Normalização Publicado em 02 jun 2020

A estrutura de uma política de segurança da informação

Redação

Os criminosos digitais estão cada vez mais querendo acessar as empresas e a segurança da informação, nesse contexto, passa a ser um ponto de extrema importância ligada à estratégia corporativa. Para se ter uma ideia, estima-se que o número de ataques cibernéticos aumentou entre 30 e 40% na América Latina nos últimos anos. Assim, para garantir um bom nível de segurança, é fundamental ter uma infraestrutura robusta. Portanto, deve-se investir em vários aspectos: arquitetura, design de um esquema de proteção, operações e práticas seguras, além de uma boa gestão de riscos. Quanto à arquitetura, pode-se pensar na análise do projeto de uma prisão ou de uma base militar. Sempre se deve levar em consideração qual é a finalidade de um edifício. Ele abrigará réus de alta periculosidade? Que informações e objetos ficarão dentro de uma área militar? O sistema precisa ser projetado como um todo, já que ele é formado por um conjunto de componentes que devem ser protegidos individualmente. Uma infraestrutura segura leva em conta um design geral da solução sem deixar de prestar atenção à proteção dos dados. Dessa forma, há uma segurança específica para cada um dos elementos: servidores, computadores, a rede, os componentes de comunicação, etc. Dessa forma, uma empresa deve determinar as questões externas e internas relevantes para sua finalidade e que afetam a sua habilidade para obter o (s) resultado (s) pretendido (s) do sistema de gestão da segurança da informação (SGSI). Como uma função integrante do SGSI, deve-se analisar constantemente a si própria e o mundo que a rodeia. Esta análise está preocupada com questões internas e externas que de alguma maneira afetam a segurança da informação e como a segurança da informação pode ser gerida, e que são relevantes para os objetivos da organização.

Da Redação –

Em geral, uma política é uma declaração de intenções e direções de uma organização formalmente expressa pela sua alta direção. O conteúdo de uma política dirige ações e decisões referentes a todos os seus tópicos. Uma organização pode ter um número de políticas; uma para cada uma das áreas de atividade que são importantes para a organização. Algumas políticas são independentes uma da outra, enquanto outras políticas têm uma relação hierárquica.

Normalmente, uma organização tem uma política geral, por exemplo, código de conduta, ao nível mais alto da hierarquia política. A política geral é apoiada por outras políticas que consideram diferentes tópicos e pode ser aplicável a áreas específicas ou funções da organização. A política de segurança da informação é uma dessas políticas específicas. A política de segurança da informação é apoiada por uma série de políticas de tópicos específicos relacionados com aspectos da segurança da informação.

A política de segurança da informação pode ser apoiada por políticas de controle de acesso, classificação (e tratamento) de informação, segurança física e ambiental, tópicos orientados para o usuário final, entre outros. Camadas adicionais de políticas podem ser adicionadas. Este arranjo é mostrado na figura abaixo.