CRIANDO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO QUE FUNCIONAM
Antes de falarmos sobre como criar uma política de segurança da informação, é importante esclarecer o que a segurança da informação realmente é.
Segurança da informação - às vezes abreviada para InfoSec - é a proteção de informações e sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição, a fim de garantir a confidencialidade, integridade e disponibilidade.
CONFIDENCIALIDADE, INTEGRIDADE & DISPONIBILIDADE
Se você está no campo de segurança por um tempo, provavelmente sabe que a segurança da informação é baseada em três pontos. No entanto, para aqueles que são novos no campo da segurança da informação, esta envolve três componentes críticos de confidencialidade, integridade e disponibilidade:- Confidencialidade: proteção contra acesso não autorizado
- Integridade: proteção contra alterações não autorizadas de dados
- Disponibilidade: garantia de acesso e uso oportuno e confiável de informações
POR QUE CRIAR UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO?
As organizações normalmente criam uma política de segurança da informação porque “a ISO 27001 diz que devemos ter uma” ou “é necessária para a auditoria”. Claro, mas essa não é a principal razão para ter uma política.Uma política de segurança, ou políticas, é projetada para mitigar o risco (por exemplo, violação de dados) e geralmente é desenvolvida em resposta a uma ameaça real ou percebida (uma situação que poderia potencialmente causar conseqüências ou impactos indesejáveis). A política conterá uma declaração de alto nível da intenção e direção da administração e deverá ser desenvolvida ou modificada para apoiar os objetivos estratégicos de uma organização.
As políticas de segurança por si só não são suficientes. Os funcionários devem entender quais são as regras para proteger informações e ativos e as razões pelas quais os padrões de segurança são desenvolvidos.
Padrões de segurança são desenvolvidos para estabelecer limites para pessoas, processos, tecnologias e procedimentos para ajudar a manter a conformidade com as políticas e apoiar a realização das metas e objetivos da organização.
MELHORES PRÁTICAS NA CRIAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Depois de mais de uma década criando políticas de segurança, talvez o conselho mais importante que posso dar a qualquer organização para criar uma política bem-sucedida seja escrevê-la especificamente com os objetivos estratégicos da organização, o apetite e a tolerância ao risco e a cultura em mente.Assegure-se de que a política seja escrita por um indivíduo que possa traduzir os requisitos de segurança em um alto nível em termos comerciais. Deve ser escrito de uma forma que os funcionários possam entender; assim como um bom aplicativo, ele deve ser fácil de usar. Ele deve explicar por que a segurança é importante dentro da organização e define as responsabilidades de todos para proteger as informações e os ativos da organização.
O QUE FAZ UMA POLÍTICA DE SEGURANÇA EFICAZ?
O que você não deseja incluir em sua política é uma lista de "não farás". Porque, na minha experiência, sempre que uma política é repleta de diretivas rígidas que parecem mais mandamentos, ela está fadada ao fracasso e é difícil monitorar a conformidade. Você pode evitar inchar sua política, construindo uma que é clara, concisa, relacionável e fácil de entender.Uma boa regra é escrevê-lo para a pessoa média, não técnica. Dentro de 60 segundos, deve ficar claro para o leitor sobre o que é a política de segurança. Qualquer luta compreendendo isso, e você pode precisar voltar para a prancheta.
Conforme mencionado anteriormente, uma política de segurança eficaz não deve apenas se alinhar aos objetivos estratégicos de uma organização, mas também deve considerar o perfil geral de risco da organização.
Você deve ser capaz de responder a estas perguntas: Quanto risco de segurança a organização está disposta a tolerar? Qual é o consenso sobre o risco de segurança e as políticas e o mandato corporativo tratam disso? Como está o tom no topo? Qual é a cultura da organização em relação à segurança?
Por fim, sua política deve ser atualizada anualmente, pois ajuda sua organização a manter-se atualizada com regulamentações, mudanças na tecnologia e no cenário de ameaças e as melhores práticas do setor.
Mas a verdade é que muitas organizações pesquisam por uma política padronizada e não fazem muitas alterações. Se a política não for adaptada à sua organização, ela provavelmente não será seguida. Já vi isso acontecer com muita frequência.
O QUE DEVE COBRIR SUA POLÍTICA DE SEGURANÇA?
Para começar, aqui estão 10 elementos de política em potencial e questões relevantes que devem ser respondidas ao projetar uma política de segurança corporativa:- Propósito: Por que você precisa dessa política?
- Escopo e aplicabilidade: qual é o escopo da política? Para quem esta política se aplica?
- Autoridade política e ciclo de revisão: quem tem autoridade da diretoria ou do CEO para estabelecer políticas e normas de segurança? Quem pode aprovar a política? Quem pode atualizar a política? Se houver um requisito na política que não possa ser atendido, uma solicitação de isenção de política é enviada?
- Ciclo de Revisão de Política: Com que frequência a política será revisada?
- Cultura da empresa: como a política pode se adaptar à sua cultura corporativa? A cultura da sua organização suporta seus esforços de segurança? Você tem compromisso e apoio de executivos seniores?
- Tópicos de foco: quais tópicos (por exemplo, E-mail e Internet, BYOD, Mídia social) devem ser incluídos na política que você gostaria que os funcionários estivessem cientes no que se refere à segurança
- Políticas Específicas de Segurança da Informação: Quais políticas cobrirão uma área subsidiária de segurança da informação (por exemplo, Gerenciamento de Chaves, Resposta a Incidentes de Segurança, Firewall) que exige ainda mais os controles de segurança da informação exigidos em um nível operacional?
- Treinamento: como a organização aborda a conscientização de segurança? Quais métodos são usados para o treinamento de conscientização e com que frequência o treinamento ocorre?
- Comunicação: quem os funcionários contatam quando têm dúvidas sobre alguma coisa relacionada à segurança? Como você vai comunicar a política de segurança? Você vai exigir que os funcionários reconheçam e assinem sua política?
- Conformidade: como você monitorará a conformidade com essa política?
IMPORTÂNCIA DA APLICAÇÃO DA POLÍTICA
Por: Karen Sandhu
NNOVAX - Marcelo Grandchamp