COMO CRIAR A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO IDEAL!

Além disso, o documento é um requerimento para adequação com a família da norma ISO/IEC 27000, que define os padrões para o Sistema de Gestão de Segurança da Informação. Se você não sabe o que é a ISO 27001, nem como obter o selo, leia esse artigo que explica tudo o que você precisa entender.

Para que serve a política de segurança da informação?

De maneira direta, a utilidade maior do documento é assegurar um padrão de práticas e diretrizes para a segurança dos dados de instituições. A política engloba todos os colaboradores que, de alguma forma, se relacionam com esses ativos. Isso inclui desde a captação até o tratamento e armazenamento corretos.

Ainda assim, existem outras vantagens de estruturar essa política, já citamos a ISO 27001, que exige o documento para obtenção do selo. Mas para além disso, a PSI é de suma importância para adoção e manutenção de uma cultura de segurança nas instituições.

Em um cenário de transformação digital, no qual as empresas utilizam cada vez mais dados coletados para diferentes operações, protegê-los contra ataques externos e incidentes é primordial. Garantir que as informações não sejam violadas é essencial para a manutenção das atividades do negócio.

Segundo estudo realizado pela MicroStrategy em 2020, 64% dos respondentes afirmaram que os dados auxiliam na melhoria de processos e eficiência das operações. Dados são usados na tomada de decisões, desenvolvimento de novos produtos, gerenciamento de risco e aplicação de melhorias de ações internas.

Como fazer uma política de segurança da informação?

Uma boa PSI precisa ser objetiva. Os termos contidos no documento não podem deixar margem para subjetividade e devem orientar os colaboradores segundo suas atividades. São detalhados, então, termos técnicos com suas devidas descrições, processos, condutas e tudo o que for relevante para auxiliar o entendimento.

Diagnóstico

Na fase inicial, é importante mapear todo o cenário de tratamento de dados da empresa. Portanto, liste ferramentas, classifique as informações e identifique os colaboradores que as utilizam.

Nesse processo, são constatados os níveis de acesso dos funcionários, para um futuro readequamento, se necessário, diante da classificação dos dados. Essas informações podem ser consideradas como: pública, interna, restrita, confidencial e secreta.

É necessário entender qual o fluxo das informações e como ela transita durante as atividades. Essa compreensão facilita uma possível reestruturação desse movimento, como no caso em que informações confidenciais possam ser facilmente acessadas por qualquer colaborador. Cenário que deve ser evitado.

Compliance e LGPD

Além da questão organizacional e de adoção de uma cultura de segurança, a PSI auxilia empresas a estarem em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).  Em vigor desde 2020, a norma ainda não foi devidamente adotada pelas instituições.

 

A pesquisa realizada pelo Comitê Gestor da Internet no Brasil (CGI.br), publicada em agosto de 2022, apontou dados preocupantes. Apenas 23% das instituições possuem uma área ou encarregado específico para a proteção de dados pessoais.

O que mostra como ainda existe espaço para melhorias na adequação. Sobretudo às informações de cunho sensível, fonte de preocupação de 41% dos usuários da internet, ainda segundo o estudo.

Conformidade com a tríade de segurança da informação

É indispensável que a empresa reconheça a importância da manutenção desses pilares e afirme seu compromisso. Salientando, inclusive, como cada indivíduo dentro da organização contribui para esse processo.

Confidencialidade

O pilar que, como o nome já antecipa, trata sobre a garantia de privacidade e proteção contra acessos não permitidos e indevidos. Caso seja violado, pode resultar em prejuízos à instituição, não somente à imagem, mas também financeiros, incluindo sanções administrativas.

Deve ser detalhado na PSI quais são as práticas que levam à manutenção desse pilar, como:

• criptografia dos dados sensíveis;
• gerenciamento do acesso aos dados;
• proteção aos ativos físicos e documentação em papel;
• processos de descarte de dados e documentações;
• gerenciamento da aquisição das informações;
• gestão sobre o tratamento dos dados;
• mecanismos de proteção aos dispositivos e sistemas;
• descrição de condutas sobre uso de ferramentas;
• orientações em caso de extravio e perda de dados;
• políticas sobre uso de senhas;
• políticas de segurança de rede.

São várias as ferramentas que podem ser utilizadas. A identificação das possíveis ações deve ser feita a partir do diagnóstico inicial do plano.

Integridade

 

Este pilar contempla a consistência das informações. A integridade dos dados é garantida quando a base é alimentada de forma correta, sem alterações não autorizadas. Ela assegura à empresa o uso de informações confiáveis.

Para isso, são estipulados mecanismos de controle de acesso a bancos de dados e  firewalls, por exemplo. Além do uso de ferramentas que impeçam que agentes externos alterem, copiem ou corrompam as informações. 

Disponibilidade

Já o último pilar diz respeito a como os dados serão mantidos e disponibilizados para uso, quando necessário. Um fator importante para garantir que as operações da empresa se mantenham constantes e não sofram com eventualidades.

 

Uma base que contenha contatos, contratos ou informações importantes para venda é utilizada praticamente o dia todo. Como agir se uma dessas informações sofrer um ataque e forem perdidas?

Para isso, o responsável pelo planejamento deve estipular um cronograma de backup, além de um plano de restauração dos dados. Outro ponto importante é garantir que a base possa ser acessada por diversos usuários, sem comprometimento de desempenho.

Planejamento da PSI

Uma vez que todo o conceito esteja entendido, é hora da ação. Para garantir uma boa estruturação do documento, deve-se partir das informações coletadas no diagnóstico, como a carga de trabalho, o tipo dos dados e os dispositivos utilizados.

A partir daí, as ações planejadas para proteger os ativos devem ser elencadas por uma equipe responsável. O ideal é que ela seja composta por um responsável direto, além dos cargos de diretoria ou estratégia do negócio, para absorver e orientar as ações sempre que possível.

Estabelecimento das normas

Normas e diretrizes devem ser dispostas na PSI por seções específicas e bem detalhadas. A imagem abaixo mostra os tópicos que não podem faltar na estruturação do documento.

Como em qualquer documentação, tudo é muito bem segmentado para facilitar o entendimento. Por isso, divida todos os elementos em tópicos e seja o mais transparente possível. 

Não subestime o glossário! Essa seção deve ser elaborada levando em consideração que outras áreas não possuem o mesmo grau de conhecimento. Sendo assim, apresente não só os termos, mas também algumas estratégias e ferramentas se necessário.

Acompanhamento da PSI

Após a conclusão, sua distribuição e vigência devem ser programadas. Mas antes disso, a segurança da informação deve ser enxergada como uma cultura. Para isso, os colaboradores precisam de treinamentos de conscientização, não basta impor uma decisão sem que medidas reais sejam adotadas.

 

Vale lembrar que esse é um processo contínuo, que requer manutenção. Revise as diretrizes sempre que necessário e não se prenda a processos. Uma política de segurança da informação demanda comprometimento nas ações de todos.

Fonte : ArtBackup / WSM Tecnologia em Informática