Resumo Segurança da Informação

Ler: ISO/IEC 17799:2005

Considerando a ISSO 17799, as linhas de telecomunicação e energia, dentro das instalações de processamento de
informações, devem ser subterrâneas / os cabos de energia devem ser segregados dos cabos de comunicação para impedir
interferência.

Um planejamento detalhado é o ponto de partida para a eficácia de um plano de backup e recuperação. Na implementação de
uma solução eficaz de backup e recuperação, incluindo planos de prevenção de desastres e planos de recuperação de desastres,
o backup incremental é aquele que captura os dados que foram alterados desde o último backup total. Necessita-se de uma fita de
backup total e da fita incremental mais recente para executar uma restauração completa do sistema. Ele não marca os arquivos
como tendo sido submetidos a backup, ou seja, o atributo de arquivamento não é desmarcado.

Instrumento que define as normas a serem aplicadas na empresa e praticadas por seus funcionários, colaboradores, prestadores
de serviço, clientes e fornecedores, com o objetivo de preservar os ativos de informação livres de risco, assegurando a
continuidade dos negócios. É a definição de Política de Segurança da Informação.

Nas atividades operacionais de elaboração de um plano de contingência NÃO deverão envolver-se diretamente representantes
das áreas de negócios e comercial.

As ações a serem tomadas imediatamente após a ocorrência de um incidente que coloque em risco as operações do negócio
devem estar descritas no plano de continuidade de negócios como procedimentos de emergência.

Política de segurança é política planejada, válida para os setores críticos da organização, com regras o mais claro e simples
possível, e estrutura gerencial de fiscalização dessa política, claramente sustentada pela alta hierarquia da área de informática.

A Política de Segurança da Informação de uma empresa, deve considerar:

I - A política deve, sempre que possível, indicar alguma forma de punição para aqueles que a desrespeitarem ou, do contrário, ela
simplesmente será ignorada. Por exemplo, as punições previstas para o não-cumprimento da política devem respeitar as leis de
contrato de trabalho da organização, como a CLT, que prevê desde simples advertências até o desligamento por justa causa.

II - As pessoas, como ativos de informação, também possuem vulnerabilidades, entre as quais não conhecer as normas, não
saber os limites, não saber o que é confidencial ou não, entre muitas outras. A política deve endereçar esse tipo de
vulnerabilidade, diminuindo o risco de que ameaças consigam explorar as vulnerabilidades das pessoas.

III - A política regula o comportamento sobre o uso da informação em diversos níveis e meios. Sempre que for aplicável, ela deve
apontar o responsável pela informação e a forma correta de uso, podendo estabelecer, por exemplo, que o sistema de correio
eletrônico deve ser utilizado exclusivamente para fins profissionais relacionados com a empresa em questão.

IV - A classificação dos ativos de informação é uma etapa importante no processo de garantia de segurança da informação.
Classificar envolve, por exemplo, inventariar, definir o grau de relevância e identificar esses ativos de informação. Esse processo,
além de estruturar e permitir uma gestão mais eficiente dos ativos, contribui significativamente para a análise e tratamento de
riscos de segurança da informação.

Em um plano de recuperação de desastres, as diretrizes devem prever os impactos da paralisação e o tempo necessário para a
recuperação das atividades de TI. Dentre as prinicipais estratégias para recuperação, aquela em que a organização possui outro
local próprio no qual possa executar o suporte aos serviços de TI é conhecida por backup quente ou hot site.