A criação de uma política de segurança da informação é uma das atitudes mais importantes que uma empresa pode tomar para minimizar os riscos a que estão sujeitos os seus ativos.
Um ativo em uma empresa é todo tipo de dado, informação, equipamento, habilidade específica, entre outros objetos tangiveis e intangiveis, que são considerados de valor para ela. O ativo mais importante de uma empresa é sempre o ser humano, porém este é também uma das maiores ameaças a que as empresas estão expostas. Afinal estes colaboradores, sejam eles de qualquer nível da hierarquia, carregam consigo informações sobre a rotina das empresas que em conjunto a outros tipos de dados e fontes podem causar sérios danos à estrutura de segurança da informação quando usadas de forma nociva.
Para evitar este e outros tipos de problemas, gerados pela falta de normatização da segurança da informação, é de extrema importância a criação de uma política de segurança na organização. Para compô-la, cada empresa deve definir claramente quais os seus objetivos, qual é o valor de cada ativo, a quais ameaças estes estão expostos, quais os riscos que a ruptura da segurança sobre estes ativos pode trazer e, só então, começar a definir como deverão ser protegidos. Essa proteção deve levar em conta os objetivos da empresa para que a segurança a ser implantada não cause lentidão na circulação interna das informações, essenciais à continuidade do negócio.
Além disso, essa política deve ser criada, desenvolvida e continuamente atualizada também para combater novas ameaças. Para tanto é necessária a participação e o apoio da administração em todo o processo, desde o seu início, para que medidas necessárias não causem resistências quando de sua implantação. Outra providência a ser tomada é o devido esclarecimento e propagação dessas políticas em todos os níveis hierárquicos da empresa, para a devida concientização de todos os colaboradores. Sem o atendimento desses requisitos, a implantação de uma política de segurança será falho e, além de não prover a segurança necessária e esperada, poderá gerar conflitos internos devido à não aceitação dessas políticas.
Esta política deve prever regras para todo o tipo de acesso aos ativos da organização, tanto logicamente quanto fisicamente, atribuindo responsabilidades, níveis e tipos de acesso, além de sanções e punições para a transgressão dessas regras. Esta política deve ser clara, alinhada ao objetivo do negócio, apoiada pela direção, além de continuamente avaliada, atualizada, monitorada e difundida pela organização por toda a sua hierarquia. A implantação de uma política de segurança da informação só vem a contribuir para uma maior tranquilidade quanto ao nível de integridade dos ativos. Agregando valor à organização junto a seus parceiros comerciais e clientes.
Muito bom seu post, Andreas.
Gostaria muito que as pessoas tomassem essa consciência da mesma forma que nossas tecnologias vão evoluindo. Além das tecnologias, o desenvolvimento da capacidade do Homem de criar muitas formas, por meio da Engenharia Social, por exemplo, de burlar bloqueios, filtros, enfim; a segurança de uma forma geral.
A PSI deveria estar mais difundida, pois hoje, não precisamos de muito mais segurança, mas sim, de uma segurança melhor.
Forte abraço!
Obrigado! Embora meu nome seja Josan. 😀
Mas entendi sua colocação e concordo que a PSI deveria se mais difundida e aplicada.
Abraços!
Josan! Me desculpe.
Não sei de onde tirei esse nome.
Gostaria de saber se você possui uma vida acadêmica ativa, escreve para revistas, enfim… e se podemos trocar ideias.
Abração! 😉
Olá Andrey! Não escrevo para revistas, ainda. 😀
Minha vida acadêmica deve voltar ao curso normal agora que devo me inscrever para a pós-graduação em redes de computadores e, sim claro, podemos trocar idéias com certeza.
Abraços!