Política de Segurança

“A política de segurança da informação é o conjunto de diretrizes que deve expressar o pensamento da alta administração da instituição em relação ao uso da informação por todos aqueles que têm acesso a esse bem. Neste caso, a administração está representando os proprietários que, como donos, devem decidir os destinos de todos os recursos da instituição.” (FONTES)

Dessa maneira, podemos definir a política da segurança como sendo sistemáticas gerenciais que visam determinar o nível de segurança de uma rede ou sistemas de informação de uma instituição, suas funcionalidades e a facilidade de uso.


Essas sistemáticas são reunidas em um documento formal com regras pelas quais as pessoas deverão aderir para ter acesso à informação e à tecnologia da instituição.


Para se estabelecer uma política de segurança é necessário conhecer os objetivos da instituição, para depois poder medi-los e verificar as ameaças.


Ser verdadeira: A política deve realmente exprimir o pensamento da instituição e deve ser coerente com as ações dessa instituição. Deve ser possível o seu cumprimento.

Ser curta: Duas a três páginas são suficientes para se formalizar uma política. Não devemos confundir política com normas e procedimentos de segurança. A política não deve ser um “Manual de Procedimentos”. Este manual pode até existir, mas terá vida própria.

Ser válida para todos: A política deve ser cumprida por todos os usuários que utilizam a informação da instituição. Ela é válida para o diretor e para o estagiário recém contratado. Normalmente o "rei" não causa maiores problemas. Os problemas deste tipo são causados pelos "amigos do rei".

Ser simples: A política deve ser entendida por todos. Deve ser escrita em linguagem simples e direta. A política não deve conter termos técnicos de difícil entendimento pelos "mortais".

Ter o patrocínio da alta direção da instituição: O documento normativo que formalizará a política deve ser assinado pelo mais alto executivo, explicitando assim o seu total apoio à política.

As políticas de segurança podem variar muito, mas em geral sempre existem alguns pontos em comum.
- A Informação como um Bem da instituição - uso profissional;
- Controle do acesso à Informação;
- Responsabilidades – usuário e gerência;
- Preparação para situações de contingência - continuidade operacional;
- Privacidade do usuário - arquivos pessoais, correio eletrônico;
- Medidas disciplinares que serão utilizadas caso a Política não seja cumprida.

A política de segurança proporciona o direcionamento para as implementações técnicas. Implementar procedimentos de segurança sem uma política definida é equivalente a navegar sem saber onde se quer chegar. Porém, a política deve ser um elemento de um conjunto de ações que compõem o Processo de Segurança da instituição.