O que é uma política de segurança?
Sem diretrizes, onde estaria a sociedade? Vimos filmes e videogames que retratam um mundo pós-apocalíptico onde não há regras. Regras e leis são necessárias para manter a paz e proteger o público, ou então a anarquia reinará. Nos negócios, as políticas são necessárias para manter a produtividade da empresa e proteger seus recursos. Uma forte política de segurança de TI pode proteger os funcionários e os resultados financeiros.
Uma organização precisa ter uma política de segurança que seja definida, apropriada e flexível, e um documento vivo que possa se adaptar à tecnologia em constante evolução. Esta política de segurança cobre como os funcionários podem usar a tecnologia da empresa e como um departamento de TI trabalha com os funcionários para potencializar e proteger essa tecnologia. A prática recomendada para segurança de TI é uma estratégia de defesa em profundidade, que envolve várias camadas de proteção, desde software antivírus e proteções por senha até bloqueios físicos e firewalls de hardware e software. A defesa em profundidade também é chamada de abordagem do castelo, porque um castelo terá várias camadas de proteção (um fosso, uma ponte levadiça, catapultas e assim por diante). A política de segurança precisa levar em consideração vários aspectos da organização; deve proteger os funcionários, os ativos (hardware e software) e os dados da empresa.
Protegendo os Funcionários
Os funcionários precisam de proteção física e virtual: eles precisam conhecer os planos de evacuação em caso de incêndio ou desastre ambiental, mas também devem ter proteções básicas de TI. Cada funcionário que usa um computador deve ter uma conta de usuário individual para garantir a responsabilidade, com uma política de senha claramente definida e seguida pelo funcionário. Uma política de uso aceitável(incluindo o reconhecimento do usuário de que compreende a política) protege o usuário e a organização, definindo o que um usuário pode e não pode fazer com o equipamento de informática para reduzir a ameaça de uma violação. As diretrizes para dispositivos móveis devem ser implementadas em caso de perda ou roubo, desde criptografia até gerenciamento remoto. Alguns aplicativos de gerenciamento remoto podem ativar a câmera e o GPS no dispositivo, tirar uma foto furtiva dos arredores e enviar as informações de volta a um administrador para serem encaminhadas à gerência e às autoridades policiais.
Protegendo os Ativos
A segurança física dos ativos também é importante. Isso pode ser tão simples como trancar a porta da frente de um pequeno escritório à noite ou tão complicado quanto ter um dispositivo biométrico na porta da sala de um servidor. Se uma área for deixada sem supervisão com um computador desktop ao ar livre, sem travas de cabo, ele pode facilmente desaparecer. Os discos e arquivos de instalação de software também devem ser protegidos para evitar o uso não autorizado e violações de licença. Os sistemas de acesso por cartão podem rastrear crachás de identificação; As câmeras IP podem registrar informações em gravadores de vídeo digital; e o software de gerenciamento de ativos de computador pode registrar e rastrear a localização dos recursos da empresa. É importante documentar não apenas o inventário de uma organização, mas também as políticas relacionadas ao gerenciamento dos recursos da empresa.
Protegendo os Dados
Os dados que uma empresa armazena devem ser classificados e protegidos com base nessa classificação de ameaças externas e internas em potencial: o hacker malicioso, o funcionário insatisfeito e erros de funcionários não treinados. O uso de firewalls para evitar ameaças externas e listas de controle de acesso (ACLs) para impor o conceito de privilégio mínimo para usuários internos são bases para manter os dados seguros, mas são apenas etapas preliminares no modelo de defesa em profundidade da tecnologia da informação. O backup e a proteção dos dados são importantes para um ambiente seguro, e as políticas e procedimentos de recuperação de desastres são vitais no caso de violação ou perda de hardware.
Criação de uma política eficaz
Uma política de segurança deve ser totalmente documentada e disponível para todos os usuários. Deve ser aplicável e incluir repercussões específicas quando violado. Por exemplo, se uma política de uso aceitável for violada por um usuário que baixou uma cópia pirata do filme mais recente, esse usuário pode ser repreendido, sancionado ou rescindido, dependendo da política. Uma primeira infração pode exigir que o usuário participe (ou volte a comparecer) ao treinamento, enquanto várias violações podem levar a sanções mais graves.
Resumo da lição
Uma política de segurança de TI bem escrita e atualizada cria uma base sólida sobre a qual construir um departamento de TI forte. Ele oferece proteção para os ativos da organização através do uso da estratégia de defesa em profundidade , funcionários através do uso de uma política de uso aceitável e dados usando firewalls e privilégios mínimos. Ele pode atuar como um plano para onde um departamento de TI está atualmente, um códice de como ele opera e um roteiro para onde aspira estar.