Políticas de Segurança da Informação

Apenas em 2016, ocorreram mais de 722 mil incidentes de segurança da informação no país, de acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Esse número é um indicativo de dois fatores: os gestores de TI falham em proteger os seus dados e o país possui um grande número de informações de alto valor armazenadas na sua infraestrutura de TI.

Os efeitos dos ataques são variados. A empresa pode ter perda de dados, como é o caso dos ataques de ransomwares, não conseguir acesso aos seus serviços mais importantes e ter dificuldades para atender a demandas de clientes. Além disso, o roubo de informações de terceiros prejudica a credibilidade do negócio no mercado, levando à perda de consumidores e parceiros comerciais.

Afinal o que é uma Política de Segurança da Informação?

Uma Política de Segurança da Informação funciona como um planejamento da forma como a empresa lida com todos os ativos de informação, ou seja, aquilo que produz ou contém informações de valor. Ela é guiada pelos três princípios básicos da segurança da informação, que podem ser resumidos desta forma:

  • Confidencialidade: As informações só devem ser acessadas por quem é autorizado. Este princípio tem como objetivo impedir que conteúdos sejam visualizados e roubados por terceiros a qualquer momento;
  • Integridade: As informações só podem ser alteradas por quem é autorizado. Isso evita que contas comprometidas consigam eliminar, modificar ou remover registros internos da organização;
  • Disponibilidade: As informações devem estar sempre disponíveis para quem é autorizado, evitando interrupções no fluxo de trabalho. Tenha em mente, portanto, que políticas de segurança devem focar, entre outros fatores, na garantia da privacidade de cada pessoa que utiliza os seus recursos.

Para garantir esses princípios, são usadas algumas estratégias e uma grande gama de ferramentas, dependendo do grau de segurança que a empresa precisa. Soluções de monitoramento de rede, serviços de controle de acesso e políticas de restrição de conteúdos são apenas alguns exemplos. Tais estratégias facilitam a criação de um ambiente de dados de alta performance e confiabilidade. O negócio poderá diminuir o número de vulnerabilidades existentes no seu ambiente de trabalho e, ao mesmo tempo, detectar a presença de ameaças com agilidade. Assim, o negócio torna os seus serviços digitais mais robustos e imunes a ataques.

3 motivos para você elaborar uma política de segurança da informação

1. Diagnóstico da Segurança da Informação

Antes de começar a elaborar planos de contenção ou políticas de controle de acesso, é necessário conhecer bem os ativos de informação da sua empresa. A partir disso, é possível hierarquizar os ativos da corporação para priorizá-los nas Políticas de Segurança da Informação de acordo com o impacto que o negócio teria caso algo ocorresse com cada equipamento ou sistema.

Além da hierarquização por importância na empresa, é preciso avaliar quais são as ameaças e vulnerabilidades de cada um dos ativos. Esta etapa também é uma das principais para a elaboração de um plano de gerenciamento de riscos, um dos instrumentos mais importantes para as políticas de segurança da informação.

Cabe ao gestor de TI e aos técnicos da área identificar como cada sistema ou ativo pode ser utilizado como porta (ou alvo) de ataques digitais. Um dispositivo da Internet das Coisas, por exemplo, muitas vezes serve de porta de entrada para ataques de rede caso ele seja mal configurado. Já softwares de gestão são alvos de uma série de ataques por possuírem um grande número de informações privadas.

2. Elaboração da PSI

Com as informações de diagnóstico como base, é possível criar uma política de informação que atenda aos requisitos da empresa. No entanto, essa etapa não pode ser feita só com profissionais do setor de TI. Uma boa PSI deve ser elaborada por uma equipe que abrange todos os setores da instituição, uma vez que ela deve ser aplicada a todos os funcionários.

Nesta etapa serão definidos processos como políticas de backup, políticas de uso de senha, controle de acesso aos espaços físicos, graus de acesso à informação de diferentes profissionais e times, criação de planos de contingência e de gerenciamento de riscos e definição das políticas de atualização de softwares.

Junto a outras estratégias, tais medidas tornam o ambiente de trabalho mais eficaz. Elas são cruciais para que o negócio possa direcionar os seus esforços em pontos críticos, sem perder o foco no seu core business.

3. Implementação da PSI

Nesta etapa é crucial ter o apoio de toda a empresa. Uma vez que a política esteja pronta, é necessário que os funcionários aprendam a trabalhar dentro dela. Para isso, podem ser feitas palestras e treinamentos, além de estabelecer sanções para o descumprimento da PSI.

É neste momento que todos os profissionais serão engajados na necessidade de possuir uma rotina baseada em boas práticas de segurança. Lembre-se sempre que a maioria dos ataques pode ser eliminada não com o investimento em soluções de segurança, mas com a capacidade de cada pessoa de identificar conteúdos maliciosos. Portanto, esteja pronto para criar treinamentos e cursos diretos e de fácil compreensão.

Uma PSI é essencial para reduzir as vulnerabilidades da empresa quanto à segurança da informação, além disso, deve haver alguém encarregado de realizar revisões periódicas das políticas de segurança da informação para ajustá-la às necessidades da empresa.

Benefícios da Política de Segurança da Informação

  • Desenvolvimento da política de segurança com base nas diretrizes internas de cada organização;
  • Definição de todos os requerimentos de segurança da informação;
  • Conscientização dos colaboradores em segurança da informação;
  • Acesso a analistas de segurança da informação com conhecimento em diversas normas de segurança cibernética.

Quanto risco sua empresa assume hoje?

Com a crescente evolução da tecnologia, está cada vez mais difícil manter a segurança dos ativos de T.I. Faça nosso teste e descubra quais riscos sua empresa está exposta...
Descobrir aqui!

Como desenvolver uma política de segurança da informação?

  • Faça um planejamento: Em primeiro lugar, você precisa fazer um planejamento adequado. Nesse planejamento, você deverá identificar o que deve ser protegido dentro e fora da organização. Para esse planejamento você também precisa observar quais são os sistemas de segurança que serão implementados e quais são os que já são utilizados na empresa, a fim de definir os riscos, prós e contras de cada programa novo, por exemplo.
    Quais são os itens que precisam de planejamento?
    - Normas de utilização de programas
    - Uso de smartphones no ambiente de trabalho
    - Bloqueio de sites
    - Uso do e-mail pessoal ou redes sociais

  • Aprove o planejamento: Quando se fala de Política de Segurança da Informação, o planejamento é a base fundadora das leis e prerrogativos que vão gerir a empresa em relação à segurança da informação e dos dados. E para que isso dê certo, não adianta apenas a aprovação dos dirigentes; é preciso que a diretoria da organização aprove o planejamento e considere cada um dos itens para que não haja nenhum mal-entendido. É fundamental implementar essa política porque isso garantirá maior segurança, tanto por parte da empresa quanto para os clientes.
  • Divulgue a política: Após o planejamento ser aprovado pelos membros do conselho e da diretoria, está na hora de divulgar a política aos funcionários das empresas e também aos fornecedores e clientes, principalmente àqueles que vão constantemente à organização. Deixe à mostra as regras sobre a Política de Segurança da Informação para que todos estejam avisados das consequências do seu descumprimento, além do que é permitido ou proibido.

  • Encontre soluções para os riscos: A Política de Segurança da Informação nem sempre consegue estimar os riscos e as consequências de cada erro humano, ou do próprio sistema. Por isso, ter uma equipe de TI terceirizada é uma ótima opção para gerenciar os erros ou até o conserto dos problemas. Ao designar um grupo especializado para a contenção de erros e riscos, você garante a segurança de todo o processo.

  • Treine a equipe: Uma equipe treinada sabe o que pode ou não ser feito dentro da organização no que diz respeito à segurança e à privacidade de dados. Por isso é fundamental treinar a equipe para que ela saiba todas as diretrizes da Política de Segurança da Informação — aliás, não se esqueça de fazer com que eles assinem um termo de compromisso!

manageengine
tenable
ubiquiti
mobileiron
F5 Networks
sophos
isc2
security mentor
kaspersky

Últimas Notícias do Blog

pt_BRPortuguese
en_USEnglish pt_BRPortuguese