A política de segurança da informação nada mais é que um conjunto de práticas e controles adequados, formada por diretrizes, normas e procedimentos, com objetivo de minimizar os riscos com perdas e violações de qualquer bem. Se aplicada de forma correta ajudam a proteger as informações que são consideradas como um ativo importante dentro da organização.
INFORMAÇÃO
Informação é um conjunto de dados, que processados ganham significado e tornam possível sua compreensão e interpretação. As informações constituem um dos objetos de grande valor para as empresas.
A ISO/IEC 13335-1/2004 caracteriza como ativo qualquer coisa que tenha valor para a organização. É considerado como ativo de informação todo bem da empresa que se relaciona com informação e que tenha valor para a organização, pode ser um componente humano, tecnológico, físico ou lógico que realize processos de negócio dentro da empresa.
Classificação da informação
A classificação das informações norteia-se mediante ao impacto que causaria a sua perda, alteração ou uso sem permissão. Ferreira afirma que “quanto mais estratégica e decisiva para a manutenção ou sucesso da organização maior será sua importância”. (FERREIRA, 2008, p. 78)
Entre os níveis mais utilizados na classificação de informação estão: informação pública, informação interna e informação confidencial.
Segurança da Informação
Os princípios da segurança da informação abrangem basicamente os seguintes aspectos: confidencialidade, integridade e disponibilidade (CID), toda ação que possa comprometer um desses princípios pode ser tratada como atentado a sua segurança.
Confidencialidade: É a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso.
Integridade: É a preservação da exatidão da informação e dos métodos de processamento
Disponibilidade: É a Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
A segurança física tem como objetivo proteger equipamentos e informações contra usuários não autorizados e prevenção de danos por causas naturais.
A segurança lógica aplica-se em casos onde um usuário ou processo da rede tenta obter acesso a um objeto que pode ser um arquivo ou outro recurso de rede (estação de trabalho, impressora, etc.), sendo assim, um conjunto de medida e procedimentos, adotados com objetivo de proteger os dados, programas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas.
Todos colaboradores da empresa fazem parte do fator humano, principalmente os que têm acesso direto aos recursos de T.I. Trata-se do fator mais difícil de se gerenciar e avaliar riscos.
POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
A política de segurança define normas, procedimentos, ferramentas e responsabilidades às pessoas que lidam com essa informação, para garantir o controle e a segurança da informação na empresa. É formalmente o documento que dita quais são as regras aplicadas dentro da empresa para uso de recursos tecnológicos e descarte de informações.
A grosso modo, pode-se afirmar que com a implantação de uma política de segurança da informação é significativa a redução da probabilidade de ocorrência de quebra da confidencialidade, da integridade e da disponibilidade da informação, tal como a redução de danos causados por eventuais ocorrências.
A política, preferencialmente, deve ser criada antes da ocorrência de problemas com a segurança, ou depois, para evitar reincidências. Ela é uma ferramenta tanto para prevenir problemas legais como para documentar a aderência ao processo de controle de qualidade.
Características e Benefícios
Para seu efetivo funcionamento, a política deve ter certas peculiaridades, tais como: ser verdadeira, ser válida para todos, ser simples, contar com o comprometimento dos gestores da empresa e outras.
De nada adianta implantar uma política que não é coerente com as ações executadas pela empresa, pois isso impossibilita seu cumprimento.
Pode-se notar a prevenção de acessos não autorizados, danos ou interferências no andamento do negócio, além de já se conseguir maior segurança nos processos do negócio.
Em médio prazo surge a padronização dos procedimentos, a adaptação já de forma segura de novos processos e a qualificação e quantificação de respostas a incidentes.
E, a longo prazo, obtém-se o retorno do investimento, por meio da diminuição de problemas relacionados a incidentes de segurança da informação.
