gestor de Segurança da Informação: é o servidor responsável pelas ações de segurança da informação e comunicações no âmbito da organização;
Grupo de trabalho: constituído por representantes dos diferentes setores da organização especificamente para elaboração da PoSIC;
Servidores em geral: pessoas de qualquer setor pertencente ao quadro de servidores da organização.
Criação de uma PoSIC
editarPara a definição de uma política de segurança de informação é necessário que o comitê de segurança que irá definir as políticas siga as normas e padrões, como ISO/IEC TR 13335 e as RFC's 2196 e 2828. As políticas devem especificar a regulamentação, as responsabilidades e possíveis penalidades do descumprimento da mesma. Uma política de informação não é estática e pode sofrer alterações com o tempo e seus resultados devem ser analisados após um certo período de avaliação. É imprescindível que as políticas sejam respeitadas por todo ambiente organizacional para que sejam resguardados os princípios da segurança da informação: confidencialidade, integridade, disponibilidade e autenticidade.[3]
A criação de uma PoSIC segue os seguintes passos:
- Formação do comitê
- Identificação das informações
- Descrição dos objetivos
- Análise de segurança
- Criação do escopo da política
- Discussão com os afetados (colaboradores) pela política:
- Documentação
- Aprovação da política
- Implementação
Após a aprovação de uma política é efetuada deve-se conscientizar todo o ambiente a qual ela afeta a fim de garantir sua efetividade. O comitê que é criado na primeira etapa possui a responsabilidade da gestão da política em questão, precisa seguir as normas e acompanhar todas as fases de implementação da PoSIC. Na fase de implementação da PoSIC se torna vital a divulgação e a conscientização de todos os colaboradores acerca da importância na Organização.
Políticas nacionais
editarPolítica Nacional de Segurança da Informação (Brasil)
editarEm dezembro de 2018, no final do governo Michel Temer, através do Decreto nº 9.637, foi publicada a Política Nacional de Segurança da Informação (PNSI), que contém princípios e diretrizes que orientam a atuação dos gestores públicos federais sobre segurança da informação, e também atualiza as normas contidas na Política de Segurança da Informação publicada em junho de 2000 (Decreto nº 3.505) durante o governo Fernando Henrique Cardoso.[4]
Foram definidos dezesseis princípios para regirem as políticas de segurança da informação no Brasil, entre eles a soberania nacional, o respeito aos direitos humanos, e a cooperação entre diversos órgãos no campo da segurança da informação.[5]
Como instrumentos da PNSI, ficaram definidos a Estratégia Nacional de Segurança da Informação (E-Ciber) e os planos nacionais, que detalham o planejamento e a execução das ações e objetivos definidos pela E-Ciber.[6]
Além disso, a PNSI instituiu o Comitê Gestor da Segurança da Informação (CGSI), com o objetivo de assessorar o Gabinete de Segurança Institucional da Presidência da República GSI nas atividades relacionadas à segurança da informação.[5]
Ver também
editarReferências
- ↑ Klein, Rodrigo. «WHAT INFLUENCES INFORMATION SECURITY BEHAVIOR? A STUDY WITH BRAZILIAN USERS»
- ↑ «Papéis Envolvidos». Guia de Melhores Práticas para Implantar PoSIC
- ↑ Martins, Alaíde Barbosa (2005). «UMA METODOLOGIA PARA IMPLANTAÇÃO DE UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO». Consultado em 13 de setembro de 2021
- ↑ «Governo federal lança nova Política Nacional de Segurança da Informação». Ministério do Planejamento, Desenvolvimento e Gestão. 28 de dezembro de 2018. Arquivado do original em 29 de dezembro de 2018
- ↑ a b «Decreto nº 9.637 – Política Nacional de Segurança da Informação». Presidência da República. 26 de dezembro de 2018. Consultado em 4 de novembro de 2021
- ↑ «Governo publica decreto que define Estratégia Nacional de Segurança Cibernética – E-Ciber». Minuto da Segurança. 3 de março de 2020. Consultado em 4 de novembro de 2021
Ligações externas
editar- Höne, Karin; Eloff, J. H.P. <<https://www.sciencedirect.com/science/article/pii/S0167404802005047?via%3Dihub>> Information security policy — what do international information security standards say? Acesso em 14 de setembro de 2021.
- ISO/IEC TR 13335 <<https://www.iso.org/standard/29240.html>> Acesso em 12 de setembro de 2021.
- Ki-Aries, Duncan; Faily, Shamal. «Persona-centred information security awareness». ELSEVIER. Computers & Security. Consultado em 27 de agosto de 2021.
- Klein, Rodrigo; Luciano, Edimara. «What influences information security behavior? A study with brazilian users.». TECSI - FEA/USP. JISTEM - Journal of Information Systems and Technology Management. Consultado em 27 de agosto de 2021.
- Martins, Alaíde; Santos, Celso. «Uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação». TECSI - FEA/USP. JISTEM - Journal of Information Systems and Technology Management. Consultado em 27 de agosto de 2021.