Política de segurança da informação: como implementá-la na empresa?

Uma das mudanças mais significativas para as empresas de qualquer área nos últimos anos foi abandonar dados armazenados em papel e arranjar uma forma de guardá-los dentro dos computadores ou em algum ambiente digital, como é o caso do armazenamento em nuvem.

Os dados digitalizados trouxeram uma série de benefícios para gestores, funcionários e colaboradores, mas há uma série de problemas em como mantê-los seguros. E a implementação de uma política de segurança da informação se torna fundamental para enfrentar esses problemas.

 


 

Tanto no papel quanto no online há uma série de ameaças a essas informações. No passado, os dados armazenados em relatórios e pastas poderiam ser acondicionados em armários ou cofres, por exemplo, e assim corriam risco de serem danificados de diversas maneiras: ação do tempo, umidade, presença de insetos, roubo ou extravio de pastas e envelopes etc.

Hoje em dia, apesar de a maneira de guardarmos tais informações serem distintas, como no caso de data centerspróprios ou servidores de responsabilidade de terceiros, as ameaças são de outro tipo: invasões de hackers, vírus, danos em cabos, equipamentos ou aparelhos, por exemplo, o que pode fazer com que um dado importante simplesmente desapareça ou seja alterado.

No texto de hoje, vamos apresentar a melhor maneira de implementar uma política de segurança para as informações de sua companhia.

O que é política de segurança da informação?

Mais do que práticas para garantir uma boa gestão das informações, uma Política de Segurança da Informação (PSI) é um documento com uma série de normas e procedimentos que uma empresa, ou um setor específico, deve seguir para manter seus dados a salvo de ameaças.

Este tema é tão importante que há uma norma internacional criada justamente para estabelecer um modelo de implementação, operação, monitoramento, análise e melhoria do chamado Sistema de Gestão de Segurança da Informação (SGSI). A ISO 27001 é adotada por milhões de entidades em todo o mundo que se preocupam com o valor de seus dados.

Princípios básicos de uma PSI

Podemos classificar 3 princípios básicos necessários para uma boa política de segurança:

    • Integridade: os documentos armazenados não podem sofrer alterações, rasuras ou adulterações. Eles devem ser armazenados e mantidos da forma como foram produzidos e guardados;

 

    • Confidencialidade: o acesso às informações deve ser mantida em sigilo e resguardada apenas às pessoas autorizadas;

 

  • Disponibilidade: as informações devem estar disponíveis e ser de fácil acesso às pessoas autorizadas e que precisam trabalhar com elas.

A importância de preservar as informações

Mas por que essa preocupação nos dias de hoje?

A informação sempre teve um valor inestimável para as corporações e hoje ela é considerada um ativo indispensável. O aumento da concorrência e da competitividade dentro de um mercado resultou em um ambiente em que uma empresa deve ser capaz de tomar decisões (acertadas) em todos os níveis. E o que possibilita esse acerto é a leitura que os gestores fazem das informações geradas pela própria companhia.

Dados sobre venda de um produto, aceitação, reclamações, preço, feedback dos clientes, tudo isso é motivação para a tomada de decisões, e abrir mão de preservar esse conteúdo representa um prejuízo enorme para um negócio, já que os dados gerados por seus mais diversos departamentos são seu principal capital, uma espécie de matéria-prima que embasa a tomada de decisão de um gestor.

Prejuízo que pode chegar a milhões

Há ainda outro aspecto importante que os empresários devem levar em conta para decidirem criar uma política de segurança da informação: o roubo de dados. No século XXI, isso vale mais do que dinheiro e, de olho nesse recurso valioso, quadrilhas têm se especializado em roubar dados, mensagens e qualquer tipo de informação interna de uma empresa que possa ter valor.

Uma pesquisa realizada em 2015 pelo Instituto Ponemon, a pedido da IBM, revelou um dado curioso e preocupante: o custo médio da violação de dados corporativos aumentou em 23% entre 2013 e 2015. O levantamento analisou dados de 350 empresas em 11 países e todas elas afirmaram ter registrado violações de dados – que variaram entre 2 mil e 100 mil registros. O prejuízo médio para cada registro comprometido é de US$ 154, o que significa que uma instituição que tenha assumido danos em 100 mil registros teve que desembolsar nada menos que US$ 154 milhões, fora o impacto causado pelo uso de dados reservados, o que é difícil de mensurar.

Passos para implementar uma boa PSI

Entendida a importância das políticas de segurança, eis 4 passos a seguir para a sua implementação:

1. Planejamento

Como qualquer medida adotada por um negócio, é preciso partir de um planejamento inicial. Gestores e equipes técnicas devem se reunir e fazer um levantamento completo de todas as informações e dados gerados pela empresa e seus funcionários que devem ser protegidas.

Se a companhia já tem alguma política de segurança da informação, pode ser um bom momento para analisar onde há falhas e que pontos é preciso aperfeiçoar para diminuir as brechas do programa. É fundamental que a diretoria e o conselho de administração da companhia conheçam e aprovem o planejamento da PSI.

2. Elaboração

Passada a primeira etapa, é hora de uma equipe especializada colocar a mão na massa. Este segundo passo é o momento em que as normas são elaboradas e delimitaram as regras e os limites para uso de programas, acesso à internet, uso de e-mails, troca de mensagens e todas as demais medidas que os funcionários devem seguir a partir do momento que as mudanças estiverem implementadas. É neste momento também que são estabelecidas sanções e punições para quem violar algum tipo de política.

3. Aprovação

Depois de pronto, o documento que contém a Política de Segurança da Informação da empresa deve ser submetido à aprovação dos gestores. Essas regras podem variar de acordo com o tamanho da corporação e suas regras internas, mas, de modo geral, as normas devem receber aval do setor de Recursos Humanos, da Diretoria e do Conselho de Administração (quando há um).

4. Treinamento e capacitação

Depois de passado todo o trâmite de planejamento, elaboração e aprovação da Política de Segurança da Informação, é hora de treinar seus funcionários. Isso porque eles terão envolvimento direto com todas as regras e serão atingidos por elas.

É importante, em um primeiro momento, criar canais de comunicação com os colaboradores para que eles possam tirar suas dúvidas e ter ciência total do que trazem as regras.

Gostou do texto? Aproveite para nos seguir nas redes sociais e ficar por dentro das novidades do setor. Estamos no Facebook e no Twitter.

isc2
sophos
tenable
security mentor
manageengine
kaspersky
F5 Networks

Últimas Notícias do Blog