Instrumento utilizado para a definição das normas a serem utilizadas na organização, práticas a serem exercidas/aplicadas aos ativos (funcionários, clientes, prestadores de serviços, fornecedores, informação, hardware, software) da empresa. Protege para obter a integridade e confidencialidade da informação. Controla para a melhor utilização, e evitar riscos provenientes da má utilização dos recursos, monitora sempre verificando se as normas estão sendo utilizadas adequadamente e se necessita de alguma mudança na política, garantindo sempre a disponibilidade.

O objetivo da política de segurança é a redução de incidentes, redução de danos causados por incidentes ocorridos, procedimentos para a recuperação de eventuais danos causados por incidentes.

Redução de incidentes:

• É feita através de medidas preventivas e normativas;
• Os riscos devem sem previstos e eliminados antes que aconteça o incidente;
• Prevenir tem custo mais baixo que corrigir.

Redução dos danos provocados por incidentes:

• Mesmo com a política de segurança e a redução de incidentes, temos que analisar os riscos, o que pode acontecer quando ocorrer um incidente, para reduzir o impacto deste incidente na organização.

Recuperação de eventuais danos:

• Quando ocorre o incidente temos que saber o que deve ser feito para a recuperação dos danos causados pelo incidente, temos que ter procedimentos que viabilizam esta recuperação de forma eficiente, com um mínimo de custo possível, e menor impacto na estrutura da empresa.

Elaborando a política de segurança

Primeiramente temos que definir as pessoas ou equipes que vão ser responsáveis pela elaboração, implantação e manutenção da política. Devemos definir as responsabilidades de cada equipe/pessoas, e trabalhar em conjunto com pessoas da alta administração da organização para aprovação da política e de fato obter maior respeito dos colaboradores que já estarão também conhecendo a política.

Agora já temos como base uma política para elaborar procedimentos e controles em cima de regras que os colaboradores já conhecem.

Principais fases para a elaboração de uma política:

• Identificação dos recursos críticos: mapeamento dos processos da empresa e definir prioridades, importância de cada processo, definindo assim prioridades de segurança nos processos que mais influenciam na organização.
• Classificação das informações: deve-se classificar a importância da informação dentro da organização e assim definir o grau de proteção e as medidas para a sua manipulação, podendo ser: confidencial, que é de extrema importância para empresa, tendo que ter maior segurança; uso interno: que pode ser utilizada internamente pelos funcionários/setores, que necessitam dessa informação tendo um escopo de segurança/confidencialidade em cima do setor/parte que a utiliza; pública: na qual pessoas ou entidades externas podem ter conhecimento, informações que não causam impactos nos ativos da empresa.
• Elaboração de normas e procedimentos: a elaboração deve ser feita sobre os seguintes aspectos:
  Acessos externos, internos, físico e lógico;
  Uso da Intranet e Internet;
  Uso e instalação de softwares;
  Uso de correio eletrônico;
  Política de senhas;
  Política de Backup;
  Uso e utilização de anti-vírus;
  Auditoria;
  Outros

Definição de planos de recuperação, contingência, continuidade pós incidente.

Definir um plano que será utilizado após acontecer um incidente para diminuir o impacto causado e dar sequência as atividades da organização o mais rápido possível, minimizando os prejuízos.

Fazer sanções ou aplicar penalidades caso não se cumpra a política.

Definir punições de acordo com a organização, normalmente o grau da punição é medido pelo grau do incidente, ou tamanho do dano causado, podendo ser até demitido. Por isso a alta organização deve estar de acordo com a política de segurança e os colaboradores deve ter aderido e concordado com um termo de compromisso, podendo assim sofrer penalizações em âmbito judicial.

Direitos do usuário:

São as atividades/procedimentos que o usuário tem autorização para realizar, garantido que a utilização/realização de forma correta dessas atividades, procedimentos, está de acordo com os direitos a ele garantido.

Obrigações do usuário:

São as regras nas quais é obrigado a realizar, todas estas obrigações são determinadas no termo, na política de segurança.

Proibições ao usuário:

São as regras que define o que o usuário não pode fazer, são as restrições, são detalhadas na política de segurança.

Elaborar um termo de compromisso:

É utilizado na formalização do comprometimento dos colaboradores em seguir a política de segurança, e deixado-os cientes das consequências do seu não cumprimento. Deve ser assinado juntamente com o contrato de trabalho, ou adicionado ao mesmo caso a política seja implantada depois de sua contratação, a área jurídica da organização deve fazer uma análise do documento.

Rever com a alta administração.

Após os passos anteriores devemos comunicar a diretoria da empresa sobre a implantação e a importância da implantação da política na organização, definir o comunicado e a forma de comunicação que será feita para deixar os funcionários cientes do início da implantação.

Divulgação da política.

Deve ser divulgada a todos os funcionários da empresa. Os métodos de divulgação mais utilizados são: campanhas internas, palestras de conscientização; jornais e folhetos internos; mailing; Intranet; deve ser criado um manual com as normas e procedimentos com linguagem de fácil entendimento.

Não há políticas de segurança prontas para a utilização e mesmo havendo não seria viável, pois cada organização tem suas particularidades, e devemos definir a política analisando a organização que será implantada a política.