Question

Considerando que a elaboração de uma política de segurança da informação (PSI) representa um passo fundamental no estabelecimento de um sistema de gestão de segurança eficaz. A PSI é o documento que registra os princípios e as diretrizes das ações de segurança adotadas pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. No documento da política é preciso ter uma declaração introdutória, inserindo o problema da segurança da informação no contexto mais amplo dos riscos do negócio e explicando a importância da informação e dos recursos computacionais. Além de comentar sobre a necessidade de protegê-los contra as ameaças existentes para prevenir consequências negativas que poderiam advir da destruição, alteração indevida ou divulgação não autorizada de informações.

Nesse sentido, a política de segurança da informação (PSI) deverá abranger 10 aspectos, conforme citado em nossos estudos. Cite cada um desses aspectos e disserte sobre cada um deles:

Answer 1

Politica de Segurança da Informação: Definição, Importância, Elaboração e Implementação:   Aprenda na prática a elaborar uma PSI – Política de Segurança da Informação em curso gravado ministrado pelo mestre Gustavo de Castro Rafael, especialista em Segurança da Informação. Clique aqui e inscreva-se! INTRODUÇÃO:  A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa. “A informação é elemento essencial para todos os processos de negocio da organização, sendo, portanto, um bem ou ativo de grande valor”. Logo, pode-se dizer que a informação se tornou o ativo mais valioso das organizações, podendo ser alvo de uma série de ameaças com a finalidade de explorar as vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se necessária a implementação de políticas de se segurança da informação que busquem reduzir as chances de fraudes ou perda de informações.  A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. É o SGSI que vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funções dentro da empresa. Para se elaborar uma Política de Segurança da Informação, deve se levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de praticas para a gestão de segurança da informação, onde podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.A INFORMAÇÃO:  Segundo a informação é um conjunto de dados que representa um ponto de vista, um dado processado é o que gera uma informação. Um dado não tem valor antes de ser processado, a partir do seu processamento, ele passa a ser considerado uma informação, que pode gerar conhecimento. Portanto, pode-se entender que informação é o conhecimento produzido como resultado do processamento de dados. Ainda segundo a ISO/IEC 27002:2005, a informação é um ativo que, como qualquer outro ativo é importante, é essencial para os negócios de uma organização, e deve ser adequadamente protegida. A informação é encarada, atualmente, como um dos recursos mais importantes de uma organização, contribuindo decisivamente para a uma maior ou menor competitividade. De fato, com o aumento da concorrência de mercado, tornou-se vital melhorar a capacidade de decisão em todos os níveis. Como resultado deste significante aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades.
SEGURANÇA DA INFORMAÇÃO:   Para a ABNT NBR ISO/IEC 17799:2005 (2005, p.ix), “segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.   “Em primeiro lugar, muitas vezes é difícil obter o apoio da própria alta administração da organização para realizar os investimentos necessários em segurança da informação. Os custos elevados das soluções contribuem para esse cenário, mas o desconhecimento da importância do tema é provavelmente ainda o maior problema”.  A informação é um ativo que deve ser protegido e cuidado por meio de regras e procedimentos das políticas de segurança, do mesmo modo que protegemos nossos recursos financeiros e patrimoniais. Segundo Campos, “um sistema de segurança da informação baseia-se em três princípios básicos: confidencialidade, integridade e disponibilidade.”  Ao se falar em segurança da informação, deve-se levar em consideração estes três princípios básicos, pois toda ação que venha a comprometer qualquer um desses princípios, estará atentando contra a sua segurança.