O papel das políticas de segurança nas organizações - Parte I

Prévia do material em texto

<p>1Comunicação Oral e Escrita</p><p>1</p><p>O papel das políticas de</p><p>segurança nas organizações –</p><p>Parte I</p><p>Olá, estudante! Vamos conversar um pouco sobre o papel das políticas de</p><p>segurança nas organizações?</p><p>Pode não parecer, mas um dos principais objetivos de uma política de</p><p>segurança é fornecer proteção – proteção para sua organização e para seus</p><p>funcionários.</p><p>As políticas de segurança ajudam a proteger as informações críticas e</p><p>de propriedade intelectual da organização, descrevendo claramente as</p><p>responsabilidades dos funcionários em relação a quais informações devem ser</p><p>protegidas e por quê.</p><p>Outro objetivo importante das políticas de segurança é apoiar a missão</p><p>da organização. Os profissionais de segurança precisam ser sensíveis às</p><p>necessidades do negócio, portanto, ao escrever políticas de segurança, a missão</p><p>da organização deve estar na vanguarda de seus pensamentos. Pergunte a si</p><p>mesmo: “Como essa política apoia a missão da organização onde trabalho?”.</p><p>Você sabia que há benefícios e objetivos da segurança da informação?</p><p>Assim como uma sinalização rodoviária alertando para a velocidade máxima</p><p>não impede ninguém de ultrapassar os limites estabelecidos, as políticas</p><p>internas jamais impedirão os fraudadores de tentar, de alguma forma, escapar</p><p>ao controle estabelecido, por qualquer razão. Desse modo, apenas a Política de</p><p>Segurança da Informação não resolverá os problemas existentes – a empresa</p><p>precisará de uma equipe especializada e dedicada, de ferramentas apropriadas</p><p>que facilitem a sua implementação e a gestão da segurança da informação.</p><p>Uma empresa séria deve ter um Compliance – em português, “Conformidade”</p><p>–, pois isso demonstra aos investidores, acionistas, funcionários e parceiros</p><p>comerciais que a empresa é séria e que cumpre com a segurança da informação,</p><p>Comunicação Oral e Escrita2</p><p>2</p><p>além de prezar por ética corporativa, políticas antissuborno e muito mais. Ainda</p><p>falando sobre benefícios da segurança da informação, você pode se perguntar:</p><p>“Tá bom, mas, para que serve uma política de segurança da informação?”.</p><p>Uma política de segurança da informação determina que é responsabilidade</p><p>da empresa proteger não apenas seus funcionários, mas também seus ativos e</p><p>informações valiosas contra qualquer tipo de roubo, dano ou perda e estabelece</p><p>regras e processos para os membros da força de trabalho da empresa,</p><p>criando um padrão em torno do uso aceitável da tecnologia da informação da</p><p>organização, incluindo redes e aplicativos para proteger a confidencialidade,</p><p>integridade e disponibilidade dos dados.</p><p>Imagine um cenário em que um hacker envia um arquivo infectado para um</p><p>computador interno que tem acesso ao servidor web. O invasor então implanta o</p><p>código malicioso, derrubando o site. Agora, reflita:</p><p>• Qual seria o impacto para o seu negócio se o site ficasse inativo por uma se-</p><p>mana?</p><p>• Qual seria o custo para recuperar seus sistemas e tornar o site operacional</p><p>novamente?</p><p>• Qual é o custo para a reputação do seu negócio?</p><p>• O ataque ao servidor web foi uma distração?</p><p>• O principal objetivo era acesso aos dados do seu cliente?</p><p>Avaliações de risco cibernético e políticas de segurança cobrem esses</p><p>cenários para definir claramente as ações que sua empresa tomará em caso de</p><p>violação de segurança. Quando bem definidas, essas políticas podem reduzir</p><p>os custos associados a ataques cibernéticos, bem como mitigá-los ou evitá-los</p><p>completamente. Além do mais, se você pensar em atuar futuramente como</p><p>um profissional da área de segurança, é muito importante que você entenda os</p><p>principais conceitos de segurança da informação. São eles:</p><p>Confidencialidade: A característica da informação pela qual apenas aqueles</p><p>com privilégios suficientes podem acessar certas informações;</p><p>Integridade: A qualidade ou estado de ser íntegro, completo e não</p><p>corrompido;</p><p>3</p><p>Disponibilidade: A característica da informação que permite ao usuário</p><p>acessar a informação em um formato exigido, sem interferência ou obstrução;</p><p>Privacidade: As informações coletadas, usadas e armazenadas por uma</p><p>organização devem ser usadas apenas para os fins declarados ao proprietário</p><p>dos dados no momento em que foram coletados;</p><p>Conscientização/treinamento/capacitação: Treinamento para novos</p><p>funcionários, treinamento anual para todos e capacitação para os especialistas</p><p>da área de segurança;</p><p>Identificação: Um sistema de informação possui a característica de</p><p>identificação quando é capaz de reconhecer usuários individuais;</p><p>Autorização: Garante que o usuário foi especificamente e explicitamente</p><p>autorizado pela autoridade adequada para acessar, atualizar ou excluir o</p><p>conteúdo de um ativo de informação;</p><p>Report ou Prestação de contas: Existe quando um controle fornece garantia</p><p>de que todas as atividades realizadas podem ser atribuídas a uma pessoa</p><p>nomeada ou processo automatizado.</p><p>Bacana, não é? Neste podcast, ficaremos por aqui!</p><p>A seguir, vamos explorar os aspectos que devem ser observados pelos</p><p>profissionais de segurança ao iniciarem suas atividades profissionais em uma</p><p>nova empresa. Parece simples, né?! Muita coisa bacana ainda vem pela frente!</p><p>Até lá!</p>