DIÁRIO DE BORDO: Com a expansão do uso da tecnologia da informação nas organizações, cresce também a necessidade de padronizar regras e procedimentos para o monitoramento e controle dos dados e informações que circulam dentro da companhia. Proteger o patrimônio intelectual detectando vulnerabilidades e restringindo acessos às informações através de uma política de segurança é essencial para o estabelecimento de padrões, responsabilidades e critérios no manuseio, armazenamento, transporte e descarte das informações.
A utilização dos recursos tecnológicos da informação surge como um diferencial de agilidade e eficiência nos processos das organizações, porém se estes não forem utilizados de forma controlada podem levar a desperdícios de tempo, dinheiro, credibilidade e reputação no mercado. Para assegurar que as informações e serviços estejam protegidos adequadamente, três princípios básicos devem seguidos: confidencialidade, integridade e disponibilidade. Estes princípios devem estar contidos dentro de um documento cuja função é estabelecer padrões, responsabilidade e critérios para as atividades da rotina empresarial buscando prevenir o mau uso dos recursos disponíveis. A Política de Segurança da Informação (PSI) deve compreender os níveis estratégico, tático e operacional através de diretrizes, normas e procedimentos.
A Política pode variar de acordo com o tipo de negócio e nível de controle a ser atingido. Uma Política regulatória é requerida quando a organização necessita obedecer a especificações legais para o estabelecimento do seu negócio. Quando não se tem esse nível de exigência uma Política pode apenas sugerir ações e metodologias a serem adotadas para a realização de uma determinada tarefa ou operação ou ainda ter um caráter informativo onde nenhuma ação é necessária no caso de seu não-cumprimento.
A utilização dos recursos tecnológicos da informação surge como um diferencial de agilidade e eficiência nos processos das organizações, porém se estes não forem utilizados de forma controlada podem levar a desperdícios de tempo, dinheiro, credibilidade e reputação no mercado. Para assegurar que as informações e serviços estejam protegidos adequadamente, três princípios básicos devem seguidos: confidencialidade, integridade e disponibilidade. Estes princípios devem estar contidos dentro de um documento cuja função é estabelecer padrões, responsabilidade e critérios para as atividades da rotina empresarial buscando prevenir o mau uso dos recursos disponíveis. A Política de Segurança da Informação (PSI) deve compreender os níveis estratégico, tático e operacional através de diretrizes, normas e procedimentos.
A Política pode variar de acordo com o tipo de negócio e nível de controle a ser atingido. Uma Política regulatória é requerida quando a organização necessita obedecer a especificações legais para o estabelecimento do seu negócio. Quando não se tem esse nível de exigência uma Política pode apenas sugerir ações e metodologias a serem adotadas para a realização de uma determinada tarefa ou operação ou ainda ter um caráter informativo onde nenhuma ação é necessária no caso de seu não-cumprimento.
Para definir uma PSI primeiramente é necessário fazer o inventário de hardwares, softwares, tipos de informações, acessos físicos e documentos que devem ser cobertos. Com base neste levantamento deve-se estabelecer como será o nível de proteção (armazenamento, salvamento, recuperação), notificação e penalização.
A PSI deve ter o total comprometimento da alta direção, incluindo a assinatura do mais alto executivo da organização. Para conseguir a aderência da PSI entre as pessoas da companhia é necessário utilizar diversos meios de publicação e divulgação, tais como: materiais promocionais, palestras de conscientização, jornais e folhetos internos, disponibilizar um manual básico na intranet, entre outros.
A atualização constante da PSI é importante, pois ela deve refletir sempre o cenário atual da empresa, portanto um controle de versão, autores e datas se faz necessário. Outra necessidade é o estabelecimento e aplicação de punições pelo descumprimento da PSI com o objetivo de dar o devido incentivo à adesão e respaldo jurídico à organização. Desta maneira uma declaração de conhecimento da PSI deve ser assinada e anexada à pasta de dados contratuais de cada funcionário.
João de Araújo Prado Neto 17.01.2011
Este texto foi baseado em informações contidas no http://www.carlosfilipelagarinhos.blogspot.com .
Caso tenha interesse num modelo básico de uma PSI vá ao blog citado.
A PSI deve ter o total comprometimento da alta direção, incluindo a assinatura do mais alto executivo da organização. Para conseguir a aderência da PSI entre as pessoas da companhia é necessário utilizar diversos meios de publicação e divulgação, tais como: materiais promocionais, palestras de conscientização, jornais e folhetos internos, disponibilizar um manual básico na intranet, entre outros.
A atualização constante da PSI é importante, pois ela deve refletir sempre o cenário atual da empresa, portanto um controle de versão, autores e datas se faz necessário. Outra necessidade é o estabelecimento e aplicação de punições pelo descumprimento da PSI com o objetivo de dar o devido incentivo à adesão e respaldo jurídico à organização. Desta maneira uma declaração de conhecimento da PSI deve ser assinada e anexada à pasta de dados contratuais de cada funcionário.
João de Araújo Prado Neto 17.01.2011
Este texto foi baseado em informações contidas no http://www.carlosfilipelagarinhos.blogspot.com .
Caso tenha interesse num modelo básico de uma PSI vá ao blog citado.
Nenhum comentário:
Postar um comentário