Como implantar uma política de segurança da informação na sua empresa

Muito se fala sobre a necessidade de dispor de recursos de segurança como sistema antivírus, ferramentas de criptografia de dados e conexões, além do firewall, IPS, Webfilter e outras ferramentas. No entanto, essas ferramentas precisam ser utilizadas de modo inteligente e integrado, além de estarem associadas a boas práticas. Para obter máxima eficiência desses investimentos, as empresas devem investir em políticas de segurança da informação.

Hoje, dados corporativos são uns dos mais valiosos patrimônios de uma empresa, e por esse motivo, é importante que os esforços e recursos sejam orientados para evitar ou mesmo minimizar ataques cibernéticos. Para tanto, se faz necessário elaborar políticas e protocolos de segurança da informação capazes de garantir que dados sensíveis e estratégicos permaneçam salvos e íntegros.

Como elaborar uma política de segurança da informação

Uma política de segurança da informação consiste em um conjunto de normas, métodos e  que devem ser de conhecimento geral de todos os colaboradores. Normalmente a política se consolida em um documento ou protocolo escrito que, além da ações preventivas, também descreve as medidas a serem tomadas no caso de um ataque virtual ou eventual perda de dados.

O protocolo deve instituir desde as melhores práticas em segurança da informação e obedecer normas e padrões internacionais, de modo a deixar a empresa alinhada com o que há de mais moderno e avançado em relação à gestão da segurança da informação.

O porte e ramo de negócio da empresa também deve ser considerado no momento de elaborar e implantar uma política de segurança da informação. Para organizações que lidam com dados críticos e estratégicos de clientes, é recomendável implementar um Plano de Resposta a Incidentes e um Plano de Continuidade de Negócios.

Apesar de ambos funcionarem em conjunto, cada plano responde por procedimentos e ações a serem executados em etapas diferentes, com o objetivo de minimizar danos causados por uma invasão na rede ou roubo de dados sensíveis.

O primeiro permite que os efeitos de um ataque virtual sejam minimizados por meio de uma reação rápida e eficaz. O segundo, por sua vez, consiste de uma série de ações que propiciam um ambiente seguro para dar continuidade às operações corporativas sem trazer danos à empresa e aos seus clientes.

Qualificação e treinamento

Mapear os procedimentos e instituir normas, regras e práticas, não basta. No processo de elaboração e implantação de uma política de segurança da informação, qualificar e treinar os colaboradores também é imprescindível.

É necessário que todas as áreas e níveis hierárquicos da organização tenham ciência das ameaças virtuais que podem colocar as informações corporativas em risco, e quais medidas devem ser tomadas para proteger os dados mais sensíveis. Durante a implantação, também é importante contar com uma equipe de tecnologia da informação qualificada, que possa orientar e tirar dúvidas dos demais colaboradores.

Quando associada a sistemas de segurança da informação sólidos e atualizados, uma  política de segurança da informação oferece todos os recursos para que a troca de informações dentro e fora do ambiente de trabalho seja mais segura.

 

O que é necessário para colocar a política em prática?

  1. Realizar um planejamento, levantando o perfil da empresa.
    Analisar o que deve ser protegido, tanto interno como externamente.
  2. Aprovação da política de segurança pela diretoria.
    Garantir que a diretoria apóie a implantação da política.
  3. Análise interna e externa dos recursos a serem protegidos.
    Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, enumerando as deficiências e fatores de risco.
  4. Elaboração das normas e proibições, tanto física, lógica e humana.
    Nesta etapa devemos criar as normas relativas à utilização de programas, utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos, bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc.
  5. Aprovação pelo Recursos Humanos
    As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos funcionários da organização.
  6. Aplicação e Treinamento da Equipe
    Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo declaração de comprometimento dos funcionários. A política deve ficar sempre disponível para todos os colaboradores da organização.
  7. Avaliação Periódica
    A Política de Segurança da Informação deve ser sempre revista, nunca pode ficar ultrapassada.
  8. Feedback
    A organização deverá designar um colaborador específico para ficar monitorando a política, a fim de buscar informações ou incoerências, que venham a alterar o sistema, tais como vulnerabilidades, mudanças em processos gerenciais ou infra-estrutura.
  9. Atenção à novas tecnologias
    O setor de TIC deve está sempre atendo à novas tecnologias e demandas externas, para poder analisar e atualizar constantemente a Política de Segurança da Informação da empresa, um exemplo é a utilização indiscriminada de dispositivos móveis (smartphones e tablets) dentro da empresa, também conhecida como Consumerização de TI/BYOD e o uso de Aplicativos móveis de Mensagens de Texto e Voz, tudo deve está bem definido, com regras claras na Política de Segurança da Informação.

Consultoria e auditoria

Sem dúvida a implantação de uma política de segurança da informação é um importante passo na obtenção da proteção dos ativos da empresa. Porém é preciso certificar-se que esta política é, de fato, observada e respeitada. E o objetivo de uma auditoria da política de segurança da informação é exatamente este: atestar a eficácia, a eficiência ou a efetividade da mesma.

A NETDEEP executa serviços de consultoria em implantação e auditoria de políticas de segurança da informação baseando-se nos elementos essenciais que proporcionarão confiabilidade em todo o processo: ética, conhecimento, experiência, zelo profissional, imparcialidade e abordagem baseada em evidências.

A partir da auditoria, a empresa poderá ter uma visão clara e geral do quão aderente está à sua própria política de segurança da informação, possibilitando redirecionar esforços para obtenção de uma maior conformidade.

Se você precisa de apoio, por favor entre em contato com nossa equipe comercial que lhe indicaremos o caminho.

 

Referências: We Live Security – By ESET. 

 

Sobre André L.R.Ferreira

Diretor da Netdeep Tecnologia.
Atua no desenvolvimento de produtos e tecnologias de Segurança da Informação. Possui mais de 15 anos de experiência em consultoria para instituições privadas e públicas.

Deixe o seu comentário

netdeep