Sua empresa quer ou precisa elaborar uma política de segurança da informação, mas não sabe nem por onde começar? Eis aqui algumas dicas.
[photopress:bmis.png,full,centered]
Créditos da figura: ISACA, 2009, An Introduction to the Business Model for Information Security (PDF).
Uma política de segurança da informação em geral é composta de diretrizes, normas e procedimentos que visam garantir confidencialidade, integridade e disponibilidade da informação (documental) que é produzida, recebida, utilizada, processada, armazenada e descartada por uma instituição. A gestão da segurança da informação envolve pessoas, processos, tecnologia e ambiente.
Deve também, idealmente, instituir um grupo ou comitê formal e permanente para centralizar o gerenciamento e orientação das atividades relativas a segurança da informação na organização. Para maximizar a autonomia e eficácia desse comitê gestor de segurança da informação, este deve estar ligado ao mais alto nível hierárquico de gestão da organização, como sua presidência ou comitê estratégico/executivo.
Não existe um modelo padrão de política de segurança da informação, porque esta tem que refletir os valores e a cultura da organização a qual se aplica, e levar em conta o negócio e o contexto em que ela está inserida. Ou seja, a política de SI deve ser construída sob medida para cada organização.
As normas ABNT e ISO/IEC relativas a segurança da informação fornecem conceitos e fundamentos essenciais que podem e devem embasar uma boa política de segurança da informação.
Mas a partir daí, as diretrizes, normas e políticas deve ser construídas em resposta a questões essenciais, como:
- Quais são os ativos e as informações de valor para a organização e seu negócio e que devem ser protegidos?
- Quais são os riscos aos quais a organização e suas informações estão submetidas, quais deles devem ser abordados e mitigados, e quais serão simplesmente aceitos?
- Quais são os aspectos e parâmetros relevantes para se definir o balanceamento entre: investimentos em segurança da informação versus valor dos ativos a serem protegidos e riscos de perdas envolvidos; ativos e serviços a serem protegidos versus vulnerabilidades e aspectos mais críticos a serem abordados na sua segurança; conveniência e facilidades versus proteção e controle.
O Sans Institute disponibiliza em seu portal uma série de documentos (PDF, em inglês) úteis para auxiliar na composição de uma política de segurança da informação, com foco em tecnologia da informação (TI):
- Security Policy Roadmap – Process for Creating Security Policies
- Information Security Policy – A Development Guide for Large and Small Companies
- Technical Writing for IT Security Policies in Five Easy Steps
Principais Normas ABNT NBR e ISO/IEC aplicáveis:
- Padrões em segurança da informação: Série ISO/IEC 27000 (ex 17799, BS 7799) – Gestão de Segurança da Informação.
- ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Requisitos para Sistemas de gestão de segurança da informação.
- ABNT NBR ISO/IEC 27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação.
- ABNT ISO Guia 73:2009 – Gestão de riscos – Vocabulário.
- ISO/IEC 13335-1:2004 – Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management.
- ISO/IEC TR 18044:2004 – Information technology — Security techniques — Information security incident management.
Outras referências úteis:
- Livro: Política de Segurança da Informação – Guia prático para elaboração e implementação, por Fernando Nicolau Freitas Ferreira.
- Políticas de segurança da informação, verbete em Wikipédia.
- An Introduction to the Business Model for Information Security, ISACA. Business Model for Information Security – BMIS (requer registro gratuito).
- RFC 2196 – Site Security Handbook – (2) Security Policies.
- Segurança de Redes – Projeto e Gerenciamento de Redes Seguras, apresentação por Jivago Alves, em SlideShare.
- Decreto Presidencial nº 3.505, de 13 de junho de 2000 – Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal.