Política de Segurança da Informação para Usuários

Exercício –Política de Segurança

Objetivo: Elaborar uma política de segurança da informação, mediante a discussão e criação da documentação em grupo.

Estudo de caso: Política de Segurança da Informação para Usuários

A EXEMPLO S.A. é uma empresa que atua no segmento industrial, fabricando peças mecânicas para aeronaves de grande porte. A empresa tem verificado, ao longo do tempo, a ocorrência de diversos incidentes de segurança da informação. Recentemente a equipe de administração de Tecnologia da Informação identificou a existência de ferramentas de quebra de senha sendo utilizadas na rede da companhia. Alguns usuários relataram que estavam sofrendo diversos tipos de brincadeiras e ameaças internas relacionadas ao conteúdo de determinadas mensagens de E-mail. O caso mais grave foi o envio de uma série de imagens pornográficas para a Alta Administração da empresa. A mensagem foi enviada a partir da conta de um usuário que já havia sido desligado da empresa há três meses.

Ciente do problema e do mal estar que estes incidentes estavam causando em toda a empresa, a Alta Administração resolveu criar uma área de Segurança da Informação (SI), a qual estaria com totais poderes. Houve um processo de seleção no mercado de trabalho para buscar um profissional que seria o responsável por estruturar, definir e implementar a segurança da informação na rede de computadores da companhia. Depois de várias entrevistas e um processo seletivo altamente criterioso, VOCÊ foi escolhido como Administrador de Segurança da EXEMPLO S.A.

A Alta Administração determinou qual seria a primeira tarefa desta nova área: elaborar a Política de Segurança da Informação. Em reuniões com os executivos da empresa, a área de Segurança da Informação elaborou 3 Diretrizes básicas de segurança:

1. Toda informação armazenada nas dependências da EXEMPLO S.A. é considerada patrimônio da empresa. Seu uso deverá ser feito exclusivamente para os interesses da organização.

2. Cada colaborador é responsável pela segurança dos ativos e informações que estejam sob sua custódia e por todos os atos executados com suas identificações de acesso.

3. A gestão da segurança será de responsabilidade da área de Segurança da Informação.

Após a identificação das Diretrizes, a área de Segurança da Informação passou a priorizar a criação da Política/Normas de Segurança da Informação para Usuários, com intuito de fornecer à Alta Administração o mecanismo regulador interno para a implementação dos controles de segurança. O primeiro passo, ao se pensar em definir as regras para os usuários, foi a criação de um Comitê de Segurança, para que este pudesse interagir durante o processo de elaboração. Foram escolhidos representantes das diversas áreas da empresa, conforme descrito abaixo:

• Gerente de TI

• Um membro do departamento Jurídico

• Gerente da Auditoria

• Gerente de RH

• Gerente de Segurança Patrimonial

É bom lembrar que além dos membros acima, tem presença garantida o Administrador de Segurança da Informação. A turma deve dividir-se em grupos de no máximo 6(seis) pessoas. Cada membro do grupo irá representar uma ou mais entidades acima. Os assuntos que devem ser contemplados na elaboração da Política/Normas de Segurança da Informação para Usuários são os seguintes:

...