desenho computadorA política de segurança diz respeito às regras que devem ser elaboradas e seguidas pelos utilizadores dos recursos de informação de uma empresa.

A formação de um conjunto de boas práticas de mercado, com o objetivo de desenvolvimento de uma política/cultura de segurança é essencial para qualquer tipo de empresa que necessite desse trabalho, já que a informação é um dos ativos mais valiosos de uma organização.

As decisões relacionadas à segurança que o administrador da organização toma, determinam quão segura a rede de sua corporação é, quantas funções ela irá disponibilizar e como será a sua utilização. Por isso, é preciso determinar metas de segurança. Em qualquer política de segurança, existem duas diretrizes: a proibitiva, que quer dizer que tudo que não é permitido é proibido, e a permissiva, onde tudo que não é proibido é permitido.

Para a montagem de uma política de segurança, devemos levar em consideração alguns fatores, como os riscos e benefícios associados à falta de segurança e os custos de implementação dos mecanismos.

Por que se preocupar com a segurança da informação?

Computadores são fontes de inúmeras tarefas, como armazenamento de dados, comunicação (emails, chats e etc), transações financeiras (pagamento de contas, compras e etc), que podem ter cunho pessoal ou comercial (uso de organizações).

Alguns fatos podem acontecer por falta de uma segurança adequada, como o furto de senhas e números de cartões de crédito, dados pessoais ou comerciais podem ser alterados, a conta de acesso à internet ou sistema operacional utilizados por pessoas não autorizadas e, por último, o computador pode até deixar de funcionar, por comprometimento e corrompimento de arquivos essenciais.

Existem diversas razões para que um terceiro queira invadir um sistema ou máquina, como:

  • Utilização para fim de práticas ilegais;
  • Utilização do computador de outros para promover ataques;
  • Destruição de informações;
  • Disseminação de spams;
  • Furto de números de cartões de crédito e senhas de banco;
  • Furto de informações salvas nas máquinas. 

Políticas de Senhas

A senha é a forma mais convencional de identificação e acesso do usuário. Se um terceiro tem acesso a sua senha, ele poderá utilizá-la ilegalmente ou para se passar por você.

Em determinadas corporações, pode existir a chamada 'política de senhas', que tem como regras as seguintes observações:

  • Adotar um padrão de prazo de validade das senhas (30, 60 dias, por exemplo), que obriga o usuário a renovar as suas senhas nesse período;
  • Proibir a repetição de caracteres. Por exemplo, se a senha era '123hut', a próxima senha tem que ter caracteres diferentes, ou pelo menos 60%;
  • Obrigar a inserção de quantidade de letras e números. Por exemplo, a senha deve ter 4 números e 4 letras;
  • Criar uma lista de senhas que não podem ser utilizadas.

O que não usar na elaboração de uma senha:

Nomes, sobrenomes, números de documentos, telefones, placas de carro e datas não devem ser utilizados em senhas, pois são dados que podem ser obtidos com uma certa facilidade e que possivelmente vão ser alvos de tentativa para descobrir a senha do usuário.

Entre as regras de criação de senhas, existe uma regra muito importante que é NÃO utilizar palavras do dicionário como código ('geladeira', por exemplo), pois existem softwares capazes de descobri-las, fazendo combinação e teste de palavras em diversos idiomas.

O que seria uma boa senha?

Para a criação de uma boa senha, existem algumas dicas que podem ser seguidas. Entre elas, estão:

  • Uma boa senha deve ter pelo menos 10 caracteres e deve conter letras, números e símbolos misturados;
  • Quanto mais 'diversificada' for a senha, melhor. Misturar letras maiúsculas e minúsculas pode ser uma boa alternativa;
  • Conseguir memorizar a senha também é importante;
  • Utilizar senhas diferentes para cada local de acesso.

Cuidados com a Senha

  • Certificar-se de que não está sendo observado enquanto utiliza suas senhas;
  • Não fornecer a senha a terceiros;
  • Não utilizar a senha em computadores de terceiros (Ex.: lan houses, cybercafés, etc);
  • Certificar que o provedor utilizado tem serviços criptografados.

ISO/IEC 17799/2007 - 27002

notebook seguroÉ uma norma de Segurança da Informação que foi revisada em 2005 pela ISO e pela IEC e atualizada em 2007. Ela estabelece princípios para a gestão de segurança da informação de uma organização, e também pode servir como um guia prático de desenvolvimento de procedimentos para empresas.

Entre as principais seções, estão:

1. Avaliação de risco;

2. Política de segurança;

3. Organização da segurança da informação;

4. Gerência de recurso;

5. Segurança dos recursos humanos;

6. Segurança física e ambiental;

7. Gerência das comunicações e das operações;

8. Controle de acesso;

9. Sistemas de informação, aquisição, desenvolvimento e manutenção;

10. Gerência de incidentes da segurança da informação;

11. Gerência da continuidade do negócio;

12. Conformidade.