Você sabia que apenas 39% dos funcionários de uma empresa afirmam tomar todas as medidas necessárias para proteger informações críticas para o negócio? Esse dado da pesquisa do Instituto Ponemom mostra como a elaboração de uma política de segurança da informação é essencial para evitar a exposição de dados importantes.

Outro estudo realizado pela PwC com empresas do mundo inteiro mostra que, anualmente, aquelas que faturam entre 100 milhões e 1 bilhão de dólares têm um prejuízo médio de 1 milhão por conta de fraudes, falhas na segurança e crimes cibernéticos.

O detalhe é que 73% dos usuários finais indicam que as principais causas da exposição dos dados e das falhas na segurança são a falta de orientação, erros de procedimentos internos, negligência ou malícia.

Por isso, vamos entender o que é a Política de Segurança da Informação (PSI), como elaborá-la e implantá-la, a fim de reduzir os riscos de seu ambiente de TI e evitar prejuízos para sua empresa. Acompanhe!

O que é a Política de Segurança da Informação?

A formalização de uma PSI tem por objetivo preservar a integridade dos dados, garantir sua disponibilidade para as pessoas e os sistemas certos, além de estabelecer a confidencialidade das informações, principalmente das mais críticas para o negócio. Ela deve indicar como os dados são utilizados,  descartados após perderem sua relevância para a empresas e os controles e proteções requeridos.

Dada a especificidade de diretrizes, normas e processos que cada empresa precisa contemplar em sua política de segurança da informação, é impossível criar um template-padrão aplicável para qualquer tipo de organização. Por exemplo, negócios do segmento financeiro, como bancos e corretoras, ou da área de saúde, devem contemplar algumas regulamentações específicas na elaboração de sua PSI e na forma como desenham a arquitetura da informação em suas instituições.

Apesar disso, existem 45 normas da família ISO 27000 que indicam boas práticas de forma genérica e outras mais específicas da gestão da segurança da informação. Algumas dessas normas podem servir como um norte na criação da PSI de sua empresa.

Por exemplo, a ISO 27001 é aquela que indica como a estrutura organizacional e as responsabilidades devem atender a requisitos mínimos para a criação de um Sistema de Gestão da Segurança da Informação (SGI). Já a norma ISO 27034-5 trata da estrutura de dados para controle da segurança em aplicativos.

Qual é a importância de instituir uma Política de Segurança da Informação?

Em primeiro lugar, as informações que circulam no ambiente interno da sua empresa são que possibilitam a realização das tarefas do dia a dia. Mesmo que não estejam diretamente ligadas com o core business do seu negócio, é por meio de uma análise de dados que se torna possível encontrar brechas e falhas que, quando corrigidas, fazem seu negócio crescer.

Quando falamos de empresas na área de tecnologia (como TI), informações são o que há de mais precioso. Afinal, é por meio delas que se torna possível criar soluções cada vez mais eficientes para seus clientes e saber quais são os pontos que merecem maior atenção por parte da sua empresa.

Informações é o ativo mais importante de qualquer organização. Da mesma forma que se torna cada vez mais fácil obtê-lo para a organização, é também facilitado o acesso a dados sigilosos por parte de cibercriminosos. Por isso, uma Política de Segurança da Informação é fundamental para manter esse ativo intocável e de acesso apenas pelos funcionários do seu negócio.

Diante da nova Lei Geral de Proteção de Dados Pessoais (Lei nº 13.853/2019, conhecida como LGPD), também se corrobora a necessidade de um maior cuidado com as informações que são de domínio do seu negócio.

Isso porque a legislação passa a colocar sobre responsabilidade das empresas a proteção, o zelo e o cuidado sobre os dados de seus clientes, principalmente os dados sensíveis. Caso algum problema ocorra, a empresa poderá sofrer as seguintes sanções:

  • advertência;
  • multa simples de até 2% do faturamento (limitado a R$ 50 milhões por infração);
  • multa diária, ainda dentro do limite estabelecido no item anterior;
  • publicização da infração (o que pode acarretar em prejuízo de imagem para sua empresa);
  • bloqueio de dados pessoais a que se refere a infração até que a regularização ocorra;
  • eliminação dos dados pessoais a que se refere a infração.

Por isso, as organizações agora têm mais do que um dever moral na proteção de dados internos: passa-se a ser uma questão legal, cujas consequências são de grande impacto tanto financeiro quanto de imagem.

Não importa se sua empresa é pequena e local, e por isso, não será visada por cibercriminosos: ela pode ser atacada, sim, e é um dever de todo empreendedor zelar pela proteção dos dados internos.

Quais são as principais ameaças à segurança da informação nas empresas?

Além de identificar a importância desse documento, é importante saber quais são os principais pontos de acesso de hackers e cibercriminosos, para que possa minimizar os riscos dessas ações serem executadas, e pessoas mal-intencionadas terem acesso aos seus dados. Além disso, é importante para que possa identificar quais são os elementos que seu PSI deve abordar. Confira as principais ameaças à segurança da informação nas empresas, a seguir:

  • ransomware (malware que realiza criptografia para sequestro de dados das organizações);
  • infecção por malware;
  • exploração de vulnerabilidades ocasionadas por falhas de segurança ou negligência das organizações em atualizar seus sistemas e softwares;
  • tentativa de phishing (quando ocorre uma tentativa de fraude eletrônica por hackers, tentando obter dados pessoais, fingindo ser uma comunicação eletrônica oficial);
  • fraude interna, ou seja, quando seus próprios funcionários cometem o ato ilícito;
  • ações indevidas de funcionários, como acesso a sites indevidos durante o trabalho, o que abre portas de vulnerabilidade para ações de hackers;
  • indisponibilidade do serviço, causada por ações, como ataques DDoS, com o objetivo de provocar instabilidade ou queda do sistema;
  • acesso facilitado indevido aos dados, seja de forma interna ou externa, ou seja, quando a confidencialidade de determinados dados é quebrada.

É importante ressaltar que um estudo sobre esse tema indica que 65,18% das empresas nacionais tiveram algum tipo de problema dessa natureza. Ou seja, evidencia não só como a maioria das empresas é visada pelos cibercriminosos, mas, também, como as organizações têm se descuidado em relação a esse aspecto.

Para evitar que esse tipo de problema aconteça, é necessário implementar algumas medidas essenciais, que não podem faltar em sua Política de Segurança de Informação. São elas:

  • implemente rotinas redundantes de backup de informações e opte, também, pelo sistema em nuvem;
  • conte com um antivírus de confiança, por mais que essa solução pareça demasiadamente básica;
  • atualize seus sistemas operacionais e softwares constantemente;
  • implemente um processo de melhoria contínua na elaboração de suas soluções;
  • cuide com as senhas de acesso utilizadas em sua empresa;
  • implemente análises de tráfego;
  • crie rotinas de validação de acessos;
  • implemente detectores de intrusos e firewalls;
  • treine seus funcionários adequadamente para evitar que ações inadequadas possam gerar problemas.

Quais itens não podem faltar em sua Política de Segurança da Informação?

Como dissemos, não há como estabelecer quais informações precisam ou não ser contempladas em sua política de segurança da informação, pois a realidade de cada empresa varia. Contudo, existem cinco pontos indispensáveis, que são os seguintes.

Estabelecer os responsáveis

O primeiro passo é determinar quem são os responsáveis por sua elaboração, divulgação, seu monitoramento e sua revisão. Muitas empresas optam por estabelecer um comitê presidido pelo CIO ou pelo líder da área de TI. Além dele, diretores das áreas comercial, financeira e de recursos humanos devem estar envolvidos na elaboração, pois isso garantirá que as políticas, os processos e as tecnologias estejam alinhados às necessidades do negócio.

Vale destacar que as decisões do comitê sempre devem ser assumidas pelo principal responsável pela empresa, seja ele o proprietário ou o CEO. Esse comitê também avaliará a responsabilização em caso de problemas como o uso inadequado dos recursos de TI da organização. Por exemplo, pode ser o responsável por avaliar e aplicar as sanções necessárias, caso um colaborador utilize inadequadamente dispositivos externos em equipamentos corporativos.

Classificar os tipos de informações

Definir os critérios de classificação dos dados entre públicos, internos, confidenciais e secretos é o segundo passo para uma boa PSI. Isso porque, dependendo da empresa, o mesmo tipo de dado pode ser classificado de uma maneira diferente.

Por exemplo, dados sobre faturamento e balanço financeiro são considerados públicos em Sociedades Anônimas de capital aberto com ações na bolsa. Já para outras empresas, esses dados são confidenciais e restritos apenas para a diretoria e área financeira.

Com base na classificação dos dados é que serão definidos os níveis de acesso de cada colaborador às informações, como os aplicativos de negócios serão implementados e qual o impacto que um incidente com aqueles dados pode gerar para a reputação da empresa.

Definir os níveis de acesso aos dados

A definição dos níveis de acesso deve considerar três aspectos, como pode ver a seguir.

Quem acessa?

Devem ser definidos os cargos ou as pessoas de determinadas funções que podem acessar os dados, não o nome dos colaboradores. Isso garante que sempre um gestor de RH ou um vendedor tenha acesso ao mesmo número de informações necessário para a execução de suas tarefas diárias.

Como acessa?

Por meio de quais sistemas e dispositivos a pessoa poderá acessar os dados? As pessoas podem usar um smartphone para acessar aos seus e-mails? E aos dados de clientes ou funcionários?

Quando acessa?

Fora do horário de expediente ou de sua jornada de trabalho, a pessoa pode consultar os dados? Isso ajuda a estabelecer quais os tipos de controle que os sistemas precisam estabelecer para evitar que informações secretas, confidenciais ou de uso interno percam-se ou fiquem expostas.

Indicar os padrões mínimos de qualidade

Esse quarto busca definir requisitos de sistemas, tempos de SLA para a resolução de incidentes ou necessidade de terceirização de algum tipo de capacidade técnica.

Evidenciar as consequências da violação das normas

Se a PSI estabelece responsáveis e direitos para os funcionários que consomem informações da empresa, ela também precisa declarar quais são as consequências por violar alguma diretriz.

As punições podem variar conforme o impacto causado por uma exposição acidental ou intencional das informações, indo desde advertências verbais a demissões por justa causa. Contudo, a formalização da política e a assinatura de termos de sigilo e de responsabilidade devem anteceder qualquer tipo de medida administrativa.

Essas consequências devem estar claras para todos os colaboradores, devidamente documentadas caso a caso, para que, em caso de problemas, todos estejam conscientes das sanções que serão aplicadas.

Como implantar sua PSI?

Também não existe uma receita única que possa ser aplicada em qualquer empresa, mas existem seis passos indispensáveis na hora de implantar uma política de segurança da informação.

  1. Envolva a diretoria: sem a adesão do mais alto nível de gestão da empresa, a PSI será facilmente negligenciada e ignorada.
  2. Discuta com os principais envolvidos: a função da PSI é aumentar a segurança sem gerar burocracias ou impactos negativos para a rotina das pessoas — para isso, o diálogo e envolvimento dos usuários-chave são essenciais.
  3. Invista em tecnologia: os aplicativos de negócios e sistemas de TI precisam ser adequados e configurados para garantir a aplicação da PSI, caso contrário, ela cairá em descrédito.
  4. Escreva e disponibilize a Política de Segurança da Informação: divulgar e comunicar as definições é estratégico para o sucesso da implantação da PSI. Além disso, no documento conterá todas as sanções que podem ser aplicadas em caso de ações ilícitas e descuidos dos colaboradores encontradas durante as auditorias — e isso precisa estar claro e transparente.
  5. Defina um plano de treinamento: treinar os colaboradores recém-contratados e capacitar a equipe de TI para executar, monitorar e revisar a PSI garantirá que ela seja observada por todos. É o fim da desculpa de não saber ou ser novo na empresa. Os funcionários mais antigos também devem ser treinados, para que sejam capacitados com medidas e metodologias mais novas e eficazes de proteção de dados no ambiente de TI.
  6. Defina uma agenda de campanha de conscientização dos colaboradores, para relembrá-los do que não deve ocorrer dentro do ambiente interno, de forma a minimizar erros e falhas neste aspecto.

Assumir as melhores práticas de gestão de TI, como a elaboração de uma política de segurança da informação, não é uma tarefa simples ou pouco trabalhosa. No entanto, a diminuição de riscos e o alinhamento estratégico da área com as necessidades de negócio compensam os esforços e investimentos!

Gostou deste conteúdo? Siga nossas páginas nas redes sociais e fique sempre atualizado sobre as melhores práticas na gestão de TI. Estamos no Facebook, no Twitter e no LinkedIn!