Introduo:

A informao um ativo que possui grande valor para as empresas, devendo ser adequadamente utilizada e protegida contra ameaas e riscos. A adoo de polticas e procedimentos que visem garantir a segurana da informao deve ser prioridade constante da empresa, reduzindo-se os riscos de falhas, os danos e/ou os prejuzos que possam comprometer a imagem e os objetivos da instituio. A informao pode existir e ser manipulada de diversas formas, ou seja, por meio de arquivos eletrnicos, mensagens eletrnicas, internet, bancos de dados, em meio impresso, verbalmente, em mdias de udio e de vdeo etc. Por princpio, a segurana da informao deve abranger trs aspectos bsicos, destacados a seguir:

Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso informao. Integridade: somente alteraes, supresses e adies autorizadas pela empresa devem ser realizadas nas informaes. Disponibilidade: a informao deve estar disponvel para as pessoas autorizadas sempre que necessrio ou demandado.

Para assegurar esses trs itens mencionados, a informao deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem, perda no-intencional, acidentes e outras ameaas. Em empresas grandes e complexas, a proteo da informao no uma tarefa trivial. Em geral, o sucesso da Poltica de Segurana da Informao adotada por uma instituio depende da combinao de diversos elementos, dentre eles, a estrutura organizacional da empresa, as normas e os procedimentos relacionados segurana da informao e maneira pela qual so implantados e monitorados, os sistemas tecnolgicos utilizados, os mecanismos de controle desenvolvidos, assim como o comportamento de diretores, funcionrios e colaboradores.

Objetivo da Poltica de Segurana da Informao: A Poltica de Segurana da Informao da uma declarao formal da empresa acerca de seu compromisso com a proteo das informaes de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores. Seu propsito estabelecer as diretrizes a serem seguidas, no que diz respeito adoo de procedimentos e mecanismos relacionados segurana da informao.

Estrutura Normativa da Segurana da Informao:

A estrutura normativa da Segurana da Informao de uma empresa pode ser composta por um conjunto de documentos com trs nveis hierrquicos distintos, relacionados a seguir: Poltica de Segurana da Informao (Poltica): constituda neste

documento, define a estrutura, as diretrizes e as obrigaes referentes segurana da informao; Normas de Segurana da Informao (Normas): estabelecem obrigaes e

procedimentos definidos de acordo com as diretrizes da Poltica, a serem seguidos em diversas situaes em que a informao tratada; Procedimentos de Segurana da Informao (Procedimentos):

instrumentalizam o disposto nas Normas e na Poltica, permitindo a direta aplicao nas atividades da empresa

Link: RI.BMFBOVESPA,2011. Poltica de Segurana da Informao. Disponvel em <http://ri.bmfbovespa.com.br/upload/portal_investidores/pt/governanca_corporativa/estatutos_ politicas/Politica_da_Seguranca_da_Informacao.pdf> Acessado em Maro de 2012

POLTICA DE SEGURANA DA INFORMAO Poltica de segurana da informao basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e o pilar da eficcia da segurana da informao. Sem regras pr-estabelecidas, decises tornam-se inconsistentes e vulnerabilidades surgem.

Ainda hoje, grande parte dos gerentes e diretores de TI ainda acredita que o problema da segurana se resume a equipamentos. Hoje a ltima tendncia nessa rea adquirir um IDS (Intrusion Detection System), assim como no passado foram os firewalls. Essas tecnologias so muito boas e necessrias, mas antes faz-se necessrio saber onde esta tecnologia ser implementada, alm da configurao ideal para as necessidades do negcio ( prefervel no ter um firewall a mant-lo desatualizado ou mal configurado). Alm do aspecto puramente tcnico, importante ressaltar que praticar algo com o mnimo de segurana envolve, sobretudo, adotar mudanas comportamentais, pois sem dvida alguma o ser humano o elo mais fraco dessa corrente. H muito tempo que a preocupao com a segurana da informao deixou de se restringir apenas sala dos servidores para se estender at onde os usurios e clientes esto. O nascimento de uma "cultura de segurana da informao", baseada em educao e treinamentos afins, presenciada em todas as empresas que conseguiram adaptar seus processos de trabalho s exigncias requeridas pelas normas de segurana sugeridas. De acordo com as ltimas pesquisas realizadas pelo CSI (Computer Security Institute), 71% dos incidentes de segurana so causados por pessoal interno. Nessa estatstica devemos considerar que alm dos to temidos funcionrios insatisfeitos, muitos dosincidentes so ocasionados por erros. Logo, educao e capacitao fundamental para evitar erros e acidentes e, tambm, conscientizar parceiros, funcionrios e terceiros.

A maioria dos incidentes de segurana causada por falhas humanas e tcnicas que poderiam facilmente ser evitadas caso uma poltica de segurana da informao fosse adotada e seguida

Mas onde a chamada "poltica de segurana da informao" entra nessa histria? Bem, como a manuteno da segurana de dados e informaes de qualquer empresa responsabilidade direta de todos aqueles que trabalham nela, com ela ou para ela (desde o presidente ao office-boy, passando por prestadores de servio e fornecedores), preciso que

um conjunto mnimo de regras formais sejam seguidas por todos, de forma que as diretrizes que norteiam a segurana da informao na organizao no sejam estabelecidas a partir do bom senso individual de cada um (pois o conceito do que ou no de "bom senso" varia de pessoa para pessoa...). E exatamente a que entra em cena a necessidade de se adotar uma poltica de segurana, pois ela ajuda estabelecer padres para a utilizao dos recursos de TI atravs da atribuio de responsabilidades e fornecendo regras bsicas, guias e definies para todos na empresa. Seu principal propsito informar aos usurios suas principais obrigaes para a proteo da tecnologia e do acesso informao, j que ajudam a prevenir inconsistncias que poderiam introduzir riscos s informaes corporativas e servem como base para a imposio de regras e processos mais detalhados.

A poltica de segurana estabelece regras e normas de conduta que diminuiro a probabilidade da ocorrncia de incidentes que provoquem, por exemplo, a indisponibilidade, furto ou perda de informaes

Idealmente, a poltica de segurana deve ser suficientemente clara e compreensiva, de forma que possa ser aceita e seguida atravs da organizao, enquanto flexvel o suficiente para abordar uma vasta gama de dados, atividades e recursos. Ela permite que as empresas faam uso de um conjunto de prticas e procedimentos que iro reduzir significativamente a probabilidade da ocorrncia de um incidente de segurana que poderia provocar a perda de dados ou afetar a integridade, disponibilidade e confidencialidade das informaes corporativas. Enfim, ela a regra do jogo da segurana em qualquer organizao e pode abranger, entre outras coisas:

Padres para utilizao de criptografia Regras para utilizao do e-mail e acesso Internet Normas para utilizao de programas e equipamentos Procedimentos para guarda adequada das informaes Definio de responsabilidades e permetros de segurana Plano de contingncia (documento adicional que estabelece como responder a incidentes de segurana) Segurana lgica (polticas de senha, sistemas de autenticao de usurio, programas de deteco de vrus)

Segurana fsica (acesso de pessoas, guarda e proteo dos equipamentos, condio

das instalaes eltricas)

Uma recente tendncia no mercado a norma BS 7799. Muitos executivos, direta ou indiretamente responsveis pela segurana nas empresas, esto adquirindo a publicao brasileira da norma, achando que esto comprando uma poltica de segurana. A BS (British Standards) uma importante iniciativa, com um objetivo claramente definido: "fornecer uma base comum para o desenvolvimento organizacional de padres de segurana e prticas efetivas de gerenciamento da segurana". Logo, ela apenas o marco zero, a pedra fundamental para o desenvolvimento de uma poltica de segurana moldada e adaptada realidade de cada empresa. A prpria norma cita a importncia de que cada empresa desenvolva os seus manuais especficos, observando o seu contexto organizacional, tomando como base os padres ou melhores prticas ali descritas. No existe uma poltica de segurana da informao modelo que possa ser integralmente aplicada em toda e qualquer organizao. Considere-a como um remdio que deve ser manipulado de forma diferenciada para cada paciente, para que possa combater - ou evitar - um conjunto de doenas especfico ao qual o mesmo est sujeito.

No caia no erro (muitas vezes fatal) de que o processo de manuteno da segurana das informaes de sua empresa pode ser conduzido mediante a fora da palavra falada ou a partir do "bom senso" individual de seus colaboradores. Faa a coisa certa: adote uma poltica de segurana da informao (mesmo que ela tenha apenas 2 folhas) e transforme em lei aquilo que para ser seguido.

Link: http://www.faustiniconsulting.com/artigo05.htm

POLTICA DE SEGURANA DA INFORMAO

A Poltica de Segurana da Informao serve como base ao estabelecimento de normas e procedimentos que garantem a segurana da informao, bem como determina as responsabilidades relativas segurana dentro da empresa. A elaborao de uma Poltica de Segurana da Informao deve ser o ponto de partida para o gerenciamento dos riscos associados aos sistemas de informao.

Para atender as principais necessidades da empresa, uma Poltica de Segurana da Informao deve ser: Clara e concisa De fcil compreenso Coerente com as aes da empresa Amplamente divulgada Revisada periodicamente

A Poltica de Segurana da Informao visa preservar a confidencialidade, integridade e disponibilidade das informaes. Descrevendo a conduta adequada para o seu manuseio, controle, proteo e descarte.

LinK: http://www.brdatanet.com.br/solucoes/politica.htm