Como seria um exemplo simples de política de segurança?
Uma política documentada que descreve procedimentos passo a passo e designa responsabilidades, é a primeira defesa da empresa na preparação e na mitigação de um ataque cibernético. É fundamental manter todos os funcionários vigilantes e alinhados.
Política de senhas. É a forma mais simples e barata e insegura de autenticação. Uma senha mais segura deve conter mais de 6 caracteres incluindo códigos especiais. Não passar a senha jamais para ninguém.
Política de e-mail. Não abrir anexos com as extensões duvidosas do tipo .bat, .exe, .src, .lnk e .com, e assim por diante, se não tiver certeza absoluta de que solicitou esse e-mail. Desconfiar de todos os e-mails com assuntos estranhos. Não reencaminhar e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/AOL/Symantec, e outros do gênero, criança desaparecida, criança doente, pague menos em alguma coisa, não pague alguma coisa, etc. Não utilizar e-mail da empresa para assuntos pessoais. Não mandar e-mails para mais de 10 pessoas de uma única vez (to, cc, bcc). Evitar anexos grandes.
Políticas de acesso a Internet.Não fazer uso recreativo da internet. Permitir somente navegação de sites. Só utilizar protocolos homologados pela empresa. Monitoramento de acessos fora da lista de permissão. Proibição do uso de IM (Instant messengers) não homologados/autorizados pela equipe de segurança. Auditagem constantemente.
Estações de trabalho. Cada estação de trabalho é identificada na rede e cada indivíduo pode possuir sua própria estação de trabalho. Efetuar logoff sempre que se afastar da estação. Não instalar nenhum tipo de software / hardware sem autorização. Não arquivar arquivos do tipo MP3, filmes, fotos e softwares com direitos autorais ou qualquer tipo de pirataria. Todos os dados relativos à empresa devem ser mantidos no servidor da empresa.
Política Social. Não falar sobre a política de segurança da empresa com terceiros ou em locais públicos. Não passar sua senha para ninguém. Não digitar senhas ou usuários em máquinas de terceiros, especialmente fora da empresa. Somente aceitar ajuda técnica de um membro da equipe técnica da empresa. Nunca executar procedimentos técnicos cujas instruções tenham chegado por e-mail.
Anti-vírus atualizado. Não usar disquetes ou CDs de fora da empresa. Reportar atitudes suspeitas em seu sistema para que possíveis vírus possam ser identificados no menor espaço de tempo possível. Suspeitar de softwares que “você clica e não acontece nada”.
Canal de comunicação. Relatar pedidos externos ou internos que venham a discordar dos tópicos anteriores.
Este é um exemplo de uma política simples para uma empresa de pequeno porte.
