O que é uma política de segurança de TI?

 

Uma Tecnologia da Informação (TI) Política de Segurança identifica as regras e os procedimentos para todos os indivíduos que acessam e usam os ativos e os recursos de TI de uma organização. A Política de Segurança de TI eficaz é um modelo da cultura da organização, na qual as regras e os procedimentos são orientados pela abordagem dos funcionários em relação às suas informações e ao seu trabalho. Portanto, uma política de segurança de TI eficaz é um documento exclusivo para cada organização, cultivado a partir das perspectivas de seu pessoal sobre a tolerância ao risco, como eles veem e valorizam suas informações e a disponibilidade resultante que eles mantêm dessas informações. Por esse motivo, muitas empresas considerarão inadequada uma política de segurança de TI padronizada devido à falta de consideração de como as pessoas da organização realmente usam e compartilham informações entre si e com o público.

Os objetivos de uma política de segurança de TI são a preservação da confidencialidade, da integridade e da disponibilidade dos sistemas e das informações usadas pelos membros de uma organização. Esses três princípios compõem a tríade da CIA:

  • Confidencialidade envolve a proteção de ativos contra entidades não autorizadas
  • Integridade garante que a modificação de ativos seja tratada de maneira especificada e autorizada
  • Disponibilidade é um estado do sistema no qual os usuários autorizados têm acesso continuamente a esses ativos

A Política de Segurança de TI é um documento vivo que é continuamente atualizado para se adaptar à evolução dos requisitos comerciais e de TI. Instituições como a International Organization of Standardization (ISO) e o U.S. National Institute of Standards and Technology (NIST) publicaram padrões e práticas recomendadas para a formação de políticas de segurança. Conforme estipulado pelo National Research Council (NRC), as especificações de qualquer política da empresa devem abordar:

  1. Objetivos
  2. Escopo
  3. Metas específicas
  4. Responsabilidades pela conformidade e ações a serem tomadas em caso de não conformidade.

Também são obrigatórias em todas as políticas de segurança de TI as seções dedicadas à adesão aos regulamentos que regem o setor da organização. Exemplos comuns disso incluem o Padrão de Segurança de Dados PCI e os Acordos de Basileia em todo o mundo, ou a Reforma Dodd-Frank de Wall Street, a Lei de Proteção ao Consumidor, a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde e a Autoridade Regulatória do Setor Financeiro nos Estados Unidos. Muitas dessas entidades regulatórias exigem uma política de segurança de TI por escrito.

A política de segurança de uma organização desempenhará um papel importante em suas decisões e direção, mas não deve alterar sua estratégia ou missão. Portanto, é importante redigir uma política que seja extraída da estrutura cultural e estrutural existente da organização para apoiar continuamente a boa produtividade e a inovação, e não como uma política genérica que impeça a organização e seu pessoal de cumprir sua missão e suas metas.

 

Receba as últimas notícias, convites para eventos e alertas de ameaças