locked
Cartilha de segurança RRS feed

  • Pergunta

  • Bom Dia

    Gostaria de formular algo relacionado a políticas de segurança dentro de minha empresa. Quando falo nisso que dizer a respeito tanto de segurança, desde os vigias, cameras até q parte de tecnologia.
    Ainda nao tenho uma idéia formulada e gostaria de saber se alguem usa aqui e se pode me ajudar com algum modelo para que eu possa estar pensando sobre isso.

    Obrigado

    Thiago
    sexta-feira, 1 de fevereiro de 2008 12:46

Respostas

  • Oi Thiago,

     

    Modelo de Politica de Segurança é um negocio meio complicado, porque isso varia muito de empresa para empresa.

    A Politica é desenvolvida de acordo com a cultura da empresa.

     

    Mas o que você pode fazer é o seguinte, use a norma ISO para ter a base do que terá que ser levantado (os dominios indicam as áreas que você deverá fazer os levantamentos e entrevistas pertinentes.

     

    Levante quais são os ativos da empresa (quais são, onde eles estão, como são manuseados, quem são as pessoas e o que elas fazem dentro da empresa e o que elas utilizam e como utilizam para executar suas tarefas).

     

    Levante quais são as informações que a sua empresa tem em seu poder (quais são, quem são seus prorprietários, como são utilizadas, onde são armazenadas, por onde elas trafegam) e classifique essas informações (o grau de ganulidade pode variar de empresa para empresa também - por exemplo: publica, privada, confidencial e extritamente confidencial).

     

    Se possivel converse com as pessoas chaves de cada departamento para saber como é o dia-a-dia dessas pessoas, quais são as dificuldades diárias e o que elas preveem como possiveis problemas (isso pode ser feito também com os vigias e as pessoas encarregadas pela limpeza, pois eles podem apontar por exemplo a entrada fora de hora de uma pessoa frequentemente).

     

    Tendo esses dados com você, analise dentro de cada processo quais seriam as eventuais brechas (hoje funciona assim, mas pode ocorrer tal problema).

     

    Seguem alguns exemplos:

     

    - Segurança Física e de Ambientes - Que serve para previnir o acesso não autorizado, além de garantir que não se tenha interferencias no uso e manuseio da informação.

    Exemplo de controle: Segurança de escritorio, instalações.

     

    - Segurança em RH: Define como deve ser a contratação de um funcionário, incluindo o antes da contratação - se aquele funcionário tem conhecimento técnico por exemplo pra exercer a função e o durante a contratação.

    Exemplo de controle: O uso de termo de confidencialidade.

     

    A Politica na verdade é onde você vai informar dentro dos padroes da norma o que a empresa tem em termos de ativos (pessoas, processos e as tecnologias) e o que você está implementando de controle para evitar que exista problemas futuros.

     

    Tendo levantado todos os dados necessários (descritos acima ) e os seus controles dai começa-se a escreve a Politica, lembrando que a Politica trata a Segurança da Informação da Empresa de um modo geral, para se detalhar cada assunto existem as normas e os procedimentos.

     

    Outro ponto que você deverá se preocupar é a linguagem utlizada, tente escreve-la de forma clara e simples, para que todos possam ler e entender a sua Politica (uma vez que todos deverão ter acesso a ela).

     

    Não esqueça de verificar a legislação vigente, para saber se aquilo que você está fazendo está de acordo com as leis, normativas, etc.

     

     

    A grosso modo seria isso.

     

    Luciana

    domingo, 3 de fevereiro de 2008 10:52

Todas as Respostas

  • Oi Thiago,

     

    Modelo de Politica de Segurança é um negocio meio complicado, porque isso varia muito de empresa para empresa.

    A Politica é desenvolvida de acordo com a cultura da empresa.

     

    Mas o que você pode fazer é o seguinte, use a norma ISO para ter a base do que terá que ser levantado (os dominios indicam as áreas que você deverá fazer os levantamentos e entrevistas pertinentes.

     

    Levante quais são os ativos da empresa (quais são, onde eles estão, como são manuseados, quem são as pessoas e o que elas fazem dentro da empresa e o que elas utilizam e como utilizam para executar suas tarefas).

     

    Levante quais são as informações que a sua empresa tem em seu poder (quais são, quem são seus prorprietários, como são utilizadas, onde são armazenadas, por onde elas trafegam) e classifique essas informações (o grau de ganulidade pode variar de empresa para empresa também - por exemplo: publica, privada, confidencial e extritamente confidencial).

     

    Se possivel converse com as pessoas chaves de cada departamento para saber como é o dia-a-dia dessas pessoas, quais são as dificuldades diárias e o que elas preveem como possiveis problemas (isso pode ser feito também com os vigias e as pessoas encarregadas pela limpeza, pois eles podem apontar por exemplo a entrada fora de hora de uma pessoa frequentemente).

     

    Tendo esses dados com você, analise dentro de cada processo quais seriam as eventuais brechas (hoje funciona assim, mas pode ocorrer tal problema).

     

    Seguem alguns exemplos:

     

    - Segurança Física e de Ambientes - Que serve para previnir o acesso não autorizado, além de garantir que não se tenha interferencias no uso e manuseio da informação.

    Exemplo de controle: Segurança de escritorio, instalações.

     

    - Segurança em RH: Define como deve ser a contratação de um funcionário, incluindo o antes da contratação - se aquele funcionário tem conhecimento técnico por exemplo pra exercer a função e o durante a contratação.

    Exemplo de controle: O uso de termo de confidencialidade.

     

    A Politica na verdade é onde você vai informar dentro dos padroes da norma o que a empresa tem em termos de ativos (pessoas, processos e as tecnologias) e o que você está implementando de controle para evitar que exista problemas futuros.

     

    Tendo levantado todos os dados necessários (descritos acima ) e os seus controles dai começa-se a escreve a Politica, lembrando que a Politica trata a Segurança da Informação da Empresa de um modo geral, para se detalhar cada assunto existem as normas e os procedimentos.

     

    Outro ponto que você deverá se preocupar é a linguagem utlizada, tente escreve-la de forma clara e simples, para que todos possam ler e entender a sua Politica (uma vez que todos deverão ter acesso a ela).

     

    Não esqueça de verificar a legislação vigente, para saber se aquilo que você está fazendo está de acordo com as leis, normativas, etc.

     

     

    A grosso modo seria isso.

     

    Luciana

    domingo, 3 de fevereiro de 2008 10:52
  • Opa

     

    Obrigado pela dica!! Isso fica meio dificil quando se trata de uma pessoa apenas para tomar conta de segurança de rede, manutenção da rede, suporte ao usuário e tudo mais..............mas vou pesquisar mais sobre o assunto.

     

    Thiago

    quarta-feira, 6 de fevereiro de 2008 13:20
  • Oi Thiago,

     

    Nesse caso fica um pouco dificil mesmo.

    Mas se você precisar de ajuda, fique a vontade de perguntar.

     

    Mas não sei se você pensa assim, mas se precisar de ajuda use o forum da Academia, porque aqui o assunto é certificação e podemos atrapalhar aos demais.

     

    Luciana

     

    quarta-feira, 6 de fevereiro de 2008 19:53