Como desenvolver uma política de segurança da informação?

Tempo de leitura: 10 minutos

Sem tempo para ler? Ouça este post ou baixe para ouvir mais tarde

As transformações digitais no trabalho trouxeram maior produtividade e agilidade para a rotina das organizações, mas também resultaram em um imenso volume de dados circulando dentro e fora das empresas. Para oferecer a proteção necessária a esses ativos, a política de segurança da informação é um documento indispensável em qualquer negócio. 

 No cenário corporativo, as operações de trabalho ocorrem, majoritariamente, em sistemas e computadores com grande dependência de conectividade. Essa digitalização implica em um aumento impressionante nas ocorrências de ataques hacker, o que justifica a necessidade de uma política de segurança da informação muito bem definida e executada dentro das organizações. 

O que é política de segurança da informação? 

Antes de entender o conceito, é preciso compreender o que é segurança da informação. De acordo com a norma ISO 27001, responsável por estabelecer diretrizes para a gestão da informação de uma empresa, segurança da informação pode ser definida como o ato de proteger os dados contra diversos tipos de ameaças e riscos. 

Nesse contexto, a política de segurança da informação (PSI) é um documento que determina regras para definir o acesso, controle e transmissão de informações dentro de uma empresa. Para isso, a política deve ser baseada em três pilares essenciais: 

  1. Confidencialidade: é a garantia de que determinada informação, fonte ou sistema é acessível apenas às pessoas previamente autorizadas. 
  2.  Integridade: visa garantir precauções necessárias para que os dados não sejam modificados ou eliminados sem autorização. O objetivo é manter sua legitimidade e consistência, condizendo exatamente com a realidade. 
  3.  Disponibilidade: trata-se da garantia de acesso aos dados, sempre que necessário, por colaboradores e membros da organização, priorizando a fluidez, segurança e eficiência do processo. 

Na prática, a política de segurança da informação estabelece normas, diretrizes e processos para implementar um controle efetivo na infraestrutura de software e hardware, procedimentos de rotina em TI e gestão de dados de maneira geral. 

Vale lembrar que não é um documento imutável ou inquestionável. Muito pelo contrário, a empresa deve estar sempre atualizando a política para garantir melhorias que visem maior eficácia à segurança da informação. 

Confira também 👉 7 ações de conscientização sobre a segurança da informação

Como criar uma política de segurança da informação? 

pessoa na camisa social branca segurando o papel branco

Créditos: Vadim Bozhko

Como cada empresa possui suas particularidades, não existe um modelo padrão para todas as organizações. É preciso que cada organização conheça suas especificidades, regulamentações e necessidades próprias para elaborar a política de segurança da informação. 

Apesar disso, existem alguns passos essenciais que podem ajudar na elaboração de toda política de segurança da informação. Confira os principais: 

Defina os responsáveis 

Geralmente, a criação de uma política de segurança da informação fica sob responsabilidade do gestor de TI. Contudo, também vale considerar a inclusão de outros setores, como o RH, financeiro e comercial. Essa integração de setores garante uma visão mais sistêmica sobre as necessidades da empresa. 

Os responsáveis pela política de segurança da informação não devem apenas elaborar o documento, mas também garantir sua divulgação, monitoramento e revisão quando necessário. 

Faça um levantamento geral 

Para garantir a máxima segurança, é preciso identificar todos os processos que podem ser beneficiados e delimitados pela política. Aqui, também vale envolver todos os setores para levantar os pontos que precisam constar no documento.  

Procure realizar uma análise diagnóstica completa, identificando todos os ativos de informação, acessos, ameaças e vulnerabilidades. Após isso, você pode definir quais processos precisam ser alterados ou otimizados. Alguns exemplos incluem: 

  • Cronogramas de backup; 
  • Regras para uso de senhas e credenciais de acesso; 
  • Controle de acesso em ambientes físicos; 
  • Diretrizes para o acesso à informação de cada equipe e profissional; 
  • Planos de contingência e de gerenciamento de riscos; 
  • Políticas de atualização de softwares. 

Defina os níveis de acesso aos dados 

pessoa usando o computador na mesa

Créditos: Sigmund

De maneira geral, toda empresa possui dados internos, públicos, secretos e confidenciais. É importante definir a classificação de cada uma dessas informações, visando o controle e a proteção adequada.  

Com base nessa classificação, é possível estabelecer os níveis de acesso de cada colaborador da empresa aos diferentes dados. Ao definir os níveis, você garante muito mais controle para que nenhum funcionário acesse dados sigilosos ou confidenciais. 

 Para essa definição, você pode seguir um passo a passo simples com três etapas: 

  1. Quem acessa: definição dos cargos que podem acessar determinados dados.
  2. De que forma acessa: definição dos dispositivos e sistemas que podem acessar os dados.
  3. Quando acessa: definição do período permitido para consulta dos dados.

Etapas de implementação 

Após a elaboração da política de segurança da informação, é preciso garantir sua correta implementação para que ela cumpra sua função principal: proteger os ativos mais valiosos da sua empresa. Confira o que deve ser feito: 

Alinhamento com as demais políticas internas: estude todas as políticas da empresa para que todos os propósitos estejam alinhados. 

Aprovação pela diretoria e RH: um documento com o nível de importância da PSI deve passar pela aprovação do cargo mais alto da empresa, bem como pelo setor de RH, para estar de acordo com as leis trabalhistas e com o manual interno dos colaboradores. 

Divulgação e treinamento: envie uma cópia do documento para conscientizar todos os funcionários e promova um treinamento prático para explicar melhor os objetivos e pontos principais da política. 

Avaliação periódica: juntamente com gestores e colaboradores, realize avaliações periódicas para identificar possíveis melhorias na PSI.  

Conclusão 

A política de segurança da informação é um documento de grande importância para a preservação e proteção dos dados da sua empresa. Mesmo que você tenha total confiança na sua equipe, a organização ainda está sujeita a erros e falhas não intencionais que podem resultar em grandes prejuízos financeiros e comprometimento da reputação no mercado. 

Para não correr esses riscos, não deixe de elaborar uma PSI para sua empresa. Com certeza, esse documento irá garantir muito mais assertividade e segurança nas operações diárias.  E, se não sabe como fazer esse documento, nem por onde começar, fale com nossos especialistas aqui da Microservice, nós podemos te ajudar!

Nosso objetivo é proporcionar a solução mais eficaz para as demandas de nossos clientes, garantindo o uso das melhores tecnologias para a conquista de resultados expressivos e sustentáveis.

Newsletter

cadastre-se na nossa newsletter e receba conteúdos no seu e-mail

Criação de Sites por Vale da Web