fevereiro 2011


Sua empresa quer ou precisa elaborar uma política de segurança da informação, mas não sabe nem por onde começar? Eis aqui algumas dicas.


Créditos da figura: ISACA, 2009, An Introduction to the Business Model for Information Security (PDF).

Uma política de segurança da informação em geral é composta de diretrizes, normas e procedimentos que visam garantir confidencialidade, integridade e disponibilidade da informação (documental) que é produzida, recebida, utilizada, processada, armazenada e descartada por uma instituição. A gestão da segurança da informação envolve pessoas, processos, tecnologia e ambiente.

Deve também, idealmente, instituir um grupo ou comitê formal e permanente para centralizar o gerenciamento e orientação das atividades relativas a segurança da informação na organização. Para maximizar a autonomia e eficácia desse comitê gestor de segurança da informação, este deve estar ligado ao mais alto nível hierárquico de gestão da organização, como sua presidência ou comitê estratégico/executivo.

Não existe um modelo padrão de política de segurança da informação, porque esta tem que refletir os valores e a cultura da organização a qual se aplica, e levar em conta o negócio e o contexto em que ela está inserida. Ou seja, a política de SI deve ser construída sob medida para cada organização.

As normas ABNT e ISO/IEC relativas a segurança da informação fornecem conceitos e fundamentos essenciais que podem e devem embasar uma boa política de segurança da informação.

Mas a partir daí, as diretrizes, normas e políticas deve ser construídas em resposta a questões essenciais, como:

  • Quais são os ativos e as informações de valor para a organização e seu negócio e que devem ser protegidos?
  • Quais são os riscos aos quais a organização e suas informações estão submetidas, quais deles devem ser abordados e mitigados, e quais serão simplesmente aceitos?
  • Quais são os aspectos e parâmetros relevantes para se definir o balanceamento entre: investimentos em segurança da informação versus valor dos ativos a serem protegidos e riscos de perdas envolvidos; ativos e serviços a serem protegidos versus vulnerabilidades e aspectos mais críticos a serem abordados na sua segurança; conveniência e facilidades versus proteção e controle.

O Sans Institute disponibiliza em seu portal uma série de documentos (PDF, em inglês) úteis para auxiliar na composição de uma política de segurança da informação, com foco em tecnologia da informação (TI):

Principais Normas ABNT NBR e ISO/IEC aplicáveis:

Outras referências úteis:

Em meu primeiro artigo analisando a interface as versões beta do novo Firefox 4, Firefox 4 Beta – novidades na interface, eu alertei para a decisão controversa de extinguir a barra de estado (status bar) na parte inferior da tela, quebrando uma convenção de interface já amplamente estabelecida na interface dos mais variados aplicativos.

Com isso, as informações que eram exibidas na barra de estado precisaram ser migradas para outros locais. No Firefox 4 Beta 10 estava assim:

  • O endereço de destino de um link, exibido quando se pousa o mouse sobre o link (hover) passou a ser exibido na barra de endereço (topo da janela), adiante do endereço (URL) da página atual.
  • Os controles (ícones e informações) adicionados por complementos, que antes eram exibidos na parte direita da barra de estado, passaram a compor uma nova “Barra de extensões”, que se assemelha exatamente a uma barra de estado ocupando uma faixa no extremo inferior da janela, esta nova barra vem oculta por padrão, mas há a opção de exibi-la. Trocar uma barra por outra quase idêntica não me pareceu nenhuma vantagem.
  • Por fim, mensagens de estado exibidas durante o carregamento das páginas (“Conectando-se a …”, “Aguardando resposta de …” etc.) passaram a ser exibidas de forma muito resumida e incompleta no título da própria aba.

Essas medidas acabaram por eliminar uma referência bem estável de resposta visual ao usuário
na interface, que é a parte inferior da janela, e fragmentá-la em pontos distintos e pouco usuais na janela, e ainda com perda de detalhe. Com isso, os hábitos já instintivos de foco de visão do usuário foram perdidos e ficaram dispersos. Ou seja, uma evidente piora na experiência do usuário.

No Beta 11, o Firefox re-introduziu as mensagens de estado em uma área sobreposta ocupando parte da região inferior da janela. Enquanto a barra de estado ocupava uma faixa fixa ocupando toda a extensão do extremo inferior da janela, esse overlay é exibido quando há mensagem e ocupa apenas a largura necessária ao texto exibido. Ou seja, uma “semi-barra” de estado dinâmica.

No recém-lançado Firefox Beta 12, também os endereços de hover de links deixaram de ser exibidos na própria barra de endereços e passaram para esse novo overlay na área inferior.

Com isso, a proposta de interface para exibição de mensagens de estado e endereços de links do Firefox 4 ficou praticamente idêntica à do navegador Google Chrome, que utiliza o mesmo estilo de overlay.

Tudo isso parece ter o objetivo de apenas maximizar a área útil de exibição da página, aproveitando espaços anteriormente ocupados pela barra de estado.

Considerando que estamos falando de uma área muito útil à interface e que ocupa pouco mais de 20 pixels de altura, será que todo esse esforço compensa? Duvido.

Pior ainda se a barra de extensões for exibida, esta sim desperdiçando espaço, já que as mensagens ocupam área adicional no overlay. Para mim, seria muito mais simples e efetivo criar uma opção de exibir dinamicamente a boa e velha barra de estado, exibida apenas quando há uma nova mensagem ou feedback de um controle visual de extensão, ou quando se posiciona o mouse sobre ela.