Início Sobre Serviços Metodologia Visão Negócios Parceiros O Time Artigos Contato
Fonte: www.nbso.nic.br

Políticas de Segurança

Uma política de segurança é um instrumento importante para proteger a sua organização contra ameaças à segurança da informação que a ela pertence ou que está sob sua responsabilidade. Uma ameaça à segurança é compreendida neste contexto como a quebra de uma ou mais de suas três propriedades fundamentais (confidencialidade, integridade e disponibilidade).

A política de segurança não define procedimentos específicos de manipulação e proteção da informação, mas atribui direitos e responsabilidades às pessoas (usuários, administradores de redes e sistemas, funcionários, gerentes, etc.) que lidam com essa informação. Desta forma, elas sabem quais as expectativas que podem ter e quais são as suas atribuições em relação à segurança dos recursos computacionais com os quais trabalham. Além disso, a política de segurança também estipula as penalidades às quais estão sujeitos aqueles que a descumprem.

Antes que a política de segurança seja escrita, é necessário definir a informação a ser protegida. Usualmente, isso é feito através de uma análise de riscos, que identifica:

  • recursos protegidos pela política;
  • ameaças às quais estes recursos estão sujeitos;
  • vulnerabilidades que podem viabilizar a concretização destas ameaças, analisando-as individualmente.

Uma política de segurança deve cobrir os seguintes aspectos:

  • aspectos preliminares:

    • abrangência e escopo de atuação da política;
    • definições fundamentais;
    • normas e regulamentos aos quais a política está subordinada;
    • quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da política;
    • meios de distribuição da política;
    • como e com que freqüência a política é revisada.

  • política de senhas:

    • requisitos para formação de senhas;
    • período de validade das senhas;
    • normas para proteção de senhas;
    • reuso de senhas;
    • senhas default.

  • direitos e responsabilidades dos usuários, tais como:

    • utilização de contas de acesso;
    • utilização de softwares e informações, incluindo questões de instalação, licenciamento e copyright;
    • proteção e uso de informações (sensíveis ou não), como senhas, dados de configuração de sistemas e dados confidenciais da organização;
    • uso aceitável de recursos como email, news e páginas Web;
    • direito à privacidade, e condições nas quais esse direito pode ser violado pelo provedor dos recursos (a organização);
    • uso de antivírus.

  • direitos e responsabilidades do provedor dos recursos, como:

    • backups;
    • diretrizes para configuração e instalação de sistemas e equipamentos de rede;
    • autoridade para conceder e revogar autorizações de acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar endereços e nomes de sistemas e equipamentos;
    • monitoramento de sistemas e equipamentos de rede;
    • normas de segurança física.

  • ações previstas em caso de violação da política:

    • diretrizes para tratamento e resposta de incidentes de segurança;
    • penalidades cabíveis.

Volta
© 2003 CrisThom, LTda.. Todosos direitos reservados.