Entenda o que é a política de segurança da informação

Você sabia que apenas 39% dos funcionários de uma empresa afirmam tomar todas as medidas necessárias para proteger informações críticas para o negócio? Esse dado da pesquisa do Instituto Ponemom mostra como a elaboração de uma política de segurança da informação é essencial para evitar a exposição de dados importantes.

Outro estudo realizado pela PwC com empresas do mundo inteiro mostra que anualmente, aquelas que faturam entre 100 milhões e 1 bilhão de dólares têm um prejuízo médio de 1 milhão por conta de fraudes, falhas na segurança e crimes cibernéticos.

O detalhe é que 73% dos usuários finais indicam que as principais causas da exposição dos dados e falhas na segurança são a falta de orientação, erros de procedimentos internos, negligência ou malícia.

Por isso, vamos entender o que é a Política de Segurança da Informação (PSI), como elaborá-la e implantá-la a fim de reduzir os riscos de seu ambiente de TI e evitar prejuízos para sua empresa.

O que é a Política de Segurança da Informação?

A formalização de uma PSI tem por objetivo preservar a integridade dos dados, garantir sua disponibilidade para as pessoas e sistemas certos, além de estabelecer a confidencialidade das informações, principalmente das mais críticas para o negócio.

Ela deve indicar como os dados são utilizados, como são descartados após perderem sua relevância para a empresas e quais os controles e proteções requerem.

Dada a especificidade das diretrizes, normas e processos que cada empresa precisa contemplar em sua política de segurança da informação é impossível criar um template padrão aplicável para qualquer tipo de organização.

Por exemplo, negócios do segmento financeiro, como bancos e corretoras, ou da área de saúde, devem contemplar algumas regulamentações específicas na elaboração de sua PSI e na forma como desenham a arquitetura da informação em suas instituições.

Apesar disso, existem 45 normas da família ISO 27000 que indicam boas práticas de forma genérica e outras mais específicas da gestão da segurança da informação. Algumas dessas normas podem servir como um norte na criação da PSI de sua empresa.

Por exemplo, a ISO 27001 é aquela que indica como a estrutura organizacional e as responsabilidades devem atender requisitos mínimos para a criação de um Sistema de Gestão da Segurança da Informação (SGI). Já a norma ISO 27034-5 trata da estrutura de dados para controle da segurança em aplicativos.

Quais itens não podem faltar em sua Política de Segurança da Informação?

Como dissemos, não há como estabelecer quais informações precisam ou não ser contempladas em sua política de segurança da informação, pois a realidade de cada empresa varia. Contudo, existem 5 pontos indispensáveis:

1. Estabelecer os responsáveis

O primeiro passo é determinar quem são os responsáveis por sua elaboração, divulgação, monitoramento e revisão.

Muitas empresas optam por estabelecer um comitê presidido pelo CIO ou pelo líder da área de TI. Além dele, diretores das áreas comercial, financeira e de recursos humanos devem estar envolvidos na elaboração, pois isso garantirá que as políticas, processos e tecnologias estejam alinhadas às necessidades do negócio.

Vale destacar que as decisões do comitê sempre devem ser assumidas pelo principal responsável pela empresa, seja ele o proprietário ou o CEO.

2. Classificar os tipos de informações

Definir os critérios de classificação dos dados entre públicos, internos, confidenciais e secretos é o segundo passo para uma boa PSI. Isso porque dependendo da empresa o mesmo tipo de dado pode ser classificado de uma maneira diferente.

Por exemplo, dados sobre faturamento e balanço financeiro são considerados públicos em Sociedades Anônimas de capital aberto com ações na bolsa. Já para outras empresas, esses dados são confidenciais e restritos apenas para a diretoria e área financeira.

Com base na classificação dos dados é que serão definidos os níveis de acesso de cada colaborador às informações, como os aplicativos de negócios serão implementados e qual o impacto que um incidente com aqueles dados pode gerar para a reputação da empresa.

3. Definir os níveis de acesso aos dados

A definição dos níveis de acesso deve considerar 3 aspectos:

3.1. Quem acessa?

Devem ser definidos os cargos ou pessoas de determinadas funções que podem acessar os dados, não o nome dos colaboradores. Isso garante que sempre um gestor de RH ou um vendedor tenha acesso ao mesmo número de informações necessárias para a execução de suas tarefas diárias.

3.2. Como acessa?

Por meio de quais sistemas e dispositivos a pessoa poderá acessar os dados. As pessoas podem usar um smartphone para acessar aos seus e-mails? E aos dados de clientes ou funcionários?

3.3. Quando acessa?

Fora do horário de expediente ou de sua jornada de trabalho a pessoa pode consultar os dados? Isso ajuda a estabelecer quais os tipos de controle que os sistemas precisam estabelecer para evitar que informações secretas, confidenciais ou de uso interno se percam ou fiquem expostas.

4. Indicar os padrões mínimos de qualidade

Esse quarto busca definir requisitos de sistemas, tempos de SLA para a resolução de incidentes ou necessidade de terceirização de algum tipo de capacidade técnica.

5. Evidenciar as consequências da violação das normas

Se a PSI estabelece responsáveis e direitos para os funcionários que consomem informações da empresa, ela também precisa declarar quais são as consequências por violar alguma diretriz.

As punições podem variar conforme o impacto causado por uma exposição acidental ou intencional das informações, indo desde advertências verbais até a demissões por justa causa. Contudo, a formalização da política e a assinatura de termos de sigilo e de responsabilidade devem anteceder qualquer tipo de medida administrativa.

Como implantar sua PSI?

Também não existe uma receita única que possa ser aplicada em qualquer empresa, mas existem 5 passos indispensáveis na hora de implantar uma política de segurança da informação.

  1. Envolva a diretoria: sem a adesão do mais alto nível de gestão da empresa a PSI será facilmente negligenciada e ignorada.
  2. Discuta com os principais envolvidos: a função da PSI é aumentar a segurança sem gerar burocracias ou impactos negativos para a rotina das pessoas, para isso o diálogo e envolvimento dos usuários chaves são essenciais.
  3. Invista em tecnologia: os aplicativos de negócios e sistemas de TI precisam ser adequados e configurados para garantir a aplicação da PSI, caso contrário ela cairá em descrédito.
  4. Escreva e disponibilize a Política de Segurança da Informação: divulgar e comunicar as definições é estratégico para o sucesso da implantação da PSI.
  5. Defina um plano de treinamento: treinar os colaboradores recém-contratados e capacitar a equipe de TI para executar, monitorar e revisar a PSI garantirá que ela seja observada por todos. É o fim da desculpa de não saber ou ser novo na empresa.

Assumir as melhores práticas de gestão de TI, como a elaboração de uma política de segurança da informação, não é uma tarefa simples ou pouco trabalhosa. No entanto, a diminuição de riscos e o alinhamento estratégico da área com as necessidades de negócio compensam os esforços e investimentos!

Gostou deste conteúdo? Siga nossas páginas nas redes sociais e fique sempre atualizado sobre as melhores práticas na gestão de TI. Estamos no Facebook, no Twitter e no LinkedIn!

2017-06-02T18:16:32+00:000 Comments