Arquivos

2) Necessidade

A PSI deve incorporar e atender algumas necessidades básicas para que possa ser útil para o processo de Gestão de Segurança como um todo. Veremos algumas delas

O que deve ser protegido?

O primeiro passo para montar uma política de sucesso e´, uma vez identificados os seus objetivos, proceder também com a identificação dos ativos mais relevantes ao alcance desses objetivos. Dentre as formas existentes para se identificar esses ativos, a AAR é a mais indicada.

De quem estamos nos protegendo?

Definir os principais pontos de preocupação que podem causar danos aos ativos também faz parte do processo de priorização e definição de escopo da política. Organizações diferentes possuem necessidades diferentes. Dependendo do ramo de atividade, uma empresa pode se preocupar mais com fraudes ou espionagem.  A localização geográfica pode determinar se a preocupação com problemas de ordem natural, como ciclones, deve ou não figurar no topo da lista de prioridades.

Uma grande tendência hoje, é a preocupação com fraudes e espionagem profissional. A fraude eletrônica permite que grandes somas de dinheiros sejam roubadas ou desviadas com uma exposição muito pequena por parte do fraudador, normalmente demandando uma quantidade mínima de recursos. A espionagem industrial também esta na lista das preocupações devido ao cenário econômico de competividade.

Pontos a serem contemplados

Existem vários fatores a serem contemplados numa política e a seguir temos apenas alguns exemplos

• Manuseio de informações.
• Licenciamento de software.
• Backups.
• Propriedade intelectual.
• Reposta a incidentes.
• Investigação e pericia forense.
• Acesso a Internet.
• Uso de correio eletrônico.

Requisitos legais e regulatórios

A conformidade com a legislação e marcos regulatórios é um ponto normalmente fora de discussão dentro das organizações. O não-cumprimento dessas obrigações costuma implicar um risco muito grande levando, normalmente, a necessidade de investimentos e adequação, Além disso, muitos pontos levantados e implementados em marcos regulatórios ou exigidos por lei levam a organizações a aprimorar sua gestão, seus processos internos e sua transparência, fatores considerados importantes no atual cenário de gestão corporativa.

O desenvolvimento da política deve contemplar tais necessidades e mostrar o comprometimento da organização em atingir os objetivos por elas levantados.

Responsabilidades

Um dos principais objetivos das políticas de segurança é a atribuição de responsabilidade. Essas responsabilidades são trabalhadas dentro da organização de forma a catequizá-las de seus papéis no que diz respeito á SI, criando assim uma cultura de segurança e trabalhando aquele que é considerado o elo mais fraco: as pessoas

Alinhamento estratégico

Isso é fundamental para que a segurança seja implementada  de forma eficaz, consumindo recursos que sejam canalizados diretamente para resultados tangíveis esperados pela alta direção. O alinhamento estratégico também ajuda muito no processo de incorporar as preocupações, responsabilidades e exigências das políticas ao dia-a-dia da organização, criando assim a necessidade cultura de SI.

Tabela – Necessidade de Alinhamento