Como podemos manter uma política de segurança estável ou até mesmo como podemos criar de modo claro e rápido, por existe varias formas de implementação e criação, os objetivos podem variar de acordo com segmento da empresa e a complexidade do ambiente.
Talvez um ponto mais receoso para uma empresa que não possua nenhuma política de segurança é a cultura das pessoas envolvidas em aceita as novas regras.
Para basear e ajudar nos pontos focais de uma organização os passos abaixo pode ser seguido:
ACESSO
Proteger as informações contra o acesso de qualquer pessoa não explicitamente autorizada pela gerencia imediata, isto é, as informações e processos são liberados apenas a pessoas autorizadas, segundo seu nível de acesso, tenha isso documentado um envio de um e-mail ou assinatura em algum formulário autorizando o acesso já é suficiente, pois terá um respaldo em uma auditoria.
PERMISSÃO
Evitar que dados sejam excluídos ou de alguma forma alterados, sem a permissão. O conceito de dados é mais amplo, englobando dados, programas, documentação, registros, fitas ou unidades de backup. O conceito de integridade está relacionado com o fato de assegurar que dados não foram modificados por pessoas não autorizadas. Em termos de comunicação de dados, a integridade restringe-se à detecção de alterações deliberadas ou acidentais nos dados transmitidos.
A melhor forma em organização em estrutura de arquivos foi mencionando no post Como Organizar um Servidor de Arquivo.
PROTEÇÃO
Proteger os serviços de tal forma que não sejam degradados ou fiquem indisponíveis sem a devida autorização. Para um usuário autorizado, um sistema não disponível quando se necessita dele, pode ser tão ruim quanto um sistema inexistente. As medidas relacionadas a esse objetivo podem ser a duplicação de equipamentos ou backup. Disponibilidade pode ser definida como a garantia de que os serviços prestados por um sistema são acessíveis, sob demanda, aos usuários autorizados.
CONTROLE
Os maiores furos de segurança ocorridas em uma empresa são feitos pelo os usuários mal treinados e informados, também pela falta de comunicação entre as partes.
a) Falta de documentação do Firewall e Regras claras;
b) Boa Pratica no uso do Firewall;
c) Documentação em direitos de acesso;
d) Política de Senha
e) Backup
Os itens citados acima são apenas uma ajuda de como dar os primeiros passos em uma política de segurança, em minha opinião a documentação do ambiente de TI é um ponto primordial, pois sem a mesma nenhum sistema possa ser recuperado e nenhum acesso que foi dado pode ser implementado novamente.
[...] Com as característica abordada no post anterior Primeiros Passos de uma Politíca de Segurança , a política de segurança não deve ser elaborada se não tiver as seguintes [...]
[...] o que essa liberação pode resultar em riscos para a organização, além de ter o respaldo a política de segurança, que uma das diretrizes é a segurança da organização e que essa diretriz deve ser seguida [...]