A política de segurança é uma medida, com implementação real, estabelecida para áreas pré definidas, normalmente, pela direção da empresa e o pessoal de gestão de sistemas e redes que, por sua vez, deve ser flexível às continuas alterações na organização para maior aproveitamento.
As políticas tentam manter um alinhamento para facilitar a implementação de mecanismos de segurança, definição dos procedimentos de segurança, processos de auditoria à segurança, estabelecimento de uma base para procedimentos legais na sequência de ataques e responsabilidades para garantir o controle e a segurança da informação na empresa.
―A política de informação deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos […]‖. (DIAS, 2000, p. 48).
Observa-se, que para proteção das empresas não basta apenas de um antivírus, muitas vezes, faz-se necessária a implementação de uma política de segurança da informação adequada à rede.
Segundo a NBR ISO 27002, a política de segurança deve seguir as seguintes orientações:
definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação; declaração do comprometimento da alta direção, apoiando as metas e os princípios da
segurança da informação;
breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para a organização, por exemplo:
o conformidade com a legislação e possíveis cláusulas contratuais; o requisitos na educação de segurança;
o prevenção e detecção de vírus e software maliciosos; o gestão de continuidade do negócio;
o conseqüências das violações na política de segurança da informação.
definição das responsabilidades gerais e específicas na gestão de segurança da informação, incluindo o registro dos incidentes de segurança;
referência à documentação que possam apoiar a política, por exemplo, políticas, normas e procedimentos de segurança mais detalhados de sistemas, áreas específicas, ou regras de segurança que os usuários devem seguir.
―Existem vários obstáculos, quando o assunto é a segurança da informação, porém a implementação de medidas de segurança, como uma política de segurança da informação, faz com que todos percebam a necessidade de segurança da informação para a organização.‖ (SPANCESKI, 2004, p. 39).
Algumas das ameaças a serem tratadas pela política de segurança são:
integridade: ameaças de ambiente, erros humanos, fraudes e erros no processamento; indisponibilidade: falhas em sistemas ou nos diversos ambientes computacionais; divulgação da informação: repasse de informações premeditadas, repasse de
informações acidentais;
alterações não autorizadas: alteração acidental e alteração premeditada.
Essas ameaças quando mal tratadas podem tornar-se um malefício, pois podem causar danos irreversíveis, como a perda dos dados.
Alguns requisitos básicos da política de segurança, para tornar a segurança mais eficiente:
agentes envolvidos na segurança da informação; classificação de informações;
política de acessos externos à instituição; política de uso da intranet;
política de uso de software; política de acesso físico; política de acesso lógico.
3.6.1 Análise de Risco
A análise de risco tenta prever ameaças futuras, através de estudos técnicos e fórmulas de mensuração que só é possível graças a levantamentos realizados do local, dos tipos de negócios, bens patrimoniais e pessoas a serem protegidas por sistemas de segurança.
É através dessa análise que pessoas especializadas poderão identificar vulnerabilidades, incertezas e minimizar impactos na quebra da segurança.
O risco necessita ser identificado e quantificado de forma técnica e estatística de acordo com uma classificação genérica da potencialidade das ameaças, sejam elas internas ou externas. Sendo assim, devemos:
estabelecer os objetivos da segurança;
definir o perímetro de proteção e os bens e pessoas a serem protegidos; simular situações de risco e estabelecer as contra-medidas correspondentes; avaliar a relação custo X benefício;
estabelecer padrões de segurança;
implantar equipamentos e/ou procedimentos e
documentar as simulações para posterior avaliação / correção da segurança.
Os benefícios recorrentes da análise de riscos são: conhecimento dos riscos da empresa, otimização de recursos e ter subsídios para um plano de ação.
Pontos importantes na Análise de Risco são:
processos de negócio: identificar junto aos gestores e colaboradores os processos de negócio existentes na empresa;
ativos: identificar os ativos que serão considerados na análise de risco: pessoas, infra- estrutura, aplicações, tecnologia e informações;
vulnerabilidades: identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos serviços ou serem utilizadas para roubo das suas informações;
ameaças: identificar os agentes que podem vir a ameaçar a empresa;
impacto: tendo identificado as vulnerabilidades e ameaças, identificamos o impacto que estes podem causar na empresa, como roubo de informação, paralisação de serviços, perdas financeiras, entre outros.
Uma análise de risco bem realizada dará informações à sua Empresa para garantir os três pilares da segurança, que são: confidencialidade, disponibilidade e integridade da suas informações.
3.6.2 Plano de Continuidade dos Negócios
Um plano de continuidade deve, a partir de atividades, prever desastre, ou ações a serem tomadas caso o desastre esteja em ocorrência e prover processos para retorno ao ponto inicial, tendo por base o custo X benefícios.
Para Silva (1990-2009, p. 4), uma definição para plano de negócio é:
Um plano para a resposta de emergência, operações backup e recuperação de ativos atingidos por uma falha ou desastre. Tem como objetivo o de assegurar a disponibilidade de recursos de sistema críticos, recuperar um ambiente avariado e promover o retorno à sua normalidade.
Alguns pontos relevantes, segundo Silva (1990-2009), são:
desastres - não se resumem somente a fogo, inundação e outras causas de dano à propriedade, eles, também, podem resultar de problemas corriqueiros, como greves ou mau funcionamento de hardware ou software e ainda que a restauração do processamento computacional seja um passo importante do processo de recuperação, outros problemas igualmente importantes, freqüentemente, precisam ser resolvidos; sobrevivência - A habilidade de um sistema de continuar em operação ou existindo,
apesar das condições adversas, inclui as ocorrências naturais, ações acidentais e ataques ao sistema.