23 de abr. de 2010

Política de Segurança (2)


Talvez alguns possam achar estranho o título... Como pode ser (2) se não foi postado o (1)... Calma! É meio que uma continuação do post do Adilson.

Em vez de colocar como comentário, pensei em postar separado por causa do tamanho. Vamos lá.
Cá estava eu a ministrar o cap. 4 do módulo 4 do CCNA quando me deparei com o assunto no item 4.1.6 "A Política de Segurança Corporativa". Na verdade é um B-A-BÁ, pois trata-se de um item dentro do cap. 4 apenas, mas o que me chamou a atenção foi que existe uma RFC para isso. (adoro RFCs! hehe).

O que é uma Política de Segurança?

Vamos responder a essa pergunta com uma definição:

"Uma política de segurança é uma declaração formal das regras que as pessoas que recebem acesso à tecnologia e aos ativos de informações de uma organização devem seguir."

Esta definição está na RFC 2196.

Uma política de segurança beneficia uma organização das seguintes formas:

  • Fornece um meio para auditar a segurança de rede existente e comparar os requisitos com o que está implantado.
  • Planeja melhorias de segurança, inclusive equipamento, software e procedimentos.
  • Define as funções e as responsabilidades dos executivos, administradores e usuários da empresa.
    Define qual comportamento é e qual não é permitido.
  • Define um processo para tratar incidentes de segurança na rede.
  • Habilita a implementação de segurança global e a aplicação, funcionando como um padrão entre sites.
  • Cria uma base para ação legal se necessário.

Enfim, garantir a Segurança de TI de uma empresa não se resume apenas a instalar anti-vírus, firewall, monitorar acessos, etc. É necessário escrever e divulgar os direitos e deveres de todos os colaboradores e executivos da empresa.

Cabe ainda ressaltar que atualmente a Justiça reconhece a prerrogativa da empresa em impor suas "vontades" em relação ao uso da tecnologia da informação. Assim o usuário não vem com aquela história de que ao monitorar a rede, a empresa estaria invadindo sua privacidade. Por isso, torna-se ainda mais importante criar e divulgar a Política de Segurança de TI nas empresas.

Então pessoal, como é a Politica de Segurança nas empresas de cada um de vocês?

Já houve alguma caso polêmico relacionado à privacidade do usuário x propriedade da tecnologia e da informação na empresa ?

Um abraço,
Sandro Leite

Um comentário: