Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.
Segurança da Informação

Política de Segurança da informação: crie uma em 5 passos

by Rafael Pizzolato 5 min read

Alguns anos atrás, quando as empresas ainda não tinham adotado sistemas informatizados e utilizavam papéis para registrar informações, os documentos eram armazenados em pastas e armários.

Para proteger os documentos, os armários eram colocados em salas restritas e só os responsáveis tinham acesso.

Com o passar dos anos, a tecnologia chegou, o uso de computadores tornou-se comum e quase obrigatório para aperfeiçoar o processo de trabalho das empresas.

Os documentos que eram armazenados em armários começaram a ser transferidos para os computadores e, com isso, a utilização de papéis, para esses fins, diminuíram.

Porém, sem prevenção de perda de dados, a informatização não oferece total segurança às empresas. Como vimos há alguns anos, até as grandes companhias já foram prejudicadas por causa do vazamento de suas informações.

Veja: 6 empresas que falharam em segurança na internet

Porque isso acontece? Possivelmente, uma das principais causas é a falta de atenção e investimento em segurança da informação.

Muitos gestores não acreditam que suas informações podem interessar à pessoas ou grupos maliciosos e, por isso, não investem em segurança de dados e informações.

Existem diversas formas de prevenir que uma rede corporativa seja invadida e tenha seus dados capturados. A utilização de firewall, antivírus e a aplicação de políticas de segurança da informação a todos os colaboradores são algumas delas.

No artigo de hoje vou mostrar como você pode criar políticas de segurança para os colaboradores de sua empresa em 5 passos e prevenir que seus dados caiam em mãos erradas.

Acompanhe!

O que são políticas de segurança da informação?

A Política de Segurança da Informação (PSI) é um documento, desenvolvido pela empresa, onde são registrados os princípios e as diretrizes de segurança que ela adotou e devem ser seguidos por seus colaboradores.

Além disso, a PSI deve ser aplicada em todos os sistemas de informação e processos institucionais, ou seja, do desktop ao mobile.

Para que ela seja aceita, respeitada e aplicada por todas as pessoas que participam do ambiente corporativo é fundamental que os dirigentes da empresa apoiem e participem da implantação da PSI.

Ao desenvolver um documento de PSI a instituição precisa estabelecer diretrizes para que as equipes possam seguir padrões de comportamento que não coloquem os dados corporativos e confidenciais em risco.

O que uma boa Política de Segurança da Informação deve preservar?

Antes de colocar a elaboração e produção da sua política de segurança da informação em prática é preciso se atentar aos aspectos que ela deve preservar. Veja:

– a integridade da empresa e de seus dados: garantindo que a originalidade de todas as informações seja mantida, sem que sofram alterações indevidas, intencionais ou acidentais;

– a confidencialidade da empresa e de seus dados: garantindo que o acesso à informação seja permitido somente às pessoas autorizadas;

– a disponibilidade: garantindo que os usuários autorizados consigam acessar as informações, dados e ativos correspondentes sempre que for necessário.

Agora vamos à prática, aprenda a montar uma política de segurança da informação:

Planeje

Antes de começar a montar a Política de Segurança da Informação da sua empresa faça um levantamento de todas as informações e dados que devem ser protegidos.

Você sabe qual é o atual programa de segurança da informação da companhia?

Se a empresa já trabalha com um programa enumere suas deficiências e quais são os fatores de risco que ele oferece.

Durante o planejamento também é importante solicitar a aprovação da produção por parte da diretoria da empresa. Eles devem estar cientes de todo o processo e ser notificados conforme ele for caminhando.

2. Elabore

Essa é a fase de elaboração das normas e proibições. É nessa etapa que você deverá criar as normas referentes à utilização de programas, de acesso à internet, uso de dispositivos móveis, de e-mail e recursos tecnológicos.

Além disso, nessa fase você também vai caracterizar os tipos de bloqueio e restrições a sites e acesso à internet.

3. Coloque tudo no papel

O conteúdo da Política de Segurança da Informação pode variar de acordo com a empresa. O estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, requisitos de segurança e outros aspectos vão influenciar diretamente no conteúdo que estará representado na PSI.

Apesar disso alguns tópicos são comuns na maioria das Políticas de Segurança da Informação. Veja a lista abaixo:

  • A definição de segurança de informações e sua importância como mecanismo que possibilita o compartilhamento de informações;
  • A declaração de comprometimento da diretoria com a PSI, apoiando suas metas e princípios;
  • Os objetivos de segurança da informação;
  • A definição de responsabilidades gerais na gestão de segurança de informações;
  • As orientações sobre análise e gerência de riscos;
  • Os princípios de conformidade dos sistemas computacionais com a PSI;
  • Os padrões mínimos de qualidade que esses sistemas devem possuir;
  • As políticas de controle de acesso a recursos e sistemas computacionais;
  • A classificação das informações de uso irrestrito, interno, confidencial e secretas;
  • Os procedimentos de prevenção e detecção de vírus;
  • Os princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas leais correlatas aos sistemas desenvolvidos, cláusulas contratuais);
  • Os princípios de supervisão constante das tentativas de violação da segurança de informações;
  • As consequências de violações de normas estabelecidas na política de segurança;
  • Os princípios de gestão da continuidade do negócio;
  • O plano de treinamento em segurança de informações.

Claro que na Política de Segurança da Informação da sua empresa devem constar apenas as informações pertinentes ao processo de proteção correspondente ao seu negócio.

Depois que você levantar todas as informações, necessárias para a sua PSI, será o momento de redigir o documento. Se a sua empresa não conta com um departamento esponsável pela comunicação, que pode colocar as regras da PSI no papel, o profissional de TI, responsável pelo documento, pode se encarregar dessa tarefa.

Para ajudá-lo a montar a estrutura da PSI, disponibilizo o link da Política Corporativa de Segurança da Informação do Itaú.

4. Aprovação

Depois que o documento da PSI ficar pronto ele deve ser aprovado pelo departamento de Recursos Humanos da empresa. As normas e procedimentos documentados devem ser lidos pelo RH para que sejam verificados se estão de acordo com as leis trabalhistas e com o manual interno dos funcionários, caso a organização tenha um.

Após a aprovação do RH, os líderes e gestores da empresa também devem fazer a aprovação final do documento e liberá-lo para aplicação.

5. Aplicação e Treinamento das equipes

Elabore um treinamento prático, se possível, com recursos didáticos, para apresentar a PSI da empresa. Recolha declarações individuais dos colaboradores afirmando que se comprometem com a política. É importante mantê-la em um local de fácil acesso para que esteja disponível para consulta, sempre que os colaboradores da instituição precisarem.

De tempos em tempos revise a PSI para mantê-la sempre atualizada.

É importante que a companhia nomeie um colaborador específico para monitorar a PSI e ficar atento a possíveis incoerências que possam alterar o sistema, como vulnerabilidades, mudanças nos processos gerenciais ou na infraestrutura.

Preparado para colocar as dicas em prática e montar a Política de Segurança da Informação da sua empresa? A instituição já conta com uma? Como foi produzida e executada? Quer acrescentar sua dica ao texto? Deixe seu comentário abaixo, vamos adorar recebê-lo!

cabecalho_e-mail--2--1

Read more posts by this author

Rafael Pizzolato

Diretor de marketing e vendas na Starti.

The link has been copied!