informação bastante utilizado é a definição e implantação de uma Política de Segurança da Informação na empresa. Segundo a RFC 2828 (2002, p. 92), “a Política de Segurança é o conjunto de regras e práticas que especificam ou regulam como um sistema ou uma organização disponibiliza serviços seguros, com a finalidade de proteger os recursos críticos e sensíveis do sistema”.
Pode-se comparar a Política de Segurança à Constituição de um país. É ela que deve coordenar o uso de todos os equipamentos e medidas de segurança da empresa, definindo regras e responsabilidades da segurança da informação. A Política de Segurança concilia o funcionamento dos aspectos físicos da segurança (firewall, IDS, Anti Vírus, entre outros itens) com os aspectos políticos (responsabilidades, normas de uso, etc.) e gerenciais (administração da rede).
PELISSARI (2002, p. 23) complementa essa definição acrescentando que a Política de Segurança da empresa deve definir itens como:
y
responsabilidades do uso de recursos computacionais;y
preparar o Plano de Continuidade de Negócios;y
elaborar as normas de uso de e-mail e de uso da internet;y
gerenciar acesso e contas de usuários;y
prever o combate a ameaças aos sistemas de informação como fogo, enchente, etc.;y
definir a política de privacidade do site da empresa na internet, se houver.Ainda segundo o mesmo autor, nas Normas de Política de Segurança devem estar bem claras todas as regras para o uso de sistemas computacionais bem como as punições em caso de violação das mesmas. Todos os funcionários da corporação devem estar cientes da Política de Segurança da empresa e zelar pelo seu cumprimento e manutenção. Normalmente, utiliza-se a assinatura de um termo de compromisso para cada funcionário, afirmando o conhecimento das regras e comprometendo-se a cumpri-las.
A Norma NBR ISO/IEC 1779 (2001, p. 4) cita que o objetivo básico da Política de Segurança é prover à direção uma orientação e apoio para a segurança da informação, destacando ser conveniente que a Empresa estabeleça uma política que seja clara para todos os seus funcionários.
Os princípios básicos da Política de Segurança definidos por vários autores, entre os quais PELISSARI (2002, p. 24), são os seguintes:
y
integridade: esse princípio garante que as informações ou os recursos da informaçãoestão protegidos contra modificações não autorizadas;
y
confidencialidade: princípio que garante ao dono da informação a nãodisponibilização da mesma sem sua autorização;
y
disponibilidade: este princípio garante que a possibilidade de acesso a informaçãopara aqueles que a necessitam;
y
legalidade: princípio que garante o estado legal da informação, em conformidade comos preceitos da legislação em vigor.
MOREIRA (2001, p. 36) defende que “na Política de Segurança deve estar escrito a forma que a organização deseja que seus ativos sejam protegidos, manuseados e tratados”. O autor cita que o objetivo de qualquer Política de Segurança é o de definir as expectativas da organização quanto ao uso dos seus recursos estabelecendo procedimentos com o intuito de prevenir e responder a incidentes relativos à segurança.
Para SZUBA (1998, p. 6), para a implementação eficaz de uma Política de Segurança da informação, devem ser observados os seguintes fatores críticos de sucesso:
y
uma Política de Segurança de informação vitoriosa requer a liderança, comprometimento e ativa participação da alta administração;y
as ações de segurança de informação devem ser customizadas para atender às necessidades individuais da organização;y
uma segurança de informação efetiva é o resultado do processo de identificação das informações de valor para a empresa, dos softwares e dos equipamentos de informática. Devem ser considerados todos riscos potenciais para estes recursos, se adequar políticas de segurança para estas condições específicas, e assegurar que a política seja implementada de forma confiável;y
as estratégicas de segurança de informações críticas repousam primeiramente na conduta apropriada dos funcionários, e de forma secundária, no uso de soluções tecnológicas.Como evidência da relevância e preocupação que o tema Política de Segurança vem despertando tanto nos gestores de empresas públicos quanto nos de iniciativa privada, cita-se a criação do Decreto 3.505, decretado pelo Presidente da República em 13 de junho de 2000, o qual instituiu a Política de Segurança da Informação nos Órgãos e Entidades da Administração Pública Federal.
Dentre os objetivos desta política, destacam-se os seguintes:
y
eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;y
promover a capacitação de recursos humanos para o desenvolvimento da competência científico-tecnológica em segurança da informação;y
promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos.ABREU (2002, p. 2) faz um comparativo entre a Política de Segurança e a legislação, citando que nesta, tem-se leis, decretos, medidas provisórias entre outras. No caso da Política de Segurança, a documentação pode ser dividida em três tipos de texto a serem elaborados, conforme a seguir:
y
texto em nível estratégico – a palavra chave neste nível é “rumo a ser seguido”.ambiente”. Equipamentos, software, senhas, utilização de correio eletrônico, cópias de segurança, segurança física, etc. Tudo necessita e deve ser padronizado. Isto faz com que todos os pontos da empresa tenham o mesmo nível de segurança e não se tenha um elo mais fraco na corrente.
y
texto em nível operacional – a palavra chave é “detalhamento” para garantir perfeição no atendimento e continuidade dos negócios, independentemente do fator humano. A parte operacional da Política de Segurança vem exatamente para padronizar esses detalhes de configurações dos ambientes.Um alerta interessante é registrado por PELISSARI (2002, p. 25), ao citar que “a Política de Segurança de uma organização não é comprada pronta. É feita de acordo com as necessidades da empresa e especificamente para ela. O seu processo de produção deverá ser conduzido por um método. Nunca está perfeita, deve ser sempre revista e aperfeiçoada”.
MOREIRA (2001, p. 36) ressalta que “dentro de um cenário em que, a medida em que o tempo passa, aumenta a dependência das organizações no uso de computadores e sistemas, a Política de Segurança passa a ter uma função estratégica, pois visa a proteção dos ativos da organização para que os negócios ocorram dentro de um ambiente seguro”.
No entanto, VERTON (2002, p. 24) alerta que novas Políticas de Segurança freqüentemente entram em conflito com a maneira que os funcionários vem executando suas tarefas durante anos. Por exemplo, empregados que freqüentemente trabalhavam com informações compartilhadas, tem de rapidamente aprender a controlar as informações sensíveis. O autor enfatiza que “um dos maiores desafios para a implementação com sucesso de uma Política de Segurança, é a cultura corporativa”.
Finalizando, KISSER (2000, p. 2) alerta que "a segurança sólida é um processo e não um produto. Portanto, não basta à empresa instalar um firewall e um antivírus. Deve haver toda uma Política guiando a segurança de informação da empresa de acordo com seus objetivos”.