SSI-43. POLÍTICAS DE SEGURANÇA

1. 43.1. Conceito

1.1. 43.1.1. Conjunto de princípios, objetivos e diretrizes que estabelecem como a segurança será tratada na organização.

1.2. 43.1.2. Representa uma declaração formal sobre a postura da empresa em relação à segurança da informação.

2. 43.2. Finalidade

2.1. 43.2.1. Guiar a implementação de controles e procedimentos de segurança.

2.2. 43.2.2. Reduzir riscos e garantir conformidade com normas, leis e boas práticas.

2.3. 43.2.3. Definir responsabilidades, papéis e condutas esperadas.

3. 43.3. Política de Segurança de Pessoal

3.1. 43.3.1. Garante que todos os funcionários estejam alinhados com as normas de segurança.

3.2. 43.3.2. Envolve:

3.2.1. 43.3.2.1. Avaliação de funcionários e terceiros

3.2.2. 43.3.2.2. Processo de contratação seguro

3.2.3. 43.3.2.3. Treinamento contínuo em segurança

4. 43.4. Engenharia Social

4.1. 43.4.1. Funcionários são frequentemente o elo mais fraco na segurança.

4.2. 43.4.2. A política deve incluir diretrizes contra:

4.2.1. 43.4.2.1. Phishing

4.2.2. 43.4.2.2. Manipulação psicológica

4.2.3. 43.4.2.3. Vazamento acidental de dados

5. 43.5. Política de Separação de Deveres

5.1. 43.5.1. Visa evitar conflitos de interesse e fraudes internas.

5.2. 43.5.2. Divide responsabilidades entre diferentes indivíduos.

5.3. 43.5.3. Garante que ninguém tenha controle total sobre um processo crítico.

6. 43.6. Atribuições e Responsabilidades

6.1. 43.6.1. A política deve mapear funções específicas de segurança.

6.2. 43.6.2. Cada colaborador deve saber:

6.2.1. 43.6.2.1. O que pode e não pode fazer

6.2.2. 43.6.2.2. A quem deve reportar eventos

6.2.3. 43.6.2.3. Como agir diante de incidentes de segurança

7. 43.7. Conscientização e Treinamento

7.1. 43.7.1. A política deve prever programas educativos periódicos.

7.2. 43.7.2. Treinamentos baseados em função são mais eficazes.

7.3. 43.7.3. A cultura organizacional deve valorizar a segurança como um compromisso coletivo.