brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Criando Políticas de Segurança Efetivas
14 de janeiro de 2002ID do Artigo: 1128
Introdução
Espere o Inesperado
Desenvolvendo uma Política de Segurança
Pontos a serem lembrados
Faça o download do manual
Artigos relacionados

Eventos internacionais recentes levaram a uma grande urgência com relação à necessidade de maior segurança, tanto física como de outros tipos. A sua empresa pode já ter atualizado suas medidas de segurança, porém nunca se pode prever quando ou como elas poderão ser comprometidas. Para fornecer a mais completa proteção para a sua empresa, é necessário uma abordagem de segurança abrangente. A implementação de um software de segurança é crucial, porém a manutenção de um plano dinâmico que indique como lidar com várias possíveis situações, preparará a sua empresa para lidar com ameaças inesperadas que poderá encontrar no futuro.

Se a sua empresa já investiu tempo e dinheiro na criação de uma infra-estrutura de tecnologia da informação que a suporta, essa infra-estrutura de TI pode se tornar uma grande fraqueza da empresa, caso seja comprometida. Para organizações que operam na era da computação em rede e da comunicação eletrônica, uma política de segurança bem documentada, comunicada, compreendida e implementada em toda a empresa é uma ferramenta essencial para negócios no ambiente atual.

Espere o Inesperado
Imagine o que pode acontecer, se...

  • Dados essenciais forem roubados, perdidos, comprometidos, corrompidos ou excluídos?
  • Sistemas de e-mail forem desativados por um dia ou mais? Quanto custaria essa perda de produtividade?
  • Seus clientes seriam impedidos de fazer pedidos on-line por um longo período de tempo?

A preparação para várias situações parece ser uma tendência em crescimento. Conforme publicado em um relatório do Giga Information Group sobre as tendências de TI esperadas para o ano 2002, espera-se que executivos estarão mais interessados diretamente em se preparar contra desastres físicos, terrorismo cibernético e espionagem competitiva.

A implementação de uma política de segurança abrangente representa um valor intrínseco para a sua empresa. Ela pode também aprimorar a credibilidade e reputação de sua empresa, aumentando a confiança dos principais acionistas, proporcionando uma grande vantagem estratégica.

Desenvolvendo uma Política de Segurança

  • Identifique e avalie os dados - Quais os dados necessitam de proteção e como protegê-los permitindo que a empresa continue a operar e crescer.
  • Identifique ameaças - Quais são as origens dos problemas de segurança em potencial? Avalie a probabilidade de uma quebra de segurança e qual seria o impacto se isso ocorresse. Essas ameaças poderão ser externas ou internas:
    • Ameaças externas - Originam-se fora da empresa, como vírus, worms, Cavalos de Tróia, tentativas de intrusão por hackers, retaliação por antigos funcionários ou espionagem industrial.
    • Ameaças internas - Ameaças originadas dentro da empresa podem representar um alto custo, pois o perpetrador possui acesso e informações sobre a localização dos dados sensíveis e importantes. Ameaças internas podem incluir também o uso inadequado do acesso à Internet pelos funcionários, além de questões que podem resultar no envio de materiais ofensivos via Internet pelos funcionários.
  • Avalie o risco - Esse pode ser um dos componentes mais difíceis no desenvolvimento de uma política de segurança. É necessário calcular a probabilidade de certos eventos ocorrerem e quais deles têm o potencial de causar maior dano. O custo pode ser não somente financeiro; deve-se avaliar a perda de dados, privacidade, responsabilidade legal, exposição indesejada à imprensa, perda da confiança de clientes ou investidores e os custos associados ao reparo da quebra de segurança.
  • Atribua responsabilidades - Escolha uma equipe de desenvolvimento para ajudar a identificar ameaças em potencial em todas as áreas da empresa. De preferência, representantes de todos os departamentos da empresa devem estar envolvidos. Principais membros da equipe devem incluir um administrador de rede, um consultor jurídico e um executivo sênior, além de um representante dos departamentos de recursos humanos e relações públicas.
  • Estabeleça políticas de segurança - Crie uma política que aponte para os documentos associados; quaisquer diretrizes e procedimentos, padrões e contratos de funcionários existentes. Esses documentos devem conter informações específicas relativas às plataformas de computação e tecnologia, responsabilidades do usuário e estrutura organizacional. Dessa forma, se ocorrerem alterações, torna-se mais fácil alterar os documentos básicos do que a política em si.
  • Implemente em toda a empresa - Seja qual for a política selecionada, deve-se estabelecer claramente as responsabilidades de segurança e a propriedade dos sistemas e dados específicos. Pode ser necessário também que todos os funcionários assinem a declaração e, se esse for o caso, isso deve ser comunicado claramente a toda a empresa. Três partes essenciais da execução da política deve incluir:
    • Execução - Indique o procedimento para a garantia da execução da política e as conseqüências potenciais da não execução.
    • Oficiais de segurança - Aponte indivíduos para serem diretamente responsáveis pela segurança de informações. Certifique-se de que o mesmo indivíduo não seja responsável pela implementação, supervisão e revisão da segurança, para que não haja conflitos de interesse.
    • Fundos - Certifique-se de que os fundos necessários para a execução apropriada da política de segurança da empresa sejam alocados para cada departamento.
  • Gerencie o programa de segurança - Determine os procedimentos para a implementação e aplicação desses requisitos.

Pontos a serem lembrados
Durante todo o processo de criação de uma política de segurança, é importante garantir que a política seja

  • Implementável e aplicável
  • Clara e fácil de entender
  • Capaz de equilibrar proteção e produtividade

Após a aprovação total da política, ela deve se tornar disponível a todos os funcionários pois, efetivamente, todo funcionário tem responsabilidades para que a política seja bem sucedida. As políticas devem ser atualizadas anualmente (ou ainda melhor, a cada seis meses) para refletir alterações organizacionais ou culturais.

Pode parecer óbvio, mas é importante ressaltar que nenhuma política de segurança deve ser igual a outra, pois cada empresa é diferente, e os detalhes da política dependerão das necessidades exclusivas de cada uma. Porém, você pode começar com um modelo geral de política de segurança e, em seguida personalizá-lo de acordo com seus requisitos específicos, restrições financeiras e infra-estrutura existente.

Uma abrangente política de segurança de informações vale o tempo e o esforço nela despendidos. Sua política proporcionará uma fundação sólida, que suportará o plano geral de segurança da empresa. E uma sólida fundação resulta em uma empresa sólida.

Faça o download do manual
Para obter mais detalhes sobre a criação de uma política de segurança, consulte o manual da Symantec "E-Security Begins with Sound Security Policies" no site: http://enterprisesecurity.symantec.com/SecurityServices/
factsheets/esecurityhandbook.pdf

Artigos Relacionados:
"The Importance of Layered Security" (inglês)
"Ten Steps to Protect Your Enterprise from DoS Attacks" (inglês)
assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home