ISOs e Normas: O que é Política de Segurança da Informação? Como Criar uma?

Posted on By Categoria: Outros 1 comentário em ISOs e Normas: O que é Política de Segurança da Informação? Como Criar uma?

Nesse post iremos ver o que é e como criar uma Política de Segurança da Informação em uma empresa. Também falaremos sobre sua importância.

O que é Política de Segurança da Informação? Como Criar uma?
O que é Política de Segurança da Informação? Como Criar uma?

Sua empresa está crescendo, coletando dados importantes e armazenando-os em um sistema seguro, você então ouve ou ler alguém falar sobre Políticas de segurança da informação para empresas e percebe o quando seria útil ter implementadas na sua instituição, mas não sabe por onde começar ou o qual exatamente é a estrutura de uma PSI(política de Segurança da Informação).

Nesse post iremos discorrer com texto claro, objetivo e simples, sobre o que é, como fazer e qual a importância de uma política que proteja e preserve suas informações.

Veja também: O que é Segurança da Informação?

O que é uma PSI (Política de Segurança da Informação)?

Podemos falar de antemão que uma política de segurança da informação é um conjunto de diretrizes e procedimentos que visam proteger as informações confidenciais e sensíveis de uma organização. A Política pode ser impressa ou estar disponível em formato eletrônico, como um arquivo no computador.

A Política de Segurança da Informação pode ser impressa ou estar disponível em formato eletrônico, como um arquivo no computador.

É por meio de uma Política de Segurança da Informação que a empresa formaliza suas estratégias e abordagens para a preservação de seus ativos. O termo “formalizar” aqui está no sentido de não ficar apenas no “boca a boca”, mas sim publicar de forma evidente.

Criando uma PSI – Política de Segurança da Informação

Não existe uma estrutura definida de uma Política de Segurança da Informação para as organizações seguirem. Cada empresa tem a sua, pois tudo depende das características do negócio, e também como a organização quer utilizá-las alinhados ao seu negócio.

Sugiro entrar em sites renomados e ler as políticas disponibilizadas por eles para que se tenha uma noção ou base de como iniciar a criação da política.

Etapas na criação de uma PSI

  1. Iniciar o projeto:
    • Monte um grupo, um comitê dentro da empresa para ficar responsável pela criação da política e futuras alterações e apoio.
    • Faça uma descrição do projeto com detalhamento suficiente para que ele seja compreendido por todos.
    • Tenha, no mínimo, uma pessoa/gestor que conheça bem normas como ISO/IEC 27001 e ISO/IEC 27002, ou até ITIL e COBIT
  2. Desenvolvimento do projeto:
    • faça um levantamento de tudo que existe na Organização, como: regulamentos, normas, regras etc., e fazer uma análise bem aprofundada de cada um deles.
    • Converse com cada gestor dos setores (jurídica, negócio, recursos humanos e tecnologia da informação) para que itens ou características referentes sejam inseridos na política.
    • Sempre trabalhe com datas estipuladas. Monte um cronograma de início e final para a entrega do projeto.
  3. Entrega, comunicação e treinamento do produto final:
    • É aconselhável que todos os integrantes do comitê assinem o documento criado da política para validar a aprovação e que todos estão de acordo.
    • Entregue a política, seja publicando no site da empresa e deixando-a na rede interna disponível para cada funcionário(colaborador 🙂 )
    • Realize treinamentos. Reúna todos os colaboradores e treine, passe todo o conteúdo da política, fala uma pequena provinha para servir de avaliação.
    • Repita esse treinamento regularmente; por exemplo, anualmente.

Alguns livros aconselham dividir a política em 3 etapas

Alguns livros dividem o projeto da criação da política em 3 etapas, abrangendo:

  1. Nível estratégico: a organização descreve exatamente o deve ser feito, pois, é neste nível que são desenvolvidas as políticas e diretrizes.
  2. Nível tático: regras a serem adotadas. São como capítulos da política
  3. Nível operacional: como as regras serão implementadas, ou seja, define os procedimentos da organização.
política de segurança da informação em 3 etapas
Alguns livros aconselham dividir a política em 3 etapas

Aconselho fortemente que leia a ISO 27002 e faça a política da segurança da informação baseada em seus controles.

A Política da Segurança da Informação integra as demais Diretrizes, Normas, Procedimentos e Instruções da empresa.

O autor, Fontes, do livro de onde foi retirada a imagem acima, considera que o gestor da segurança da informação deve considerar as seguintes “dimensões” dentro da política:

Acesso lógico à informação, Continuidade de negócio, Resiliência operacional, Desenvolvimento e aquisição de sistemas, Conscientização e treinamento de usuários, Acesso físico à informação, Gestão de riscos, Classificação da informação, Proteção técnica do ambiente computacional, Regulamentação legal e de mercado, Gestão de incidentes, Cópias de segurança, Tratamento forense de erros e fraudes.

Mas são apenas uma recomendação, pois cada empresa tem suas regras de negócio e características a serem abortadas para garantir a segurança da informação.

Além de Fontes, um outro autor chamado Sêmola sugere outra estrutura para os níveis estratégico, tático e operacional. Na base da estrutura é alocado como pilares de sustentação à PSI: Natureza do Negócio, Cultura Organizacional, Ativos Físicos, Ativos Tecnológicos e Ativos Humanos.

Nessa estrutura entendemos exatamente em qual nível da Organização serão utilizadas as Diretrizes, Normas e Procedimentos que comporão a Política de Segurança da Informação da Organização. Os itens Natureza do Negócio, a Cultura Organizacional, os Ativos Físicos, os Ativos Tecnológicos e os Ativos Humanos, deve-se considerar os níveis organizacionais (estratégico, tático e operacional), pois eles têm total influência simbiótica no documento da política.

Estrutura da Política de Segurança da Informação com seus pilares
Estrutura da Política de Segurança da Informação com seus pilares
  • Diretrizes: fornecem as orientações, descrevendo os aspectos que devem ser examinados em função de determinados pontos de vista de segurança.
  • Normas: conjunto de regras gerais de segurança que se aplicam a todos os segmentos envolvidos. Geralmente, as normas são elaboradas com foco em assuntos mais específicos como: controle de acesso, uso da Internet, uso do correio eletrônico, acesso físico,instruções sobre senhas e realização de backups etc. Para isso, indica-se que sua elaboração seja da forma mais genérica possível e que compreenda a configuração padrão de certas plataformas.
  • Regulamentos: são mais detalhados que o documento de política. Normalmente, eles são considerados obrigatórios e sua não observância pode levar a procedimentos disciplinares.
  • Procedimentos: consiste em um conjunto de orientações ou recomendações para execução das atividades e instruções operacionais relacionadas à segurança. Trata-se de diretrizes operacionais detalhadas que devem ser efetuadas no momento da realização de um procedimento de segurança, ou seja, quais ações devem ser seguidas em caso de alguma ocorrência (ou incidente)de segurança da informação. É importante que exista uma estrutura de registro desses procedimentos executados (são as evidências objetivas), como logs de registro de acesso aos sistemas e equipamentos, troca de senha por períodos de tempos etc.

A Política de Segurança é um conjunto estruturado de documentos que consistem em diretrizes, normas, procedimentos e instruções destinadas simultaneamente aos níveis estratégico, tático e operacional; com o objetivo de instituir, padronizar e normatizar a segurança tanto no escopo humano como no tecnológico.

Esquema de uma Política de Segurança da Informção

Vamos ver aqui como é o esquema, estrutura, de uma Política de Segurança da Informação.

A PSI tem seu esquema ou estrutura consistindo de níveis estratégico, tático e operacional; Uma PSI é um conjunto de documentos, como diretrizes, normas, procedimentos e instruções. Cada documento faz parte de um dos níveis citados na primeira linha.

Vamos explicar como cada documento se relaciona com a política de segurança da informação e qual será o produto final entregue.

Estratégico, Nível 1: políticas e diretrizes

Essa política deve ser utilizada, transmitida e processada em todo o ambiente da organização. Ou seja, para todos os usuários (colaboradores, prestadores de serviços e estagiários) que utilizam as informações da organização, como também a todas as organizações que compõem o Grupo da Organização (filiais, unidades etc.)

O modelo de Documento de Política e Regulamentos Nível 1 é o seguinte:

  1. Objetivo.
  2. Abrangência.
  3. Implantação ou Implementação.
  4. Definições.
  5. Diretrizes e Regras.
  6. Responsabilidades Complementares.
  7. Conclusão.
  8. Anexos.

    Tático, Nível 2: políticas e diretrizes

    Esta política deve ser utilizada, transmitida e processada em todo o ambiente da organização, ou seja, para todos os usuários (colaboradores, prestadores de serviços e estagiários) que utilizam as informações da organização. Porém, como a estrutura é destinada ao Nível 2, ela deverá ter uma política para cada um dos itens: Acesso à Informação, Recursos de Tecnologia, Desenvolvimento, Aquisição de Sistemas, Acesso Físico/Acesso Lógico, Cópias de Segurança, Classificação da Informação, Continuidade do Negócio, Conscientização/Treinamento em Segurança.

    Neste nível, há efetivamente todo o controle da segurança da informação de minimizar possíveis danos e questionamentos sobre o que pode, o que não pode e o que é obrigatório em relação aos usos das tecnologias e serviços.

    É importante evidenciar para todos que o item “Regras” é para ser cumprido e a não obediência nesse quesito gera falta grave ao colaborador. O usuário está sujeito às penalidades administrativas ou contratuais. Isso é importante, principalmente, em ambientes críticos.

    O modelo de Documento de Política e Regulamentos Nível 2 é o seguinte,

    1. Objetivo.
    2. Abrangência.
    3. Implementação.
    4. Política de Segurança e Proteção da Informação.
    5. Definições.
    6. Regras.
    7. Responsabilidades Complementares.
    8. Conclusão.
    9. Anexos.

    Operacional, Nível 3 e Demais Níveis: Normas e procedimentos

    No nível operacional, no documento da política são descritas as regras e os procedimentos de segurança da informação, ou seja, aonde deve ser aplicada, comunicada e conferida em todo o ambiente que o pessoal técnico de desenvolvimento e manutenção de sistemas ou do ambiente de tecnologia utilizem na organização. Isto é, são regulamentos que se aplicam a todos os usuários que utilizam as informações do ambiente de tecnologia da organização.

    O modelo de Documento de Política – Normas e Procedimentos Nível 3 é o seguinte,

    1. Objetivo deste Regulamento
    2. Abrangência deste Regulamento
    3. Implementação deste Regulamento
    4. Definições
    5. Regras e Procedimentos
    6. Controles e Responsabilidades
    7. Conclusão

    Segundo a ISO 27002,

    No nível mais baixo, convém que a política de segurança da informação seja apoiada por políticas de tópicos específicos, que exigem a implementação de controles de segurança e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organização ou para cobrir tópicos específicos. (ABNT, 2013b, p. 110)

    A norma 27002 ainda aponta,

    convém que um documento da política de SI seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

    Resumo

    Baseado nos livros e fontes, a documentação de pós-graduação em Segurança da informação da faculdade Anhanguera diz que,

    “De maneira geral, os produtos finais que compõem toda a Documentação da Política de Segurança da Informação são:”

    • Carta ao presidente ou ao executivo principal.
    • Diretrizes de Segurança da Informação.
    • Normas Gerais de Segurança da Informação.
    • Procedimentos Operacionais e Instruções Técnicas.

    A carta ao presidente é fundamental em toda política, pois é sua assinatura que autoriza sua implementação na organização, como a data da sua última alteração e em quando iniciou sua validade. Com essas informações, todos na empresa estão cientes de que é uma implementação em toda a organização, e será realizado o controle de atualizações, obtendo uma melhor gestão das atualizações.

    Fontes:

    • FONTES, Edison. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012.
    • AGUILERA, Fernandes Edson. Padrões, normas e política de segurança da informação. São Paulo: Senac, 2019.
    • LIMA, Adriano. Gestão da segurança e infraestrutura de tecnologia da informação. São Paulo: Senac, 2018.
    • SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 2. ed. Rio de Janeiro: Elsevier, 2014.
    • Faculdade Anhanguera

    Informática, Segurança Tags:,

    Comment (1) on “ISOs e Normas: O que é Política de Segurança da Informação? Como Criar uma?”

    1. Pingback: ISOs e Normas: Pilares e Princípios da Segurança da Informação - Categoria Outros

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Share via
    Facebook
    Twitter
    LinkedIn
    Mix
    Email
    Print
    Copy Link
    Copy link
    CopyCopied