Política de segurança da informação: como implementar na sua empresa?

Política de segurança da informação: como implementar na sua empresa?

Os dados são o ativo mais valioso das empresas e para ajudar a mantê-los seguro é preciso que a infraestrutura esteja segura e que os usuários façam uso de boas práticas de acesso e uso de softwares, e a melhor ferramenta para documentar isso é a política de segurança da informação.

O que é a Política de Segurança da Informação?

A política de segurança da informação é um conjunto de procedimentos estruturados para proteger toda a infraestrutura de TI da empresa, do hardware ao software, fornecendo aos colaboradores instruções sobre como utilizar os recursos disponíveis e acessar os dados confidenciais.

Dividida em duas partes, ela atua tanto na prevenção de ameaças externas quanto na redução de riscos internos, que podem ser gerados por uso indevido de recursos e acessos não autorizados.

Qual o objetivo da política de segurança da informação?

O objetivo da política de segurança da informação é garantir a integridade da infraestrutura de TI, prevenindo ameaças e ataques externos ao mesmo tempo que cria um conjunto de regras e boas práticas para que o uso interno de equipamentos, rede e softwares seja responsável.

Esse objetivo visa garantir os 3 princípios da segurança da informação:

Confidencialidade: assegura o acesso às informações da empresa apenas por pessoas autorizadas

Integridade: garante que os dados não serão alterados ou removidos, mantendo as informações confiáveis

Disponibilidade: garante que os dados estarão disponíveis sempre que necessário, desde que se tenha permissão de acesso a eles

Toda empresa que possui uma infraestrutura de TI, por menor que seja, precisa de uma política de segurança da informação, principalmente para adequação a questões de compliance e LGPD.

Como implementar a Política de Segurança da Informação na empresa?

A implementação da Política de Segurança da Informação é um processo que possui 4 etapas, que ao serem seguidas proporcionam qualidade e confiabilidade para o documento produzido.

Planejamento

A primeira etapa é para identificação de ameaças e vulnerabilidades que possam afetar a infraestrutura e para analisar o que já está implantado a nível de segurança. É aqui também que são analisados os níveis de acesso dos usuários, classificados os níveis de confidencialidade dos dados e avaliado o uso de sistemas IAM.

Elaboração

Com o planejamento concluído, segue-se para a segunda etapa, onde é iniciada a elaboração da política de segurança da informação. Entre os itens que devem compor a PSI estão:

  • Designação de um comitê de SI

  • Normas de mercado usadas, como ISO 27001 e ISO 27002

  • Uso de criptografia e outros recursos de proteção de dados

  • Normas de backup, recuperação e recursos de Data Loss Prevention

  • Políticas de senhas e restrições de acesso

  • Normas sobre o uso geral de dispositivos, softwares e internet

  • Rotinas de auditoria

  • Boas práticas de uso do e-mail corporativo

  • Penalidades aplicáveis

Ao definir o comitê de Segurança da Informação é importante que cada setor da empresa tenha um representante participando dele, para garantir que todas as normas estabelecidas sejam respeitadas e estejam em compatibilidade com o trabalho de cada setor.

Implementação

Concluída a elaboração da PSI é hora de implementar. E para começar é importante fazer uma ampla comunicação entre os colaboradores da empresa, entregando uma cópia do documento para cada um e orientando sobre como será a adoção e esclarecendo possíveis dúvidas.

Monitoramento

Iniciada a adoção da PSI é hora de monitorar sua aplicação e os resultados que ela está gerando. Esse acompanhamento mais próximo vai ajudar muito ao longo do período de adaptação e possibilitará a aplicação de ajustes para que ela se adeque à evolução do negócio.

A adoção de uma política de segurança da informação é uma das ações realizadas para atender aos requisitos de governança de TI, que é capaz de garantir controle total sobre os resultados do negócio.

Governança de TI e Política de Segurança da Informação se complementam e são parte fundamental no planejamento estratégico da empresa. Por isso, não as ignore e mantenha os olhos sempre abertos para melhorias.

Compartilhar: