A tecnologia da informação evolui de forma rápida, a Internet é um exemplo desta
evolução. Neste contexto, a Internet pode ser uma grande ameaça para as instituições, pois estas estão passíveis a invasão de suas bases de dados, redes de computadores, disseminação de vírus, trojans e ataques de hackers e crackers. Para preservar e controlar o armazenamento de suas informações as organizações devem incorporar em seu ambiente métodos e padrões que venham a resolver 3 problemas básicos, apresentados na NBR-17799: • Integridade: exatidão das informações. • Disponibilidade: garantia de acesso sempre que necessário. • Confidencialidade: acesso somente a pessoas autorizadas. A criação e cumprimento de uma política de segurança da informação é o meio de controle proposto para garantir a segurança da informação. Neste, será apresentado como criar uma boa política de segurança, suas etapas, objetivos, elementos, necessidades para uma boa política de segurança da informação para a Instituição de Educação Superior (IES), sua implementação e estrutura. 2. DEFINIÇÃO Temos diversas definições para política de segurança da informação, abaixo serão apresentadas as visões de renomados autores. A política de segurança da informação é um documento que registra os princípios e diretrizes de segurança da informação adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos (BEAL, 2005). Política de segurança é um conjunto de diretrizes gerais destinadas a governar a proteção a ser dada a ativos da companhia (CARUSO, 1999). Entende-se também política de segurança como um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos (SOARES, 1997). Uma política de segurança significa delegar responsabilidades para funcionários, que passam a responder por seus atos. A importância da conscientização da equipe de profissionais é consenso entre os especialistas em segurança (BARBOSA, 2001, p. 27) Para definir tal política na organização é necessário (GIL, 1994): • Pesquisar o conteúdo que terá a política; • Minutar o texto que descreve a política; • Obter a aprovação dos altos escalões da administração da organização; • Disseminar a política de segurança em todos os escalões da organização. Porém, é valido destacar que a alta cúpula executiva “Diretoria Executiva” deverá dar apoio incondicional para implementação, aplicação e divulgação desta política dentro da IES. Sendo implementada, divulgada e monitorada constantemente a política de segurança da Informação garantirá a guarda de seu maior patrimônio “A Informação”. 3. IMPORTÂNCIA A política de segurança tem como função definir a proteção dos recursos existentes e sua maior importância para as corporações é evitar problemas através de normas e procedimentos criados (NAKAMURA, 1999). A evolução do mercado de tecnologia e a maior conscientização sobre a necessidade de investimentos em segurança da informação ajudaram as empresas a estarem mais preparada para enfrentar algumas falhas de segurança. Apesar disso, maioria (55%) considera a falta de conscientização dos executivos e usuários o principal obstáculo para a implementação da segurança na empresa, seguido pela falta de orçamento (28%). E o maior motivador para a tomada de decisões visando a segurança é o nível de consciência dos executivos e usuários (31%), segundo os pesquisados. A imagem da empresa no mercado (23%) e o valor agregado aos produtos e negócios (19%) também influenciam. (MÓDULO, 2007). Dentro da IES, a política deve especificar os mecanismos a serem utilizados e informar como adquirir, configurar e auditar os sistemas computacionais e redes. Segundo (CARUSO, 1999) a política de segurança passa por etapas que seguem uma seqüência lógica, apesar de poder ser alterada de acordo com a necessidade do ambiente. A destacar: • Classificação quanto ao sigilo e preservação; • Análise econômica da segurança; • Inventário de usuários e recursos; • Definição do tipo de estrutura de administração da segurança; • Escolha das ferramentas de segurança; e