Como criar uma boa política de segurança da informação? - Blog Athena Security: Tecnologia e segurança para o seu negócio
Como criar uma boa política de segurança da informação?

Os documentos empresariais contêm informações preciosas para o negócio, portanto, é necessário garantir que seus dados não caiam em mãos erradas. Implantar uma política de segurança da informação (PSI), seguindo as normas e regulamentações pertinentes, é de extrema importância para garantir a proteção dos dados da sua empresa.

Muitas organizações armazenam informações sigilosas de clientes e um vazamento pode gerar ações judiciais e multas significativas. Além do mais, situações como essas podem manchar a reputação da companhia no mercado, trazendo prejuízos imensuráveis, por conta de crimes virtuais.

Para criar a política interna de segurança da informação, muitas empresas tentam seguir o padrão das normas ISO ou PCI que, apesar de serem referências no assunto, são enormes e complexas.

Entenda, ter uma PSI eficiente não precisa ser algo tão complicado, além de não ser exclusividade de empresas de grande porte. Neste post, daremos algumas dicas para criar uma política de forma simplificada e efetiva. Acompanhe!

Entenda o que é política de segurança da informação

Podemos definir a política da segurança da informação como sendo o documento orientador que estabelece todas as diretrizes organizacionais referentes à segurança do ativos de informação de uma empresa. Por isso, deverá ser aplicado em toda as esferas de uma organização.

A norma que serve de base referencial para a gestão de segurança da informação é a ISO/IEC 27001, que é reconhecida no mundo inteiro. Além disso, as políticas de segurança devem estar em sintonia com a legislação do país, no Brasil, com atenção especial à LGPD — Lei Geral de proteção de dados, que entra em vigor em 2020

Para ser completa, a PSI deve trazer as regras e diretrizes orientadores para que os colaboradores, fornecedores e clientes fiquem alinhados em relação aos padrões e comportamentos logados à segurança da informação.

Deve conter também os procedimentos em relação as condições de instalações de equipamentos, restrições de aceso, monitoramento, mecanismos de proteção e controle. A meta é proteger as informações em relação a integridade, disponibilidade de confidencialidade.

Conheça os princípios básicos

A política de segurança da informação é um documento que será utilizado em todos os setores da organização. Ao planejá-lo e elaborá-lo é necessário garantir que as informações da empresa sejam preservadas quanto aos três princípios básicos de segurança:

  • integridade — a informação deve ter seu conteúdo original mantido, sendo protegida contra alterações indevidas, seja de forma intencional ou acidental;
  • confidencialidade — somente pessoas devidamente autorizadas podem ter acesso às informações;
  • disponibilidade — o acesso à informação deve ser garantido às pessoas autorizadas sempre que for necessário.

Faça um planejamento

Para que a implantação da PSI ocorra da melhor maneira possível, ela precisa ser bem planejada. É necessário estar atento a alguns pontos importantes que ajudarão nesse processo:

  • converse com os diretores e gestores da empresa sobre a implantação;
  • identifique todas as informações que devem ser protegidas — se necessário, peça dicas aos seus funcionários;
  • verifique quais são os dispositivos utilizados para acessar essas informações;
  • observe se será preciso alguma mudança no controle de acesso aos espaços físicos.

Após especificar tudo o que deve ser contemplado na PSI, você já pode seguir para a fase de elaboração das normas.

Crie as regras

Agora devem ser criadas as regras que regulamentarão as atividades na empresa, como o funcionamento do acesso à internet, uso de dispositivos, contas de e-mail, condições para acessar determinados espaços dentro do local de trabalho etc.

Defina os níveis de acesso

Definir os níveis de acesso é diminuir a porta de entrada para invasões em um banco de dados. Quanto menos pessoas tiverem acesso à totalidade das informações, menos brecha haverá. A primeira ação a ser tomada é a definição de quem tem acesso a que. É importante definir os cargos ou determinados profissionais que podem acessar os dados. Isso garante que cada profissional acesse apenas os dados que são relevantes para as suas determinadas funções.

Em seguida é hora de definir como serão feitos esses acessos, em que tipos de dispositivos os colaboradores poderão entrar no sistema. Hoje em dia é muito comum as empresas aderirem ao BYOD — Bring Your Own Device (traga seu próprio dispositivo) — e isso deve ser bem definido para que não traga problemas futuros.

É importante também definir os tipos de dados que os profissionais poderão acessar, apenas o seus e-mails? Poderão ter acesso aos dados de clientes, de outros funcionários?

E por último e não menos importante é a definição de quando o acesso poderá ser feito, se apenas em horário de expediente ou a pessoa poderá se aproveitar da mobilidade para acessar quando quiser. É necessário entender qual é a melhor alternativa segura para evitar o extravio, exposição ou sequestro de informações sigilosas.

Quando estiverem descritas todas as normas e proibições, será a hora de redigir o documento final. Ele deve conter alguns tópicos importantes que sintetizarão as ideias de todo o processo.

Elabore o conteúdo

A política de segurança da informação deverá conter os seguintes itens:

  • definição — explique qual é o significado do documento e sua importância para a segurança dos dados da empresa;
  • objetivos — cite os objetivos da implantação da política, apoiando-se nos princípios básicos da integridade, confidencialidade e disponibilidade;
  • aplicações — deixe claro que a PSI deve ser aplicada em todos os setores da empresa e seguida por todos os colaboradores e prestadores de serviço;
  • requisitos — defina os procedimentos de prevenção de riscos, frequência dos testes dos serviços de TI, necessidade de informar sobre a PSI nos contratos da empresa, entre outros;
  • responsabilidades — explique quais são as responsabilidades da equipe de TI e também dos demais colaboradores;
  • regras — explicite, de forma clara, todas as normas criadas na fase de elaboração das regras.

Assim que terminar o documento, apresente-o para a aprovação dos diretores e aos profissionais da equipe de recursos humanos, que orientarão em relação às leis trabalhistas.

Realize treinamentos

É importante que todos os funcionários tenham acesso à PSI e saibam que é necessário observar suas diretrizes com atenção. Para isso, promova treinamentos para toda a equipe, a fim de mostrar a importância do comprometimento com a política implantada. Ainda, é necessário que eles assinem um termo de responsabilidade nesse sentido.

Lembre-se que, para evitar riscos em relação à segurança dos dados da empresa, a PSI deve ser constantemente atualizada. Portanto, mantenha seus colaboradores sempre informados sobre essas alterações.

Conheça as consequências da falta de uma política de segurança da informação

Conhecer os riscos da falta de uma política de segurança da informação também é necessário ao criar essas estratégias. Ao fazer esse levantamento, podem ser desenvolvidos meios para evitar que essas consequências da ausência de cuidados pode trazer.

Listamos os principais riscos que a sua empresa pode estar correndo ao não fazer os investimentos em segurança da informação. Veja nos tópicos a seguir!

Vazamento de dados

As empresas mantêm dados sigilosos em seus computadores e dispositivos. Informações pessoais dos clientes, protocolos de trabalho e protótipos de novos produtos são exemplos do que não pode vazar de jeito nenhum.

Quando não há nenhuma política de proteção, essas informações podem ser vazadas intencionalmente por colaboradores mal-intencionados ou, até mesmo, por hackers que invadem os sistemas da organização.

Prejuízos financeiros

Os hackers também podem invadir os sistemas financeiros da empresa, causando grandes prejuízos. Assim, fraudes bancárias, como o esvaziamento de contas, podem acontecer.

Além disso, a exposição de dados, com a perda de um protótipo, como exemplificado anteriormente, pode fazer com que a empresa deixa de ganhar dinheiro.

Sequestro de dados

Além do vazamento, há também o sequestro de dados. Nesse caso, os hackers invadem os sistemas das empresas e impedem o acesso às informações.

Depois de algum tempo, eles entram em contato com a organização, solicitando valores em dinheiro para devolver o acesso aos dados.

Danos à reputação da empresa

Entre os riscos da falta de uma política de segurança da informação, também estão os danos à reputação e à imagem da organização. Afinal, os públicos, interno e externo, deixarão de confiar na empresa e terão a impressão de que ela utiliza sistemas frágeis.

Isso é um problema grave, principalmente quando envolve clientes que deixarão de comprar do seu estabelecimento para se fidelizar a um concorrente.

Ações judiciais

Se dados de clientes, fornecedores ou, até mesmo, de colaboradores vazarem, essas pessoas terão todo o direito de se sentirem lesadas e violadas. Endereços, números de documentos, cartão de crédito e outros itens são exemplos de informações sigilosas.

As pessoas que se sentirem prejudicadas por conta disso têm o direito de mover ações judiciais. Nesses casos, além de manchar a imagem e perder dinheiro com indenizações, a empresa também gastará muito com advogados e tempo participando de audiências em júris e tribunais.

Interrupção de serviços regulares

Empresas que prestam serviços regulares, como uma de sistemas de gestão ou operadora de internet, podem ter os seus serviços interrompidos caso ocorra algum problema envolvendo a segurança. Isso gera insatisfação aos usuários.

Entenda a importância de contar com empresa especialista em segurança da informação

Se você é dono de uma pequena ou média empresa, sabe que, para garantir os crescimentos do negócio é importante dedicar atenção especial ao core business. Mas como qualquer corporação imersa na transformação digital vocês também necessitam de uma atenção especial nas questões de políticas de segurança. Como fazer para dar conta de algo tão específico?

A resposta é simples, você poderá contar com uma empresa parceira especializada em segurança da informação, que cuidará da elaboração do documento, gerenciamento de riscos, detecção de possíveis fraudes e os serviços gerenciados de segurança. Assim, você continuará focado em seus negócios tendo o apoio de uma empresa 100% dedicada a cuidar dos seus dados, pois esse é o core business deles.

Criar uma boa política de segurança da informação, como você pôde perceber ao longo do post, é algo imprescindível para as empresas. Por isso, coloque todas as nossas dicas em prática e garanta que a sua organização esteja sempre segura.

Você está pronto para implantá-la na sua empresa? Nós, da Athena Security, somos especialistas nessa área e podemos ajudá-lo. Entre em contato conosco e conheça nossos serviços!

 

Thiago Cabral

Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.

 

Powered by Rock Convert

COMENTÁRIOS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Share This