Implementar Segurança da Informação em uma organização pode ser um processo doloroso e que muitas vezes não se chega a um resultado esperado, é necessário ter um projeto bem elaborado e implantado para minimizar os impactos que a Política de Segurança da Informação faz dentro de uma organização.
Abaixo segue alguns passos que ajudarão no projeto e implementação de uma Política de Segurança da Informação:
1 Análise das necessidades da organização:
As organizações são formadas por pessoas, que por sua vez criam processos, isto faz com que cada organização seja única. Partindo do princípio desta singularidade é necessário reunir uma equipe técnica capaz de não só entender a infra-estrutura e seus pontos fracos, mas sim entender qual o verdadeiro impacto que uma política de segurança vai trazer as pessoas e aos processos da organização. Para uma implantação eficaz é necessária a elaboração de uma política que não venha a interferir nos processos críticos das organizações, justamente para não comprometer os negócios, já que este é um dos objetivos da política, garantir a continuidade dos negócios.
2 Definir objetivos:
Tendo em mãos os levantamentos técnicos é necessário definir os objetivos e abrangência da política, saber aonde se quer chegar é o primeiro passo para chegar ao lugar certo. É necessária uma visão estratégica do mercado de tecnologias, sobre o comportamento humano e sobre gestão de processos para definir com clarezas os objetivos a longo prazo da política de segurança. É incorreto e ilógico afirmar que o objetivo de uma política de segurança é manter uma rede totalmente segura, todos sabem que isso é utópico e que qualquer sistema com o tempo e tecnologia adequada pode ser invadido. Neste caso um dos principais objetivos da Política de Segurança é saber alocar recursos para a gestão de segurança, otimizando os gastos, se prevenindo internamente e acertando o alvo certo ao realizar investimentos em materiais, equipamentos e treinamentos.
Tendo em mãos os levantamentos técnicos é necessário definir os objetivos e abrangência da política, saber aonde se quer chegar é o primeiro passo para chegar ao lugar certo. É necessária uma visão estratégica do mercado de tecnologias, sobre o comportamento humano e sobre gestão de processos para definir com clarezas os objetivos a longo prazo da política de segurança. É incorreto e ilógico afirmar que o objetivo de uma política de segurança é manter uma rede totalmente segura, todos sabem que isso é utópico e que qualquer sistema com o tempo e tecnologia adequada pode ser invadido. Neste caso um dos principais objetivos da Política de Segurança é saber alocar recursos para a gestão de segurança, otimizando os gastos, se prevenindo internamente e acertando o alvo certo ao realizar investimentos em materiais, equipamentos e treinamentos.
3 Elaboração de um mapa estratégico:
Se definir os objetivos é essencial para a implantação de uma política, saber como chegar aos objetivos é essencial para alcançar os objetivos definidos. Para isso surge a necessidade de levantar caminhos para a implantação da política, como campanhas de marketing (incluindo criação de slogans, divulgação, brindes, etc), treinamentos, conscientizações e busca de aperfeiçoamentos contínuos das tecnologias empregadas para a Segurança da Informação.
Se definir os objetivos é essencial para a implantação de uma política, saber como chegar aos objetivos é essencial para alcançar os objetivos definidos. Para isso surge a necessidade de levantar caminhos para a implantação da política, como campanhas de marketing (incluindo criação de slogans, divulgação, brindes, etc), treinamentos, conscientizações e busca de aperfeiçoamentos contínuos das tecnologias empregadas para a Segurança da Informação.
O Mapa Estratégico não é nada mais que os caminhos para atingir as metas traçadas, estes caminhos devem ser cuidadosamente estudados em cada organização a ser aplicada à política, como dito cada organização é singular da outra contendo diferentes pessoas e diferentes processos, o mapa estratégico como todo o resto da política deve ser flexível a estas singularidades.
4 Treinamento e Conscientização:
Um dos caminhos a ser seguido no mapa estratégico é a criação de treinamentos. A premissa para um treinamento eficiente em Segurança da Informação é a realização de treinamentos sobre ética. É recomendável que cada organização tenha também um conselho de ética para apurar determinados comportamentos. Após a ênfase em ética é necessário abordar um treinamento sobre segurança, este treinamento deve ser bastante didático e não deve deixar nenhuma dúvida sobre a Política da Segurança.
E nunca esquecer: Segurança começa e termina com pessoas.
Um dos caminhos a ser seguido no mapa estratégico é a criação de treinamentos. A premissa para um treinamento eficiente em Segurança da Informação é a realização de treinamentos sobre ética. É recomendável que cada organização tenha também um conselho de ética para apurar determinados comportamentos. Após a ênfase em ética é necessário abordar um treinamento sobre segurança, este treinamento deve ser bastante didático e não deve deixar nenhuma dúvida sobre a Política da Segurança.
E nunca esquecer: Segurança começa e termina com pessoas.
5 Análises de soluções:
Uma das partes mais crítica em uma política de segurança é a análise de soluções. Pesquisar softwares e hardwares que ampliem o nível de segurança de uma organização e manter o nível de funcionalidade da rede com um ótimo custo – benefício é um grande problema para todo administrador de redes. Algumas dicas podem ser muito úteis ao analisar soluções para segurança, tais como, conhecer a organização fornecedora da solução, verificar histórico de atualizações, verificar históricos de falhas, não depender somente de uma organização para a solução e principalmente obter uma solução de backup que atenda completamente as necessidades da organização.
Uma das partes mais crítica em uma política de segurança é a análise de soluções. Pesquisar softwares e hardwares que ampliem o nível de segurança de uma organização e manter o nível de funcionalidade da rede com um ótimo custo – benefício é um grande problema para todo administrador de redes. Algumas dicas podem ser muito úteis ao analisar soluções para segurança, tais como, conhecer a organização fornecedora da solução, verificar histórico de atualizações, verificar históricos de falhas, não depender somente de uma organização para a solução e principalmente obter uma solução de backup que atenda completamente as necessidades da organização.
6 Melhorias contínuas:
Depois que a política estiver implantada na organização, as engrenagens estiverem encaixadas e funcionando adequadamente, é necessário sempre buscar melhorias em processos, pessoas e tecnologias. Os três estão sujeitos a mudanças constantes. Vivemos em uma época onde os mercados estão muito acirrados, sendo necessária a busca contínua por inovações e melhorias para estar sempre um passo a frente das demais organizações. Ameaças virtuais aparecem o tempo todo e com elas novas tecnologias devem ser agregadas a gestão de segurança.
Não só a tecnologia, mas os treinamentos também devem ser atualizados constantemente a fim de facilitar a comunicação e o entendimento dos usuários, os treinamentos devem ser atualizados também conforme o surgimento de novas pragas virtuais e de novas tecnologias, sempre mantendo os usuários dos recursos de informática conscientes e atualizados sobre o que acontece na era digital.
Nada impede também melhorias nos processos, que antes de implantados devem ser rigorosamente revisados. O mundo evolui de forma rápida, paradigmas são quebrados por novas idéias, assim sendo, os processos não devem ficar estagnados.
Depois que a política estiver implantada na organização, as engrenagens estiverem encaixadas e funcionando adequadamente, é necessário sempre buscar melhorias em processos, pessoas e tecnologias. Os três estão sujeitos a mudanças constantes. Vivemos em uma época onde os mercados estão muito acirrados, sendo necessária a busca contínua por inovações e melhorias para estar sempre um passo a frente das demais organizações. Ameaças virtuais aparecem o tempo todo e com elas novas tecnologias devem ser agregadas a gestão de segurança.
Não só a tecnologia, mas os treinamentos também devem ser atualizados constantemente a fim de facilitar a comunicação e o entendimento dos usuários, os treinamentos devem ser atualizados também conforme o surgimento de novas pragas virtuais e de novas tecnologias, sempre mantendo os usuários dos recursos de informática conscientes e atualizados sobre o que acontece na era digital.
Nada impede também melhorias nos processos, que antes de implantados devem ser rigorosamente revisados. O mundo evolui de forma rápida, paradigmas são quebrados por novas idéias, assim sendo, os processos não devem ficar estagnados.
7 Flexibilidade:
Flexibilidade está diretamente ligada às melhorias contínuas. Uma Política de Segurança da Informação por sua natureza deve ser flexível a mudanças do comportamento humano, mudanças nos processos críticos de uma organização e flexível a novas tecnologias, evitando assim cair em desuso.
Flexibilidade está diretamente ligada às melhorias contínuas. Uma Política de Segurança da Informação por sua natureza deve ser flexível a mudanças do comportamento humano, mudanças nos processos críticos de uma organização e flexível a novas tecnologias, evitando assim cair em desuso.
[...] A implementação de uma P.S.I. [...]