POLÍTICA DA SEGURANÇA DA INFORMAÇÃO
Por: Leosandrini • 14/5/2018 • Trabalho acadêmico • 1.254 Palavras (6 Páginas) • 148 Visualizações
JOÃO MAIA
KIM RAFAEL
LEONARDO SANDRINI
LUIS RICARDO METRING GONÇALVES
LUIZ GONÇALVES
MAURICIO MORAIS
Trabalho de Auditoria e Segurança da Informação
CURITIBA
2015
APRESENTAÇÃO DA EMPRESA
A ABC é uma corretora que atende milhares de clientes através de um sistema web de cotações on-line.
A ABC modelou o sistema sem utilizar uma norma de segurança e isso pode causar alguns prejuízos.
DESCRIÇÃO DO PROCESSO DE COTAÇÃO
- Cliente preenche a cotação on-line com seus dados pessoais e demais informações
- Corretor recebe, analisa e prepara a apólice
- Corretor encaminha para a seguradora
- Seguradora aprova ou desaprova.
RISCOS NO PROCESSO
Os dados informados podem ser:
- Falsos
- Prestados de maneira equivocada
- Vazados ou interceptados
- Perdidos
USANDO ISO 27002
UMA ABORDAGEM PRÁTICA
Como trabalhar os riscos de modo que não ocorram ou que sejam facilmente controlados.
SOLUÇÃO 1: Controle de Acesso
Somente funcionários e corretores autorizados no sistema têm acesso aos dados do cliente de modo geral.
Os demais, dependendo ainda do nível de permissão, podem ver somente o nome, ramo de seguro desejado e orçamento aproximado.
O sistema funcionará com modo hierárquico.
SOLUÇÃO 2: Criptografia de dados
Em backups e no banco de dados, os registros deverão ser criptografados, afim de evitar que, no caso de interceptação ou vazamento, os dados sejam completamente abertos.
Nem mesmo os clientes conseguem ter acesso aos dados depois de preenchidos. Os mesmo só serão descriptografados através do sistema, quando acessados com as devidas permissões.
SOLUÇÃO 3: Validação de dados com I.A.
Através da Inteligência Artificial, o sistema poderá calcular se as informações prestadas no momento da cotação on-line (por parte do cliente final) têm coerência ou se foram prestadas de maneira verídica.
Levando em conta fatores como velocidade de entrada de dados, uso/desuso de caracteres especiais, IP, informações previamente qualificadas, entre outros, o sistema deverá analisar todos os dados antes de avançar a etapa.
POLITICA DA SEGURANÇA DA INFORMAÇÃO
Pode-se definir a política de segurança como um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. Ela é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação. Sem regras pré-estabelecidas, ela torna-se inconsistentes e vulnerabilidades podem surgir. A política tende a estabelecer regras e normas de conduta com o objetivo de diminuir a probabilidade da ocorrência de incidentes que provoquem, por, exemplo a indisponibilidade do serviço, furto ou até mesmo a perda de informações. As políticas de segurança geralmente são construídas a partir das necessidades do negócio e eventualmente aperfeiçoadas pele experiência do gestor.
Segundo a NBR ISSO/IEC27002(2005), é recomendado que a política de segurança da informação seja revisada periodicamente e de forma planejada ou quando ocorrerem mudanças significativas, para assegurar a sua continua pertinência, adequação e eficácia.
PARA ELABORAR A POLITICA DE SEGURANÇA DA INFORMAÇÃO NA EMPRESA
Deve-se formar um comitê de segurança da informação, constituído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura, recursos humanos e outro que for necessário. O comitê será responsável por divulgar e estabelecer os procedimentos de segurança, se reunindo periodicamente, ou a qualquer momento conforme requerido pelas circunstancias, com o objetivo de manter a segurança em todas as áreas da organização.
PARA QUE A CULTURA DA EMPRESA SEJA MUDADA EM RELAÇÃO À SEGURANÇA DA INFORMAÇÃO
É fundamental que os funcionários estejam preparados para a mudança, por meio de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento direcionado.
Todos os funcionários da organização, incluindo aqueles que são terciários e prestadores de serviço, deverão receber um treinamento adequado para que se adequem às mudanças.
NORMAS DE SEGURANÇA DA INFORMAÇÃO
Um dos componentes mais importantes do processo de Gestão de Segurança da Informação é o conjunto de Normas e Procedimentos que irá guiar os gestores e usuários na produção, manuseio e guarda das informações da Organização.
São 16 as normas de segurança da informação, baseado na definição de normas da Secretaria de Administração Do Estado da Bahia(SAEB) ,listadas abaixo:
-NORMA 1- RESPONSABILIDADE DOS ÓRGAOS
Orientar os órgãos e entidades da Administração Pública do Poder Executivo Estadual, que compõem a administração direta, autárquica e fundacional, quanto à utilização das Normas de Segurança da Informação.
-NORMA 2- CLASSIFICAÇÃO DA INFORMAÇÃO
Estabelecer diretrizes que garantam que todas as informações, independente de seus meios de armazenamento ou transmissão, recebam níveis adequados de proteção e sejam classificadas com clara indicação do assunto, fundamento da classificação, indicação do prazo do sigilo e identificação da autoridade que a classificou, respeitando o princípio da observância da publicidade como preceito geral e do sigilo como exceção, conforme a Lei Federal nº 12.527, de 18 de Novembro de 2011 (Lei de Acesso à Informação Pública).
...