Política de Segurança para Dispositivos Móveis

Este artigo tem o objetivo de demonstrar uma Política de Segurança da Informação para Dispositivos Móveis conforme a norma da Associação Brasileira de Normas Técnicas (ABNT) NBR ISO/IEC 27002:2005, abordando as tecnologias e os procedimentos.

[ Hits: 10.706 ]

Por: Wilton Araújo Câmara em 18/01/2016


Política de Segurança



Política de Segurança da Informação é a base para a proteção de muitos ativos e a informação precisa ser reconhecida como um dos principais ativos da organização. Porém, essa política precisa descobrir o que é necessário para melhorar a segurança, mas é imprescindível o apoio de todos os gestores da organização [ABNT, 2005].

O primeiro item a ser analisado e avaliado é a informação, e dessa deve ser extraído os seus ativos, que são tudo que manipulam, processam, armazenam ou modificam a informação. Para cada ativo da informação existirá um responsável, e em segurança da informação esse é conhecido por proprietário. É preciso saber também os fatores que podem influenciar na segurança da informação, esses são: vulnerabilidade, isto é, fraqueza anexa à informação; risco, a possibilidade de um agente explorar as vulnerabilidades; Ameaça, agente com potencial para explorar as vulnerabilidades. A importância de conhecer a informação, entre outros, possibilita determinar a que preço protegê-la.

É indispensável que o trabalho da política procure conhecer bem as ameaças e gerar uma lista com todos os objetivos de segurança, e esses objetivos precisam está ligados a, pelo menos, uma ameaça e/ou a uma legislação [ALBUQUERQUE, 2002].

Toda política que visa proteger a informação precisa se dedicar à confidencialidade, à integridade e à disponibilidade que são propriedades da segurança da informação [ABNT, 2006]:

Confidencialidade: propriedade que a informação não esteja disponível ou revelada, a indivíduos, entidades ou processos não autorizados [NBR ISO/IEC 27001:2006, 2006, p.2].

Integridade: propriedade de salvaguarda da exatidão da informação [NBR ISO/IEC 27001:2006, 2006, p.3].

Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada ISO/IEC 27001:2006, 2006, p.3].E, para reforçar as propriedades de segurança da informação é importante destacar os elementos de segurança:
  • Vigilância: Todos os membros da organização devem saber a importância da segurança da informação e atuar como guardiões desse ativo.
  • Atitude: Todos os colaboradores deverão proceder sempre visando a segurança da informação, comunicando erros, falhas, incidentes e qualquer situação que possa comprometer-la e nunca esperar que outras pessoas tomem a atitude.
  • Estratégia: criação de processos comprometidos com as metas que visam a defesa da informação, continuidade dos negócios e o repeito a legislação.
  • Tecnologia: Essa deverá ser suficiente para trabalhar a informação e possuir recursos de proteção.[NAKAMURA: 2007, p.192]

A ABNT como base à Política de Segurança da Informação para Dispositivos Móveis recomenda que o documento da política descreva o comprometimento da direção, a tecnologia e os procedimentos. E para facilitar o sucesso da política é fundamental que essa seja amplamente divulgada.

Segundo a ABNT convém que esse documento contenha:

a) definição de segurança da informação, suas metas globais, escopos e importância da segurança da informação e o compartilhamento da informação;

b) declaração de comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio;

c) uma estrutura para estabelecer os objetivos de controles e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;

d) explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:
  1. conformidade com a legislação e com requisitos regulamentares e contratuais;
  2. requisitos de conscientização, treinamento e educação em segurança da informação;
  3. gestão de continuidade de negócio;
  4. consequências das violações na política de segurança da informação;
  5. definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação;
  6. referência à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir. [NBR ISO/IEC 27002:2005, 2005, p.8].

Página anterior     Próxima página

Páginas do artigo
   1. Resumo
   2. Política de Segurança
   3. Tecnologia
   4. Criando a Política de Segurança para Dispositivos Móveis
   5. Conclusão
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Quebrando chave WEP - Wired Equivalent Privacy (parte 2)

Elaborando uma política de segurança para a empresa

Instalar o Nagios 4 no Ubuntu ou Debian

Certificações em Segurança: para qual estudar?

Como configurar um IPTABLES simples e seguro no Slackware!

  
Comentários
[1] Comentário enviado por thyagobrasileiro em 19/01/2016 - 12:27h

Só uma observação.
WPA significa "Wi-Fi Protected Access" e não "Wired Protected Access"


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts