A G2TI é uma empresa integradora e provedora de Gestão e modelos de Governança em Tecnologia de Informação abrangendo as áreas deInfraestrutura, Sistemas aplicativos (ERP), Projetos, Help-Desk, Desenvolvimento de Internet, Intranet e Extranet, GED – Gestão Eletrônicade Documentos., Consultoria Organizacional alinhada com TI. www.g2ti.com.br

POLÍTICA DE SEGURANÇA EM TI

A Informação é o patrimônio maisprecioso que as Empresas possuem, poressa razão, desenvolver, aplicar e manteruma Política de Segurança é fundamental.Uma informação incorreta circulandodentro da Organização ou o vazamento deassuntos confidenciais podem causar umdesastre de proporções irreversíveis, tanto noaspecto financeiro como na imagem daEmpresa.Seria importante desenvolver o que nósda

G2TI

denominamos de

Perímetro deSegurança

, a linha que delimita as fronteirasinternas e externas, onde a informação deveficar protegida.A Proteção está diretamente vinculadaaos privilégios de acesso, armazenamento edistribuição da Informação.Níveis de acesso, privilégio eautorizações devem ser claramente definidosnesta política.Na maioria dos casos, deverá sernominal, determinando especificamente, qualo profissional interno da Empresa que podeutilizar a Informação, em procedimento bemclaro.Quando falamos em Segurança, nos vêmà mente as senhas (Cadeia de caracteres queautoriza o acesso a um conjunto deoperações em um sistema de computadoresou em equipamentos computadorizados),para autorizar os acessos, quer seja físico(entradas, saídas), ou lógico (sistemas,arquivos).A Tecnologia de Segurança está cada vezprogredindo mais na busca da melhor formade proteção. Sistemas de Vídeo monitoram egravam a circulação de pessoas. Sistemas debiometria permitem acesso através davalidação da impressão digital ou da íris.Novos conceitos são amplamentediscutidos ultrapassando a área de TI, indoprincipalmente para a área jurídica, para quese evite o excesso de controle e não se atinjaa privacidade do cidadão.Um tema muito debatido é o e-mail daspessoas que trabalham nas Empresas.Hávárias perguntas devem ser monitorados éuma delas, pois, cada endereço de e-mailtem ao seu final o nome da Empresa, bemcomo a utilização do e-mail particular, nasdependências da Empresa, pois, a ele podeser anexado algum documento eletrônico quesomente deva ser utilizado dentro daOrganização.São vários os componentes que devemser analisados e definidos no

Perímetro deSegurança

Conteúdo da Política de Segurança

A Política de Segurança deve contertodas as medidas de administração daInformação da Empresa, é recomendado queseu desenvolvimento seja realizado por umgrupo neutro, isento, externo e competente.

Abrangência

O seu conteúdo deve ser extremamenteabrangente, totalmente adequada ao negócio.Esta abrangência deve ir além dasfronteiras da Empresa, deve contemplar: aMatriz, as Filiais, os Bancos, os Clientes, osFornecedores, os Parceiros, os Beneficiados,os Concorrentes, as Unidades de Negócio, oGoverno, os Representantes e a Comunidadecomo um todo.As questões regionais devem serprevistas. Multinacionais com presença emdiversos países devem verificar as leis epadrões do País em que estão sediadas, poisestas podem, em tese, interferir na Política deSegurança.Após a definição dos componentes daPolítica de Segurança, devem serpesquisados regionalmente os recursos deTecnologia (equipamentos, sistemas,procedimentos), que compõem a infra-estrutura necessária para a viabilizaçãodessa Política.

Usuários habilitados

A área de Recursos Humanos éimprescindível para manter o controle sobreos usuários nos aspectos de sua capacitação.O usuário deve ser qualificado, a fixaçãodo conhecimento adquirido deverá, serrealizado através de reciclagens outreinamentos.O conceito de usuário (Cada um daquelesque usam ou desfrutam alguma coisacoletiva, ligada a um serviço público ouparticular); passível de habilitação tambémdeve ser definido, considerando-se queexistem profissionais na Empresa que aindanão estão qualificados para tal, uma vez queesse trabalho específico, exige muitaresponsabilidade.Os Estagiários são um exemplo, elesainda não podem ser considerados comoprofissionais efetivos da Empresa.O usuário deve ser identificado pelo seunome, cada acesso deve ter o registro detodas as suas ações e jamais as senhasdevem ser divulgadas entre os usuários, bemcomo, alteradas periodicamente, isto jádeverá ser automatizado.Deve existir um Termo deResponsabilidade para cada usuário assinar,concordando com o respeito à Política deSegurança vigente. Caso alguém possa vir ainfringir às normas de Segurança, a demissãopor Justa Causa poderá vir a ocorrer. Paraevitar essa possibilidade, a Política deSegurança deverá vir a ser amplamentedivulgada entre os usuários, bem comotreinamentos devem ser realizados.

Apoio e suporte

Não os ter, serem precários oudesestruturados é porta aberta para o risco.Caso não existam, o usuário poderáincorrer em erros, e se não houver reciclageme treinamento, a situação poderá se tornarconflitante.Estruturar o apoio acima significa ter um

Help Desk

que funcione, apóie em primeironível e transfira para um profissional maispreparado caso a necessidade seja maisgrave. Todo o registro, desde a solicitação atéa solução final deve ser mantido. Análisesperiódicas devem ser realizadas nestesregistros, para conhecimento dos pontosvulneráveis e a tomada de ações pro-ativas ecorretivas.

Redes Interna e Externa

Os Arquivos departamentais devem seracessados somente pelo grupo de trabahoautorizado. Esta é uma regra de segurançaque identifica ilhas departamentais.Acesso com tentativas indevidas devemresultar no bloqueio de

e asrecorrências investigadas.