Max Ribeiro Politica de Segurança

Max Ribeiro Politica de Segurança

Max Ribeiro da Cruz

ATIVIDADE POLÍTICA DE SEGURANÇA

SENAC: PSI – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Eu escolhi para a elaboração desta atividade a apostila SENAC: PSI – POLITICA DE SEGURANÇA DA INFORMAÇÃO que começo com a seguinte frase: “A política de segurança é um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais (Dias, 2000).” Como vimos essa definição constante na Apostila de Segurança da Informação do curso de Sistema de Internet da UAB / IFMT, se aplica perfeitamente à Política de Segurança da Informação do SENAC, que elege para elaborar a crítica proposta pelo professor, na qual o discente solicita fazê-la contemplando três momentos:

1-Explicar o entendimento sobre a política de segurança elegida.

2- Explicitar quais foram os pontos fortes e fracos identificados.

3-O que o docente mudaria nessa política de segurança.

Abordando a Política de Segurança do SENAC, constato que ela está muito bem elaborada. Percebe-se a o esforço em garantir a viabilidade e o uso da informação somente por pessoas autorizadas e que realmente necessitam dela para realizar suas funções dentro da empresa. Há esforços para proteger a confidencialidade, integridade e disponibilidade, pois- pelo que se pode inferir do PCI- toda ação que venha a comprometer qualquer um desses princípios, estará atentando contra a sua segurança. Soma-se a isso que o trabalho da Organização está em consonância com os quesitos de política de segurança que estudamos na apostila do curso de Segurança da Informação / IFMT, como por exemplo, autenticação, autorização, legalidade, uso de criptografia, uso de senhas, vulnerabilidade do sistema, combate a invasão, dentre outros.

O texto da Política está compreensível (escritas de maneira clara, concisa e simples). O PCI não está concentrado apenas em ações proibitivas ou punitivas, visualizei ações positivas, pois ao colaborador (funcionário), de forma controlada e que não venha a prejudicar a segurança, lhe é permitido acessar internet e usar e-mail institucional de forma pessoal. A Política prioriza o ativo de maior valor e de maior importância que é a informação, segue alguns dos pontos fortes que encontrei na PCI do SENAC que foram:

O primeiro ponto forte diz respeito à Confidencialidade. No PCI estudado diz que “Deverá constar em todos os contratos do SENAC São Paulo o anexo de Acordo de Confidencialidade ou Cláusula de Confidencialidade, como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pela instituição.” Creio ser ponto forte, pois a quebra desse sigilo pode acarretar danos inestimáveis à empresa. Um exemplo poderia ser o furto do número do login.

O segundo ponto forte que localizei diz respeito aos cuidados com a integridade da informação: “O SENAC, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor.”

Os elaboradores do PSI vão além e propõe: “Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências.”

O terceiro ponto forte que trago à tona é o plano de contingência e a continuidade dos principais sistemas e serviços que deverão ser implantados e testados no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.

O quarto ponto positivo é a Normatização das atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo, já de início ele diz que mesmo sendo para fins corporativos e relacionados às atividades do colaborador usuário dentro da instituição, a utilização desse serviço, para fins pessoais, é permitida desde que feita com bom senso, e não prejudique a empresa e também não cause impacto no tráfego da rede.

Alguns dos pontos fracos que encontrei na PCI do SENAC foram: O primeiro deles é que o SENAC São Paulo deseja facilitar a mobilidade e o fluxo de informação entre seus colaboradores. Por isso, permite que eles usem equipamentos portáteis: notebooks, smartphones e pendrives. Acredito que essa medida pode trazer vulnerabilidade no sistema, pois com o pendrive é possível levar vírus para dentro do computador da empresa.

O segundo ponto fraco que encontrei foi que a PCI do SENAC diz que os colaboradores com acesso à internet poderão fazer o download (baixar) somente de programas ligados diretamente às suas atividades no SENAC e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela GES. Acredito que para uma maior segurança, no caso de ser necessário baixar arquivo, esse download deveria ser feito mediante a senha de acesso do gerente ou coordenador, ou seja, eles deveriam autorizar o procedimento.

Mais um terceiro ponto fraco poderia ser que não localizei um cronograma de palestras de conscientização ou elaboração de guias rápidos de consulta e treinamento direcionado para a implementação do PSI.

Em meu pensamento o que eu mudaria, primeiro começaria por implementar o procedimento de segurança que diria que os colaboradores só poderiam baixar arquivos da internet com a supervisão do gerente.

Depois, restringiria o uso de dispositivos móveis, tipo pendrive, que poderia levar vírus para dentro da empresa e comprometer o sistema. Para que a cultura da empresa seja mudada em relação à segurança da informação, é fundamental que os funcionários estejam preparados para a mudança, por isso, uma terceira providência seria a conscientização por meio de avisos, palestras e treinamento direcionado.

Uma quarta providencia seria restringir o uso do e-mail institucional apenas as atividades da empresas, desvinculando-o do uso pessoal; todavia liberaria o uso do e-mail pessoal após o trabalhador assinar acordo de uso da ferramenta segundo o PSI da empresa, sob pena de sanções legais. Em quinto lugar, o acesso à Internet, no ambiente colaborativo, deveria ser utilizado exclusivamente para trabalho; todavia, seriam disponibilizados pontos de acesso à rede global para que os funcionários, no horário do almoço ou do lanche, pudessem acessá-la se, assim, desejassem.

Por fim, acrescentaria também as penalidades de acordo com o nível do descumprimento de um item da política de segurança que poderia ser:

1) Crítica: demissão/processo na justiça;

2) Séria: demissão/desconto salarial ou

3) Limitada: desconto salarial/repreensão escrita/suspensão não remunerada.

Comentários