Você sabe como criar uma política de segurança da informação?

Você sabe como criar uma política de segurança da informação?

Licença: Freepik

 

Vivemos uma era em que os dados são a moeda de maior valor. A informação é um ativo que deve ser protegido por meio de regras claras. Essa proteção pede a elaboração de uma política eficiente de segurança da informação. A PSI (política de segurança da informação) é um documento trazendo as normas, métodos para proteger a confidencialidade, integridade e acessibilidade da informação. 


A política de segurança não trata somente da informação interna da empresa, mas também das informações trocadas com o cliente, materiais impressos, serviços postais etc. Ela deve ser válida para todos os colaboradores de uma empresa. Lembre-se, a segurança de uma empresa é tão forte quanto seu elo mais fraco. É importante saber que toda informação gerada ou trocada pela empresa também deve estar sujeita à PSI.


Segundo a norma NBR ISO/IEC 17799:2005 (2005, p.ix) da Associação Brasileira de Normas Técnicas (ABNT), “segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.


Princípios da política de segurança da informação


Confidencialidade


É a garantia de que a informação estará acessível apenas a pessoas autorizadas. A quebra de sigilo implica em uma série de problemas – que podem ser de ordem legal, até a uma crise à imagem da empresa. Isso sem falar nos impactos financeiros. Quebras da confidencialidade de dados custaram às empresas brasileiras cerca de 4,31 milhões de reais em 2016, segundo a consultoria PwC.


Um bom exemplo de como garantir a confidencialidade dos dados da sua empresa é a criação de logins com permissões diferenciadas, de acordo com o usuário. Neste caso, estude a possibilidade de criar um sistema de verificação por meio de dois fatores (como um SMS ou um token). Encriptação de dados é outra medida comum. 

Integridade

Uma quebra da confidencialidade pode gerar, como consequência, uma quebra da integralidade da informação. Esse princípio é a garantia de que a informação será preservada exatamente como ela foi registrada. É evitar que a informação seja modificada, alterada ou destruída sem autorização. Para que este princípio seja respeitado, é preciso que a rede seja protegida de ataques maliciosos. Caso contrário, a informação pode ser danificada ao ser transmitida de um usuário a outro. 
Nenhuma política de segurança da informação poder garantir o respeito ao princípio da integralidade das informações sem uma política de backups eficiente e rigorosa. É preciso criar rotinas para salvar os dados periodicamente caso algum dado seja afetado. 


Disponibilidade

Se o princípio da confidencialidade bloqueia o acesso de pessoas não-autorizadas à informação, o da disponibilidade reza que os usuários autorizados tenham acesso à informação e a seus ativos correspondentes sempre que necessário. Quedas de sistema, por quaisquer razões, configuram uma quebra de disponibilidade.
A disponibilidade dos dados é assegurada por meio da manutenção tanto física quanto lógica do ambiente de rede de uma empresa. Os servidores devem passar por avaliações de manutenção periódicas, e ferramentas para a prevenção contra ataques maliciosos devem estar em dia com as principais tecnologias. 

Como criar uma política de segurança da informação


1. Planejamento


Antes de qualquer ação, faça uma relação de todas as informações e dados que devem ser protegidos. Se sua empresa já possui uma política de segurança da informação, tente identificar quais são suas vulnerabilidades e quais são as principais ameaças aos dados da sua empresa.

2. Elaboração


Uma vez que todos os dados estiverem mapeados, crie as normas e proibições. Esta é a fase em que as permissões devem ser pensadas. Decida quem vai acessar que tipos de dados, como essa conexão poderá ser feita (apenas em máquinas da própria empresa, ou pelo celular etc.). Elabore a política de uso de dispositivos móveis e de e-mail. Defina, também, que sites deverão ser restritos a seus colaboradores (como redes sociais ou sites pornográficos).

3. Documentação


Para que a política de segurança da informação seja integrada à cultura da empresa, é preciso que ela seja formalizada. A política de segurança da informação deve conter:
- A definição de segurança da informação adotada pela empresa;
- O comprometimento formal da diretoria da empresa para com a política de segurança da informação;
- Os objetivos dessa política;
- Definição e atribuição de responsabilidades;
- Padrões de qualidade que devem ser respeitados;
- Procedimentos de prevenção a ataques maliciosos;
- Classificação das informações de acordo com o nível de confidencialidade;
- Plano de treinamento para todos os colaboradores, da diretoria aos estagiários.

4. Aprovação


A política deve ter o aval tanto da diretoria quanto da área de Recursos Humanos. O RH deve verificar se a política de segurança da informação respeita as normas trabalhistas vigentes.


5. Implementação e treinamento


Segurança é o resultado de boas práticas continuamente executadas. Além de treinar suas equipes, faça revisões na política de segurança da informação de tempos em tempos. É preciso que ela esteja atualizada, levando em conta os desafios e ameaças do momento. Idealmente, revise pelo menos uma vez ao ano. Dá trabalho, mas essa ação vai, certamente, minimizar os riscos que sua empresa corre.


Alguns princípios básicos devem ser respeitados ao se elaborar uma política de segurança da informação:


- Respeito às leis e às normas estabelecidas em contrato com clientes e fornecedores;
- Treinamento dos colaboradores e parceiros terceirizados;
- Proteção do ambiente de rede contra vírus e cyber ataques;
- Garantia de continuidade das ações de segurança. Proteção é fruto de bons hábitos – não uma única ação;
- Determinação de consequências para casos de quebra dos princípios de segurança.

Este último ponto é delicado. Apesar de muitas empresas quererem punir ações que desrespeitem a política de segurança da informação, é preciso ter em mente que não deve criar um ambiente em que os colaboradores tenham medo de reportar um incidente. Essa cultura de se informar o setor de tecnologia da informação sobre qualquer possível vulnerabilidade é vital para a efetividade da política de segurança da informação.

Siga-nos

       

 

Contato:

 SIA/SUL Trecho 03 Lote 990,  Cobertura - Edifício Itaú

 CEP: 71.200-030 - BRASÍLIA/DF

 +55 (61) 3363-8636

 contato@fasthelp.com.br

Enviar mensagem

Últimas Notícias