Os documentos empresariais contêm informações preciosas para o negócio, portanto, é necessário garantir que seus dados não caiam em mãos erradas. Implantar uma política de segurança da informação (PSI), seguindo as normas e regulamentações pertinentes, é de extrema importância para garantir a proteção dos dados da sua empresa.
Muitas organizações armazenam informações sigilosas de clientes e um vazamento pode gerar ações judiciais e multas significativas. Além do mais, situações como essas podem manchar a reputação da companhia no mercado, trazendo prejuízos imensuráveis, por conta de crimes virtuais.
Para criar a política interna de segurança da informação, há empresas tentam seguir o padrão das normas ISO ou PCI que, apesar de serem referências no assunto, são enormes e complexas.
Entenda, ter uma PSI eficiente não precisa ser algo tão complicado, além de não ser exclusividade de empresas de grande porte. Neste post, daremos algumas dicas para criar uma política de forma simplificada e efetiva. Acompanhe!
Saiba o que é política de segurança da informação
Podemos definir a política da segurança da informação como sendo o documento orientador que estabelece todas as diretrizes organizacionais referentes à segurança dos ativos de informação de uma empresa. Por isso, deverá ser aplicado em todas as esferas de uma organização.
Conhecida no mundo inteiro, a norma que serve de base referencial para a gestão de segurança da informação é a ISO/IEC 27001. Além disso, as políticas de segurança devem estar em sintonia com a legislação do país, no Brasil, com atenção especial à LGPD — Lei Geral de proteção de dados, que entra em vigor em 2020
Para ser completa, a PSI deve trazer as regras e diretrizes orientadoras para que os colaboradores, fornecedores e clientes fiquem alinhados em relação aos padrões e comportamentos ligados à segurança da informação.
Também é importante contar com os procedimentos em relação às condições de instalações de equipamentos, restrições de aceso, monitoramento, mecanismos de proteção e controle. A meta é proteger as informações em relação à integridade, disponibilidade de confidencialidade.
Conheça os princípios básicos
A política de segurança da informação é um documento que será utilizado em todos os setores da organização. Ao planejá-lo e elaborá-lo é necessário garantir que as informações da empresa sejam preservadas quanto aos três princípios básicos de segurança, veja-os abaixo.
Confidencialidade
Permitir o acesso a dados e informações somente para profissionais autorizados ajuda na proteção do capital intelectual, gerando vantagens competitivas para as empresas. Quando um concorrente acessa tais dados, a inteligência do seu negócio é comprometida.
Integridade
Independentemente de ser armazenada ou transferida, toda a informação precisa estar correta para a pessoa que vai consultá-la. Isso garante a exatidão do dado em si e que os métodos de processamento estão adequados.
Basicamente, a integridade da informação é responsável por validar todos os processos de comunicação utilizados pela organização no seu âmbito interno e externo. Uma possível adulteração dos dados pode causar prejuízos, incluindo perda de tempo e dinheiro.
Disponibilidade
Em se tratando da disponibilidade, este ponto é importante por interferir nas atividades operacionais da empresa. As decisões a serem tomadas na organização estão relacionadas ao acesso aos dados. Se os funcionários não conseguirem acessá-los, não conseguirão desempenhar as suas atividades.
Nesse cenário, a capacidade dos departamentos que necessitam de respostas ágeis para atuar será afetada, acarretando paralisações que diminuem a sua lucratividade. Diante disso, a área de segurança digital precisa fazer com que os colaboradores autorizados acessem as informações exigidas para o seu trabalho sempre que houver necessidade.
Como aplicar a política de segurança da informação
Com os passos certos, a sua empresa pode criar uma política de segurança da informação ideal para os seus. serviços. Leia o passo a passo para esse processo.
1. Faça um planejamento
Para que a implantação da PSI aconteça da melhor maneira possível, ela precisa ser bem planejada. É necessário estar atento a alguns pontos importantes que ajudarão nesse processo:
- converse com os diretores e gestores da empresa sobre a implantação;
- identifique todas as informações que devem ser protegidas — se necessário, peça por dicas aos seus funcionários;
- verifique quais são os dispositivos utilizados para acessar essas informações;
- observe se será preciso alguma mudança no controle de acesso aos espaços físicos.
Após especificar tudo o que deve ser contemplado na PSI, você já pode seguir para a fase de elaboração das normas.
2. Crie as regras
Agora devem ser criadas as regras que regulamentarão as atividades na empresa, como o funcionamento do acesso à internet, uso de dispositivos, contas de e-mail, condições para acessar determinados espaços dentro do local de trabalho etc.
3. Defina os níveis de acesso
Definir os níveis de acesso é diminuir a porta de entrada para invasões em um banco de dados. Quanto menos pessoas tiverem acesso à totalidade das informações, menos brecha haverá. A primeira ação a ser tomada é a definição de quem tem acesso a que. É importante definir os cargos ou determinados profissionais que podem acessar os dados. Isso garante que cada profissional acesse apenas os dados que são relevantes para as suas determinadas funções.
Em seguida é hora de definir como serão feitos esses acessos, em que tipos de dispositivos os colaboradores poderão entrar no sistema. Hoje em dia é muito comum as empresas aderirem ao BYOD — Bring Your Own Device (traga seu próprio dispositivo) — e isso deve ser bem definido para que não traga problemas futuros.
É importante também definir os tipos de dados que os profissionais poderão acessar, apenas os seus e-mails? Poderão ter acesso aos dados de clientes, de outros funcionários?
Por último, mas não menos importante, é a definição de quando o acesso poderá ser feito, se apenas em horário de expediente ou a pessoa poderá se aproveitar da mobilidade para acessar quando quiser. É necessário entender qual é a alternativa mais segura para evitar o extravio, exposição ou sequestro de informações sigilosas.
Quando estiverem descritas todas as normas e proibições, será a hora de redigir o documento final. Ele deve conter alguns tópicos importantes que sintetizarão as ideias de todo o processo.
4. Elabore o conteúdo
A política de segurança da informação deverá conter os seguintes itens:
- definição — explique qual é o significado do documento e sua importância para a segurança dos dados da empresa;
- objetivos — cite os objetivos da implantação da política, apoiando-se nos princípios básicos da integridade, confidencialidade e disponibilidade;
- aplicações — deixe claro que a PSI deve ser aplicada em todos os setores da empresa e seguida por todos os colaboradores e prestadores de serviço;
- requisitos — defina os procedimentos de prevenção de riscos, frequência dos testes dos serviços de TI, necessidade de informar sobre a PSI nos contratos da empresa, entre outros;
- responsabilidades — explique quais são as responsabilidades da equipe de TI e também dos demais colaboradores;
- regras — explicite, de forma clara, todas as normas criadas na fase de elaboração das regras.
Assim que terminar o documento, apresente-o para a aprovação dos diretores e aos profissionais da equipe de recursos humanos, que orientarão em relação às leis trabalhistas.
5. Realize treinamentos
É importante que todos os funcionários tenham acesso à PSI e saibam que é necessário observar suas diretrizes com atenção. Para isso, promova treinamentos para toda a equipe, a fim de mostrar a importância do comprometimento com a política implantada. Ainda, é necessário que eles assinem um termo de responsabilidade nesse sentido.
Lembre-se que, para evitar riscos em relação à segurança dos dados da empresa, a PSI deve ser constantemente atualizada. Portanto, mantenha seus colaboradores sempre informados sobre essas alterações.
Consequências da falta de uma política de segurança da informação
Conhecer os riscos da falta de uma política de segurança da informação também é necessário ao criar essas estratégias. Ao fazer esse levantamento, podem ser desenvolvidos meios para evitar que evitam as consequências da ausência de cuidados.
Listamos os principais riscos que a sua empresa pode estar correndo ao não fazer os investimentos em segurança da informação. Veja nos tópicos a seguir!
Vazamento de dados
As empresas mantêm dados sigilosos em seus computadores e dispositivos. Informações pessoais dos clientes, protocolos de trabalho e protótipos de novos produtos são exemplos do que não pode vazar de jeito nenhum.
Quando não há nenhuma política de proteção, essas informações podem ser vazadas intencionalmente por colaboradores mal-intencionados ou, até mesmo, por hackers que invadem os sistemas da organização.
Prejuízos financeiros
Os hackers também podem invadir os sistemas financeiros da empresa, causando grandes prejuízos. Assim, fraudes bancárias, como o esvaziamento de contas, podem acontecer.
Além disso, a exposição de dados, com a perda de um protótipo, como exemplificado anteriormente, pode fazer com que a empresa deixa de ganhar dinheiro.
Sequestro de dados
Além do vazamento, há também o sequestro de dados. Nesse caso, os hackers invadem os sistemas das empresas e impedem o acesso às informações.
Depois de algum tempo, eles entram em contato com a organização, solicitando valores em dinheiro para devolver o acesso aos dados.
Danos à reputação da empresa
Entre os riscos da falta de uma política de segurança da informação, também estão os danos à reputação e à imagem da organização. Afinal, os públicos, interno e externo, deixarão de confiar na empresa e terão a impressão de que ela utiliza sistemas frágeis.
Isso é um problema grave, principalmente quando envolve clientes que deixarão de comprar do seu estabelecimento para se fidelizar a um concorrente.
Ações judiciais
Se dados de clientes, fornecedores ou, até mesmo, de colaboradores vazarem, essas pessoas terão todo o direito de se sentirem lesadas e violadas. Endereços, números de documentos, cartão de crédito e outros itens são exemplos de informações sigilosas.
As pessoas que se sentirem prejudicadas por conta disso têm o direito de mover ações judiciais. Nesses casos, além de manchar a imagem e perder dinheiro com indenizações, a empresa também gastará muito com advogados e tempo participando de audiências em júris e tribunais.
Interrupção de serviços regulares
Empresas que prestam serviços regulares, como uma de sistemas de gestão ou operadora de internet, podem ter os seus serviços interrompidos caso ocorra algum problema envolvendo a segurança. Isso gera insatisfação aos usuários.
ISO 27002: Boas práticas para gestão de segurança da informação
A segurança da informação é um tema que se tornou popular nos últimos anos, conquistou espaço na mídia entre empresas de diversos portes e segmentos, e se tornou uma “commodity”. Por outro lado, deve-se ressaltar que a popularidade do termo SI (Segurança da Informação) é impulsionada pelo aumento do número de incidentes de segurança ocorridos em escala global. As interferências causadas por esses incidentes são diversas, resultando em danos à imagem corporativa e vazamento de informações importantes, o que pode gerar perdas financeiras significativas.
O aumento do número de ocorrências afeta a percepção do valor dos investimentos em SI e faz com que a empresa busque uma estrutura de processos para garantir que seu negócio esteja protegido dos mais diversos tipos de ameaças virtuais.
Nesse caso, surgiu a norma internacional NBR ISO / IEC 27002, que tem como foco as boas práticas na gestão da segurança da informação. Hoje, isso é essencial para a integração do Sistema de Gestão da Segurança da Informação (SGSI), garantindo a continuidade e manutenção dos processos de segurança e atendendo aos objetivos estratégicos da organização. A seguir, compreenda as principais características do padrão e os benefícios relacionados à sua implementação:
Quais os objetivos da ISO 27002?
Estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização, são o principal objetivo da ISO 27002. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa.
Quais os principais itens que compõem o ISO 27002?
A parte principal da norma se encontra distribuída nas seguintes seções, que correspondem a controles de segurança da informação. Vale lembrar que a organização pode utilizar essas diretrizes como base para o desenvolvimento do SGSI. Sendo elas:
- Seção 5 – Política de Segurança da Informação;
- Seção 6 – Organização da Segurança da Informação;
- Seção 7 – Gestão de ativos;
- Seção 8 – Segurança em recursos humanos;
- Seção 9 – Segurança física e do ambiente;
- Seção 10 – Segurança das operações e comunicações;
- Seção 11 – Controle de acesso;
- Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas;
- Seção 13 – Gestão de incidentes de segurança da informação;
- Seção 14 – Gestão da continuidade do negócio;
- Seção 15 – Conformidade.
Quais são os benefícios da ISO 27002 para as empresas?
As vantagens proporcionadas pela certificação ISO 27002 são representativas para as empresas, principalmente pelo fato de serem reconhecidas mundialmente. Conheça alguns benefícios associados a aplicação da norma:
- Melhor conscientização sobre a segurança da informação;
- Maior controle de ativos e informações sensíveis;
- Oferece uma abordagem para implantação de políticas de controles;
- Oportunidade de identificar e corrigir pontos fracos;
- Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos;
- Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação;
- Melhor organização com processos e mecanismos bem desenhados e geridos;
- Promove redução de custos com a prevenção de incidentes de segurança da informação;
- Conformidade com a legislação e outras regulamentações.
Política de segurança e seus benefícios
A sua empresa ainda não tem uma política de segurança da informação eficiente? Ao implementar essa ferramenta, você impacta positivamente todos os setores do negócio, aumentando a eficiência das suas tarefas diárias. Confira os principais benefícios obtidos por meio dessa solução.
Controle de acesso
A partir de uma política de segurança da informação apropriada às suas características, a empresa tem condições de controlar todos os acessos aos dados que utiliza no seu cotidiano. Isso consiste em fornecer acesso somente para as pessoas que realmente necessitam de determinadas informações.
Existe a possibilidade de classificar os profissionais por níveis de acesso. Afinal, há departamentos que precisam de informações básicas para desenvolver o seu trabalho, enquanto outros requerem dados mais sigilosos.
Dessa forma, é possível saber com riqueza de detalhes quem acessou uma informação, por qual motivo e quando isso ocorreu. Tal controle é extremamente útil para fiscalizar se o uso dos dados está sendo feito de maneira correta e, caso não esteja, pode-se interferir rapidamente.
Padronização dos procedimentos utilizados na empresa
A ausência de normas apropriadas para o acesso e uso de informações faz com que os funcionários realizem esses processos de forma intuitiva, o que os deixa suscetíveis a cometer erros que podem prejudicar a empresa como um todo.
Com a implementação de regras relacionadas à segurança da informação, é estabelecida uma padronização dos procedimentos utilizados na empresa, o que os torna mais organizados e reduz as chances de erros.
Consolidação da imagem da empresa no mercado
As organizações que adotam essa ferramenta desfrutam de uma série de benefícios, como a redução de erros e o aumento da segurança dos seus dados. Há menos instabilidade e paralisações indesejadas, otimizando o tempo de trabalho, por exemplo. Essa situação eleva a eficiência das suas atividades, bem como diminui o índice de retrabalho e proporciona economia financeira.
Além disso, um dos pontos mais relevantes é a maior proteção dos dados internos e dos clientes, item que previne contra vazamento de informações. Nesse sentido, a empresa presta um trabalho mais confiável — condição que ajuda a criar e consolidar uma boa imagem no mercado.
Entenda a importância de contar com empresa especialista em segurança da informação
Se você é dono de uma pequena ou média empresa, sabe que, para garantir os crescimentos do negócio é importante dedicar atenção especial ao core business. Mas como qualquer corporação imersa na transformação digital vocês também necessitam de uma atenção especial nas questões de políticas de segurança. Como fazer para dar conta de algo tão específico?
A resposta é simples, você poderá contar com uma empresa parceira especializada em segurança da informação, que cuidará da elaboração do documento, gerenciamento de riscos, detecção de possíveis fraudes e os serviços gerenciados de segurança. Assim, você continuará focado em seus negócios, tendo o apoio de uma empresa 100% dedicada a cuidar dos seus dados, pois esse é o core business deles.
Criar uma boa política de segurança da informação, como você pôde perceber ao longo do post, é algo imprescindível para as empresas. Por isso, coloque todas as nossas dicas em prática e garanta que a sua organização esteja sempre segura.
E aí, gostou desse post? Siga a nossas página no Facebook, Instagram e LinkedIn agora mesmo e acompanhe tudo sobre o universo de TI!
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.
