{"id":4826,"date":"2010-12-18T12:34:44","date_gmt":"2010-12-18T12:34:44","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/12\/18\/politica-de-seguranca-da-informacao-o-quao-detalhada-deve-ser\/"},"modified":"2022-07-17T15:43:45","modified_gmt":"2022-07-17T15:43:45","slug":"politica-de-seguranca-da-informacao-o-quao-detalhada-deve-ser","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2010\/12\/18\/politica-de-seguranca-da-informacao-o-quao-detalhada-deve-ser\/","title":{"rendered":"Pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o: o qu\u00e3o detalhada deve ser?"},"content":{"rendered":"<p>Muitas vezes, vejo as pol\u00edticas de seguran\u00e7a da informa\u00e7\u00e3o com muitos detalhes, tentando cobrir tudo, desde os objetivos estrat\u00e9gicos at\u00e9 quantos d\u00edgitos num\u00e9ricos uma senha deve conter. O \u00fanico problema com essas pol\u00edticas \u00e9 que elas cont\u00eam 50 p\u00e1ginas ou mais, e ningu\u00e9m as leva realmente a s\u00e9rio. Elas geralmente acabam servindo como documentos artificiais, cuja \u00fanica finalidade \u00e9 agradar o auditor.<\/p>\n<p>Mas por que essas pol\u00edticas s\u00e3o t\u00e3o dif\u00edceis de implementar? Porque s\u00e3o muito ambiciosas, tentam abranger muitas quest\u00f5es e s\u00e3o destinadas a um amplo grupo de pessoas.<\/p>\n<p>\u00c9 por isso que a <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>, a principal norma de seguran\u00e7a da informa\u00e7\u00e3o, define diferentes n\u00edveis de pol\u00edticas de seguran\u00e7a da informa\u00e7\u00e3o:<\/p>\n<ul>\n<li>Pol\u00edticas de alto n\u00edvel, como a <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-do-sistema-de-gestao-da-seguranca-da-informacao\/\" target=\"_blank\" rel=\"noopener\">Pol\u00edtica de Sistema de Gest\u00e3o da Seguran\u00e7a da Informa\u00e7\u00e3o<\/a> \u2013 essas pol\u00edticas geralmente definem a inten\u00e7\u00e3o estrat\u00e9gica, os objetivos etc.<\/li>\n<li>Pol\u00edticas detalhadas \u2013 esse tipo de pol\u00edtica geralmente descreve uma \u00e1rea selecionada da seguran\u00e7a da informa\u00e7\u00e3o com mais detalhes, com responsabilidades espec\u00edficas etc.<\/li>\n<\/ul>\n<p>A ISO 27001 exige que a Pol\u00edtica de Sistema de Gest\u00e3o da Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI), como o documento de mais alto n\u00edvel, contenha o seguinte: uma estrutura para definir os objetivos, levando em considera\u00e7\u00e3o diversos requisitos e obriga\u00e7\u00f5es, que se alinhe com o contexto de gest\u00e3o estrat\u00e9gica de riscos da organiza\u00e7\u00e3o e estabele\u00e7a os crit\u00e9rios da avalia\u00e7\u00e3o de riscos. Essa pol\u00edtica deve ser bem curta (uma ou duas p\u00e1ginas talvez), pois sua finalidade principal \u00e9 permitir que dire\u00e7\u00e3o seja capaz de controlar seu SGSI.<\/p>\n<p>Por outro lado, as pol\u00edticas detalhadas devem ser destinadas para uso operacional e devem focar em um campo menor de atividades de seguran\u00e7a. Exemplos dessas pol\u00edticas s\u00e3o: Pol\u00edtica de classifica\u00e7\u00e3o, Pol\u00edtica de uso aceit\u00e1vel de recursos de informa\u00e7\u00e3o, Pol\u00edtica de backup, Pol\u00edtica de controle de acesso, Pol\u00edtica de senha, Pol\u00edtica de mesa limpa e tela limpa, Pol\u00edtica de utiliza\u00e7\u00e3o dos servi\u00e7os de rede, Pol\u00edtica de computa\u00e7\u00e3o m\u00f3vel, Pol\u00edtica para o uso de controles criptogr\u00e1ficos etc. Nota: a ISO 27001 n\u00e3o exige que todas essas pol\u00edticas sejam implementadas e\/ou documentadas, pois a decis\u00e3o de aplicabilidade e extens\u00e3o desses controles depende dos resultados da avalia\u00e7\u00e3o de riscos.<\/p>\n<p>Como essas pol\u00edticas devem conter mais detalhes, elas s\u00e3o geralmente mais longas, at\u00e9 dez p\u00e1ginas. Se elas forem muito mais longas do que isso, ser\u00e1 muito dif\u00edcil de implement\u00e1-las e mant\u00ea-las.<\/p>\n<p>Em outras palavras, a seguran\u00e7a da informa\u00e7\u00e3o \u00e9 muito complexa para ser definida em uma \u00fanica pol\u00edtica \u2013 devido aos diferentes aspectos do SGSI e aos diferentes &#8220;grupos alvo&#8221; deve haver pol\u00edticas diferentes. Organiza\u00e7\u00f5es de m\u00e9dio porte geralmente produzem at\u00e9 quinze pol\u00edticas seu SGSI.<\/p>\n<p>Algu\u00e9m poderia argumentar que esse n\u00famero de pol\u00edticas n\u00e3o \u00e9 nada al\u00e9m de sobrecarga para uma empresa. Eu certamente concordaria se essas pol\u00edticas forem escritas somente com a auditoria de certifica\u00e7\u00e3o em mente, nesse caso elas n\u00e3o trariam nada al\u00e9m de mais burocracia. No entanto, se uma pol\u00edtica for escrita com a inten\u00e7\u00e3o de diminuir os riscos, ent\u00e3o ela muito provavelmente ir\u00e1 mostrar seu valor, se n\u00e3o imediatamente, em dois ou tr\u00eas anos, diminuindo o n\u00famero de incidentes.<\/p>\n<p><em>Confira este treinamento on-line gratuito\u00a0<\/em><a href=\"https:\/\/advisera.com\/training\/iso-27001-foundations-course\/\" target=\"_blank\" rel=\"noopener\">ISO 27001 Foundations Course<\/a> <em>para saber mais sobre a Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o, e outras pol\u00edticas necess\u00e1rias para conformidade com a ISO 27001.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Muitas vezes, vejo as pol\u00edticas de seguran\u00e7a da informa\u00e7\u00e3o com muitos detalhes, tentando cobrir tudo, desde os objetivos estrat\u00e9gicos at\u00e9 quantos d\u00edgitos num\u00e9ricos uma senha deve conter. O \u00fanico problema com essas pol\u00edticas \u00e9 que elas cont\u00eam 50 p\u00e1ginas ou mais, e ningu\u00e9m as leva realmente a s\u00e9rio. Elas geralmente acabam servindo como documentos artificiais, &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4826","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4826","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4826"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4826\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4826"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4826"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4826"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}