Uma Política de Segurança de Tecnologia da Informação (TI) identifica as regras e procedimentos para todos os indivíduos que acessam e usam os ativos e recursos de TI de uma organização. Uma Política de Segurança de TI eficaz é um modelo da cultura da organização, em que regras e procedimentos são orientados a partir da abordagem de seus funcionários às suas informações e ao seu trabalho. Assim, uma política de segurança de TI eficaz é um documento único para cada organização, cultivado a partir da perspectiva de seu pessoal sobre tolerância ao risco, como eles vêem e valorizam suas informações, e a disponibilidade resultante que eles mantêm dessas informações. Por esta razão, muitas empresas acharão uma política de segurança de TI inadequada devido à sua falta de consideração sobre como o pessoal da organização realmente usa e compartilha informações entre si e com o público.
Os objetivos de uma política de segurança de TI é a preservação da confidencialidade, integridade e disponibilidade dos sistemas e informações usadas pelos membros de uma organização. Esses três princípios compõem a tríade da CIA:
- A confidencialidade envolve a proteção dos ativos contra entidades não autorizadas
- A integridade garante que a modificação dos ativos seja tratada de forma especificada e autorizada
- A disponibilidade é um estado do sistema no qual os usuários autorizados têm acesso contínuo a esses ativos
A Política de Segurança de TI é um documento vivo que é continuamente atualizado para se adaptar à evolução dos negócios e dos requisitos de TI. Instituições como a Organização Internacional de Normalização (ISO) e o Instituto Nacional de Normas e Tecnologia dos Estados Unidos (NIST) têm publicado normas e melhores práticas para a formação de políticas de segurança. Conforme estipulado pelo Conselho Nacional de Pesquisa (NRC), as especificações de qualquer política da empresa devem abordar:
- 1. Objetivos
- 2. Escopo
- 3. Objetivos específicos
- 4. Responsabilidades pela conformidade e ações a serem tomadas em caso de não conformidade.
Também são obrigatórias para cada política de segurança de TI as seções dedicadas à aderência aos regulamentos que regem a indústria da organização. Exemplos comuns disso incluem o PCI Data Security Standard e os Acordos da Basiléia em todo o mundo, ou a Dodd-Frank Wall Street Reform, a Consumer Protection Act, a Health Insurance Portability and Accountability Act, e a Financial Industry Regulatory Authority nos Estados Unidos. Muitas dessas entidades reguladoras exigem uma política de segurança de TI por escrito.
Uma política de segurança da organização terá um papel importante em suas decisões e direção, mas ela não deve alterar sua estratégia ou missão. Portanto, é importante escrever uma política que seja extraída da estrutura cultural e estrutural existente da organização para apoiar a continuidade da boa produtividade e inovação, e não como uma política genérica que impeça a organização e seu pessoal de cumprir sua missão e objetivos.
>