Saiba como estabelecer uma política de segurança da informação na sua empresa

2/05/2023
Image without alt

A política de segurança da informação (PSI) é um conjunto de padrões, normas e diretrizes a todos os colaboradores que utilizam infraestrutura de TI da empresa. Ela tem como objetivo garantir a proteção das informações corporativas contra eventuais ameaças que possam prejudicar sua operação.

 

O mundo dos negócios está cada vez mais tecnológico, e é difícil pensar em uma empresa que opere sem o auxílio desses recursos ou não tenham seus dados armazenados digitalmente. Uma política de segurança da informação é a ferramenta mais completa para garantir a proteção dessas informações, que muitas vezes são sigilosas ou vitais para o negócio.

A Política de Segurança da Informação (PSI) é um documento que reúne regras, práticas, diretrizes e procedimentos acerca da segurança da informação, com o objetivo de minimizar riscos de perdas ou violação de qualquer ativo de TI. Essa política protege as informações da sua empresa do que poderia causar algum dano intencionalmente ou não.

Mas, afinal, como fazer uma PSI? Trouxemos para você algumas informações importantes para considerar ao elaborar uma política de segurança da informação consistente e eficiente.

Qual é o objetivo da política de segurança da informação?

Uma PSI visa proteger e garantir os três princípios da segurança da informação – confidencialidade, integridade e disponibilidade. As normas e práticas descritas na PSI devem sempre se relacionar a um ou mais desses princípios.

Sua implementação previne danos ao andamento do negócio e padroniza procedimentos, além de prever e mensurar respostas a incidentes. A longo prazo, isso resulta na redução de custos com incidentes de TI.

Mas, afinal, o que é abordado nos princípios de segurança da informação?

Confidencialidade

A confidencialidade assegura que as informações da empresa sejam acessadas apenas por pessoas autorizadas.

Esse princípio é importante sobretudo em relação ao banco de dados de clientes, já que o vazamento desse tipo de informação pode acarretar desde crise de imagem a processos judiciais com grandes prejuízos.

Integridade

Esse é o princípio que garante que os dados não sejam alterados ou apagados, de forma a apresentar informações confiáveis, íntegras e verdadeiras.

Disponibilidade

O princípio da disponibilidade significa que os dados devem estar disponíveis para uso sempre que demandados por alguém com permissão de acesso.

Por que se preocupar com a segurança da informação?

A Segurança da Informação é uma área estratégica do negócio. Para qualquer empresa que mantém dados em um ambiente virtual, sejam data centers locais ou em nuvem, é primordial assegurar sua proteção e uso adequado.

A SI vai além da instalação de antivírus. Ela deve ser planejada avaliando desde riscos à infraestrutura de TI, contra roubos, panes ou desastres naturais, até as ameaças digitais, como malwares, phishing e ransomwares.

A política de segurança da informação, por sua vez, oficializa as normas e boas práticas da empresa em relação à proteção de seus dados. Ela assegura que esses procedimentos sejam perpetuados mesmo com o passar do tempo ou a troca de lideranças e gestão.

Compliance LGPD

A política de segurança da informação também é um mecanismo importante para as empresas que desejam estar em compliance com a Lei Geral de Proteção de Dados (LGPD)

A regulação exige uma série de cuidados em relação ao tratamento de informações dos dados sensíveis de clientes e usuários de seus serviços ou produtos. Por isso é importante padronizar as regras e processos para todos aqueles colaboradores que recebem, armazenam ou tratam dados pessoais.

Como implementar uma política de segurança da informação?

A implementação de uma PSI começa pelo seu planejamento, mas não tem fim. Isso porque, uma vez implantada, ela deve ser revisada de tempos em tempos. Além disso, nutrir a cultura de segurança da informação na empresa é um trabalho constante.

Planejamento

Essa é a etapa de levantamento da situação atual da sua empresa. Além do que já existe em relação à proteção de dados, é importante identificar todas as ameaças e vulnerabilidades que existem ou podem vir a existir.

Para essa fase, é importante considerar os diferentes níveis de acesso que as várias categorias de usuários terão. Classificar a confidencialidade dos dados também está na fase de planejamento e é essencial para estabelecer os recursos de segurança necessários.

Elaboração

Baseado em todo o levantamento realizado na parte de planejamento, agora é possível elaborar a PSI em si. Alguns dos itens que devem estar na PSI são:

  • Designação de um comitê de SI; 
  • Normas de mercado usadas, como ISO 27001 e ISO 27002;
  • Uso de criptografia e outros recursos de proteção de dados;
  • Normas de backup, recuperação e recursos de DLP;
  • Políticas de senhas e restrições de acesso;
  • Normas sobre o uso geral de dispositivos, incluindo uso da internet, instalação de softwares e acesso por dispositivos pessoais;
  • Rotinas de auditoria;
  • Boas práticas de uso do e-mail corporativo;
  • Penalidades aplicáveis.

Como todos os setores da empresa são afetados pela PSI, é importante que haja o máximo de representação possível na equipe destacada para elaborar a política. Assim, os aspectos específicos de áreas diferentes podem ser considerados. Isso evita que as normas estabelecidas sejam desrespeitadas por incompatibilidade com as tarefas de um setor.

O RH deve acompanhar essa elaboração, garantindo que as regras estabelecidas respeitam as leis trabalhistas. É importante, também, que a PSI esteja de acordo com a cultura organizacional, missão, visão e valores da empresa. Afinal, ela é parte da estratégia do negócio.

Implementação

A fase de implementação da política inclui a comunicação ampla do conteúdo do documento, com cópia para cada profissional. Mas essa não é a principal ação para implementar uma PSI. Educar todos os usuários das tecnologias da empresa sobre a política é a principal forma de efetivá-la.

Para treinar as equipes da empresa para seguir a PSI, é preciso lembrar sempre que nem todo usuário tem o conhecimento tecnológico do time de TI. Na verdade, essa é a realidade da minoria.

A maior parte dos usuários não compreende na totalidade a importância de seguir as regras de segurança da informação porque não conseguem dimensionar seus riscos. Assim, é papel da TI educar os demais usuários da tecnologia corporativa sobre isso.

É importante sanar as dúvidas das pessoas e manter-se à disposição para suporte posterior. Essa abertura facilita a disposição das pessoas menos solícitas ou com mais dificuldade em lidar com tecnologias em aprender e adotar novos hábitos.

Monitoramento

Como dito, a PSI não tem data final. Mesmo após implementada com sucesso, é importante que ela seja revista periodicamente.

O monitoramento da aplicação das regras e práticas, assim como dos resultados alcançados com a PSI é importante para que ela se mantenha ativa e funcionando. Esse acompanhamento garante que adaptações e atualizações sejam detectadas e realizadas à medida que mudanças acontecem na realidade do negócio.

Você busca elevar o nível de segurança da informação da sua empresa? Conheça o Hardware as a Service (HaaS), a solução da Voke!

Com ela você pode aumentar a produtividade da sua equipe no trabalho remoto com equipamentos atualizados e a maior proteção de segurança dos dados na rede corporativa da sua organização. Acesse nosso site e descubra agora!

Gestão de Ativos da Voke

Ver todas as notícias

Nossa equipe está à disposição para AJUDAR

Endereço da sede

Av. das Nações Unidas, 17007
23° andar - Várzea de Baixo
São Paulo - SP, 04730-090
Image without alt