Guia de segurança da informação - Como fazer?

[brunosolar]

Bom turma ja esbocei grande parte, mas como tem algumas pessoas de ferias estou com um bocado de servico, e deixei pra mexer com isso quando o pessoal voltar.

Mas ja deu pra dar uma ideia... Vou pensar no melhor modo de colocar isso pra voces lerem e opinarem, pois ja tem aproximadamente 7 paginas.

[danielmarques]

Olá!

Esse é meu primeiro post no fórum, então gostaria de dizer que é um prazer poder colaborar de alguma forma.

Minha primeira sugestão é que as informações sejam colocadas de forma bem simples e objetiva, acessível ao pessoal não técnico. Tente lançar mão de exemplos esclarecedores e fugir do lugar comum nas seções. Acho que o pessoal de marketing e comunicação da tua empresa pode te dar uma grande ajuda, basta trocar algumas idéias com eles. É importantíssimo despertar interesse pelo conteúdo, e mostrar que cada pessoa tem um papel importantíssimo na segurança corporativa.

Pessoalmente, acho que cada grupo de funcionários tem funções diferentes e são afetados de forma diferente pela disciplina de segurança da empresa. Portanto, sua compreensão sobre a segurança é também diferente. Isso nos leva a tratar cada grupo com uma abordagem distinta (exemplos e recomendações específicas para cada nicho, por exemplo), o que provavelmente seria inviável na maioria dos casos.

Sobre o conteúdo, acho importante (sem ordem específica):

- Ter claramente definido um ponto de contato que possa ser procurado em caso de uma suspeita ou incidente de segurança, ou até mesmo para uma dúvida. É confortante saber quem procurar.

- Classificação da informação e política de descarte

- Sugestões sobre senhas: como criar senhas fortes e como mantê-las a salvo.

- Backups e a sua política de tratamento.

- Engenhara Social

- O que pode e o que não pode (MSN, Orkut e afins), o que é monitorado e o que acontece com quem infringe a regra.

Uma pergunta: vocês possuem um “hotsite” da equipe de Segurança? Pode ser mais interessante transformar essa cartilha em um site assim.

Espero ter colaborado. 

Abraços,

--Daniel

[brunosolar]

Bom pessoal ai ta o link do esboço da cartilha.

O que acham que deve ser mexido?

Cartilha beta

:P

Aguardo....

[gsaito]

Bom pessoal ai ta o link do esboço da cartilha.

O que acham que deve ser mexido?

Cartilha beta

:P

Aguardo....

Esse documento tem caráter particular e secreto, não podendo ou devendo ser redistribuído sem prévia autorização e supervisão dos responsáveis pelo departamento de segurança, sendo a infração passível de punição pelas regras internas, bem como ações legais.

Alguém vai ser punído =(

Brincadeiras a parte, acho que o conteúdo dos textos está caminhando pelo caminho certo.

Comentários:

Política de Segurança é uma série de normas internas padronizadas pela empresa que devem ser seguidas à risca

Cuidado ao tentar impor uma política de segurança as pessoas. Isto vai de mal a pior, só com este comentário elas podem sentir desconforto, porém se você ver que elas seguem a política mesmo sendo imposta isto é bom certo? Errado! estão seguindo porque tem medo de perderem seus empregos e não porque estão conscientes da importancia.


Como é para o público em geral, para despertar o interesse das pessoas, acho que caberia até menos texto e mais ilustrações.

Segurança é um assunto meio complicado e não são todos que se interessam, para falar a verdade, a grande maioria acha uma chatisse. Imagina uma pessoa dessas pegar o guia para ler sendo que a pilha de tarefas na mesa dela vai até o teto.

Se fosse para distribuir acho que faria os temas em forma de sessões e apresentaria aos poucos com menos formalidade porém com o mesmo nível de informação e mais facilidade para compreensão.

[danielmarques]

Olá Bruno!

Achei o texto muito bom até onde eu li. Mas tome cuidado com o tamanho da cartilha. Poucas pessoas param realmente para ler materiais informativos muito grandes, mesmo que você faça com que assinem um documento confirmando que leu tudo. Eu volto a sugerir um apoio da equipe de comunicação e marketing da empresa, com certeza eles terão boas idéias para te ajudar na transmissão dessas informações.

Nessa seção de introdução (já que você vai explicar o que é informação) você pode colocar, mesmo que de forma resumida, a classificação das informações (o que é público, o que é confidencial,...), como elas devem ser tratadas e os riscos envolvidos em sua na má utilização.

Mais tarde olho com calma e tento fazer alguns comentários em cada seção.

Abraços,
--Daniel

[brunosolar]

Agradeco a todos pelas ideias...

Bom esta cartilha esta realmente um pouco grande, porem sera feito uma mini palestra onde iremos explicar todos os topicos e muito possivelmente iremos fazer o video dessa apresentacao pra mostrar aos novos funcionarios que podem ingressar na empresa apos essa palestra.

Assim o usuario e "convidado" a participar pois ira ter lista de presenca e os que irão entrar fica a cargo do RH como será mostrado o video.

Agredeço novamente e estarei pensando na possibilidade de coloca-la na forma de slides com desenhos.

[Celso Aparecido Andrade]

Prezado,

Estou iniciando na area de seguranca da Informacao na empresa onde trabalho, estou cursandso 3º periodo de ciencia da computacao, em algum material que possa me passar?

[Gilliard Leal]

Celso

Verifiquei o contexto e achei praticamente um normativo, não sei se isto será incluso em uma intranet como normativo mas pode ser colocado.Dentro deste contexto você pode incluir uma cartilha de bolso com algumas visões macros de todos os procedimentos de segurança da infromação, vou citar algumas orietações importantes:

Tenho mais informações envolvendo orientações e palestras sobre o assunto a qual posso lhe ajudar, mas já lhe digo que deve haver mais contextos abordando em slides toda a importãncia da informação para a empresa, as pessoas somente irão seguir as normas se haver envolvimento de áreas que possam regulamentar regras punitivas, áreas que possam colaborar com divulgações (marketing) áreas que podem alocar clausulas contratuais (juridico), em fim a palestra deve ser impactante com fatos reais de vazamento de informações pelo mundo e as consequências da falta de cuidado emm proteger as informações. como cartilha esta muito grande, como apresentação esta um pouco pequeno.

Vazamento de informações ocorre quando dados confidenciais são distribuídos internamente ou para fora da rede corporativa violando regulamentações ou políticas de segurança, é para isso que devemos seguir as seguints orientações:

FAÇA:

Quando estiver em uma reunião, tranque a porta do local, suas informações são confidenciais, colaboradores e terceiros não precisam saber;

O Crachá contribui muito para a segurança, deve ficar sempre á vista;

Compartilhar informação confidencial apenas com aqueles que tem o “need to
know” (necessidade de saber) – aqueles que tem um negócio legítimo ou uma
necessidade legítima de ter a informação;

Questionar todos os pedidos que sejam fora do comum ou que pareçam
suspeitos;

Pensar duas vezes antes de fornecer qualquer informação comercial ou
pessoal em resposta a um e-mail que possa ser fraudulento.

NÃO FAÇA:

Realizar reuniões abordando assuntos confidenciais sem a devida proteção para que não haja vazamento de informações privilegiadas.

Compartilhar informação de clientes ou da empresa com parentes ou amigos ou qualquer pessoa que não tenha a necessidade de saber;

Permitir a entrada de alguém em um local sem seguir os procedimentos estabelecidos para a Identificação e registro de seu acesso;

Ignorar procedimentos estabelecidos caso alguém ligue com algum problema;

Responder imediatamente a um pedido de um e-mail suspeito;

Em recintos públicos, falar sobre assuntos de alta confidencialidade;

Divulgar informações confidenciais em ligações telefônicas. Principalmente se você estiver em ambientes públicos.

[Celso Aparecido Andrade]

Gilliard Leal, boa tarde

Gostei muitos das dicas, estamos comecando a implantar uma politica de seguranca da informcao e com certeza serao muito uteis.

Aguardo novas dicas.

Celso

[Lord Enigm@]

Caramba!!!!

O negócio tá ficando nóia,,,, não esqueça dos microfones no telefone sem fio, dos radiotransmissores embaixo da mesa de reunião, do distribuidor de correspondências e do auxiliar de limpeza ok???....:)

O negócio é sério,,mas sem neuras,,,senão esquece-se um papel na mesa e bla-blau toda a SI....

Faça palestras na empresa, sem ser obrigatório e envie cartilha de no máximo 10 folhas para a residência dos funcionários, ou entregue junto com a folha de pagamento.

Concordo com o Marcos em relação ao capítulo sobre a engenharia social, isso é realmente necessário porém, este deve ser extremamente formulado por pessoas de alto conhecimento pois, corre-se o risco de você se tornar o alvo do conteúdo.

Lembre-se de manter a serenidade, a razão e a sensibilidade humana, fatores primordiais nesta profissão.


Shalom

Lord Enigm@