Já imaginou ter dados confidenciais da sua empresa vazados? Para evitar as chances disso acontecer, é fundamental apostar na criação de uma política de segurança da informação.

Para reduzir os riscos no ambiente de TI, você precisa fazer uma reorientação no acesso aos dados, garantindo ações efetivas que protejam as informações.

Com isso, é possível diminuir a ocorrência de falhas na segurança que são causadas por malícias, falta de orientação ou negligência.

Quer saber mais sobre esse assunto e como elaborar uma política de segurança da informação ideal para a sua empresa? Então, continue a leitura!

O que é a política de segurança da informação?

Também conhecida como PSI, a política de segurança da informação se remete a um documento ou manual que revela um conjunto de ações, práticas e técnicas voltadas para a segurança dos dados.

Desse modo, ele geralmente orienta os colaboradores a saber como se portar, o que deve e não deve ser feito em relação ao uso das informações.

Com isso, o PSI consegue direcionar e estabelecer as diretrizes da organização quanto à proteção dos dados, sendo aplicado nas mais diferentes áreas da empresa.

Nesse sentido, a PSI engloba os seguintes aspectos:

  • padrões de comportamento quanto à segurança da informação;
  • restrição de acesso;
  • monitoramento;
  • controle;
  • formas de proteção;
  • condições das instalações de equipamentos.

Assim, a política de segurança da informação consegue preservar a confidencialidade, disponibilidade e integridade dos dados.

Vale destacar que a norma ABNT NBR ISO/IEC 27001:2005, reconhecida em todo o mundo, é um referencial quanto à gestão da segurança da informação, servindo para orientar na elaboração da PSI.

Fora isso, é importante que esse documento esteja condizente com as legislações do nosso país.

Teste Hosts Green gratuito

Como criar uma política de segurança da informação?

Já adiantamos alguns dados quanto à elaboração da PSI, mas, para facilitar ainda mais, estipulamos aspectos que não podem ficar de fora na hora de criar a política de segurança da informação. Confira!

Escolha os colaboradores responsáveis

Antes de iniciar a elaboração do documento, você deve se encarregar de escolher quem vai criá-lo, bem como ser responsável pela divulgação, revisão e monitoramento.

Existem organizações que preferem organizar um comitê encabeçado pelo CIO, lembrando que os outros diretores, como da área de finanças e recursos humanos, devem participar da elaboração para verificarem se o documento está de acordo com as diretrizes e necessidades da organização.

Realize um diagnóstico prévio

Para fazer um PSI eficiente, você precisa elencar os ativos de informação da sua empresa, pois apenas assim é possível saber quais dados precisam ser protegidos.

Desse modo, veja quais são os dispositivos usados na organização, o comportamento das pessoas em relação a eles, os dados protegidos e o nível de acesso dos colaboradores.

Com isso, você reconhece quais são as principais necessidades da empresa quanto à segurança da informação.

Classifique os tipos de informações

Depois de fazer um diagnóstico prévio, chegou a hora de categorizar as informações que precisam ser protegidas.

Nesse caso, é necessário classificá-las em internas, públicas, confidenciais e secretas. Vale lembrar que essa categorização vai variar de empresa para empresa.

Por meio da classificação, será possível definir os níveis de acesso dos colaboradores, aplicativos que devem ser implementados para aprimorar a segurança e formular quais impactos podem ocorrer na organização caso ocorra um vazamento dos dados.

Defina os níveis de acesso

Para fazer a definição dos níveis de acesso, você deve considerar três fatores fundamentais, que são:

  • quem acessa: deve estar inserido o cargo ou pessoas de função específica para acessar os dados;
  • como acessa: o meio pelo qual a pessoa pode acessar os dados, ou seja, qual é o sistema e o dispositivo;
  • quando acessa: definição do horário em que é permitido acessar os dados, por exemplo, apenas no expediente ou se em casa também é possível.

Descreva as tecnologias de defesa usadas contra ciberataques

Para que todos fiquem sabendo quais são os meios tecnológicos para proteger os dados de ciberataques, você precisa descrever os mecanismos de defesa utilizados, que podem ser:

  • firewall;
  • controles de acesso;
  • backup;
  • monitoramento de rede;
  • auditoria;
  • criptografia.

Utilize os três princípios básicos de segurança

Os três pilares da segurança da informação são a confidencialidade, disponibilidade e integridade.

O primeiro diz respeito ao acesso dos dados apenas por pessoas autorizados.

Já o segundo indica que as informações precisam estar disponíveis, de acordo com a solicitação, para os autorizados.

Por último, o terceiro revela que somente pessoas com autorização podem modificar as informações.

Ao seguir esses três aspectos fundamentais, o conjunto de ações constados no PSI se tornam mais efetivos.

Indique as consequências quanto à violação das normas

Após escrever todas as orientações em relação à proteção dos dados, você precisa destacar quais são as consequências caso as normas não sejam seguidas.

Nesse caso, é importante lembrar que as punições devem se basear em ações intencionais ou acidentais. Portanto, elas podem variar desde uma advertência até uma  demissão por justa.

Ainda assim, essa formalização precisa estar no documento para anteceder as medidas administrativas.

É importante que as consequências estejam bem claras para todos, pois, caso ocorra algum incidente, todos já sabem quais serão as sanções tomadas.

Comunique o resultado

Depois de finalizar a elaboração do documento, você deve comunicar isso a todos, apontando ainda as práticas que precisam ser seguidas e o que deve ser evitado.

Em alguns casos, vale a pena apostar em treinamentos com o objetivo de fixar as informações na mente dos colaboradores, bem como prever as consequências no descumprimento das normas.

Isso vai permitir que eles fiquem mais experientes no assunto, o que evita que eles cometam erros por falta de conhecimento prático.

Ao seguir todos esses passos, você é capaz de planejar e elaborar uma política de segurança da informação que vai maximizar a proteção dos dados da sua empresa.

Desse modo, evitará incidentes dos colaboradores e problemas como vazamentos de informações causados por ciberataques, que poderiam comprometer diretamente a saúde do seu negócio ao expor dados confidenciais.

Além de conhecer melhor a política de segurança da informação, vale a pena apostar numa boa arquitetura da informação. Saiba mais sobre esse assunto neste post!

Monitore Grátis