Geral 8min de Leitura - 07 de julho de 2021

Políticas e procedimentos de segurança da informação

políticas de segurança simbolizada por uma tecla com desenho de cadeado

This post is also available in: Português Español

Políticas e procedimentos

Ter políticas de segurança é imprescindível para garantir a integridade dos seus sistemas, pois além de garantir a segurança, estabelece o comportamento e os controles necessários à execução das definições estratégicas da empresa.

Isso também ajuda a determinar, como prevenir e responder a ameaças à integridade, disponibilidade e confidencialidade das informações e ativos críticos, identificando responsabilidades, direitos e deveres dos colaboradores.

homem segurando prancheta

A tecnologia é essencial para qualquer negócio. Independentemente do porte ou segmento das empresas, os grandes destaques do mercado operam seus principais sistemas em computadores, dependendo da conectividade para funcionar plenamente.

Por isso existe uma grande necessidade de implantar políticas de segurança nas empresas.

Nos últimos tempos houve um grande aumento da quantidade de informações sensíveis circulando, tanto dentro de uma organização como dela para o mundo todo, via internet.

Possuir políticas que, documentadas, detalham procedimentos e diretrizes para eliminar a subjetividade ao lidar com informações sensíveis é mais do que essencial. Com isso, as empresas podem gerenciar os riscos por meio de controles bem definidos, que ainda fornecem referências para auditorias e ações corretivas.

Para saber mais sobre políticas e procedimentos de segurança da informação, continue a leitura.

Tópicos abordados:

  • O que é política de segurança da informação?
  • Objetivos;
  • Princípios básicos;
  • Por que se preocupar com a SI?
  • Benefícios;
  • Documentação;
  • Elaboração.

O que é política de segurança da informação?

A política de segurança da informação (abreviada para PSI) é um conjunto de regras, procedimentos, padrões, normas e diretrizes a serem observados e seguidos por todas as pessoas que utilizarem a infraestrutura da empresa.

Ela inclui informações como:

  • Política de senhas e acesso aos dispositivos corporativos;
  • Normas sobre o uso da internet;
  • Regras a respeito da instalação de softwares;
  • Boas práticas de uso de e-mail corporativo;
  • Rotinas de backup;
  • Frequência de realização de auditorias.

Ou seja, a PSI é um documento completo que serve como guia tanto para a equipe de TI quanto para os demais colaboradores. Além disso, ela deve ser divulgada amplamente e a sua adesão precisa ser incentivada e cobrada por todos os líderes.

Qual o objetivo das políticas de segurança da informação?

Uma PSI visa proteger e garantir os três princípios da segurança da informação, que são: confidencialidade, integridade e disponibilidade. As normas e práticas descritas na política de segurança devem sempre se relacionar a um ou mais desses princípios.

Sua implementação previne danos ao andamento do negócio e padroniza procedimentos, além de prever e mensurar respostas a incidentes. A longo prazo, isso resulta na redução de custos com incidentes de TI.

Princípios básicos da segurança da informação

A PSI é implementada nas organizações por intermédio de alguns princípios básicos, os quais garantem que cada variável importante receba devida atenção e corrobore para que a empresa atinja seus objetivos.

Como citado no tópico anterior, os princípios da segurança da informação são a confidencialidade, integridade e disponibilidade. Cada um deles tem um papel diferente dentro da empresa, exigindo ações pontuais para que se mantenham sempre presentes.

Veja detalhadamente cada um dos princípios a seguir.

Confidencialidade

A confidencialidade, no contexto da segurança da informação, nada mais é do que a garantia de que determina informação, fonte ou sistema é acessível apenas às pessoas previamente autorizadas a terem acesso.

Isso significa que sempre que uma informação confidencial é acessada por um individuo não autorizado, intencionalmente ou não, ocorre o que se chama de quebra da confidencialidade. A ruptura desse sigilo, a depender do teor das informações, pode ocasionar danos inestimáveis para a empresa, seus clientes e até mesmo para todo o mercado.

Integridade

Quando as empresas lidam com dados, um dos seus grandes deveres é mantê-los intocados, de maneira que preserve sua originalidade e confiabilidade. Caso contrário, erros podem ocorrer na interpretação dessas informações, gerando também rupturas no compliance do negócio, podendo até ocorrer sanções penais pesadas, no pior dos casos.

Garantir a integridade é adotar as precauções necessárias para que a informação não seja modificada ou eliminada sem autorização. Ou seja, é necessário manter a sua legitimidade e consistência, condizendo exatamente com a realidade.

Qualquer falha nesse quesito, seja por uma alteração ou falsificação, gera quebra de integridade.

Assim como na quebra de confidencialidade, a quebra na integridade das informações pode trazer impactos negativos para a empresa.

Disponibilidade

A disponibilidade das informações é de extrema importância. Isso porque o negócio pode depender da disponibilidade dos seus dados e sistemas para atender seus parceiros e clientes.

Porque se preocupar com a segurança da informação?

A segurança da informação (SI) é uma área estratégica do negócio. Para qualquer empresa que mantém dados em um ambiente virtual, sejam data centers locais ou em nuvem, é primordial assegurar sua proteção e uso adequado.

A SI vai muito além da instalação de antivírus. Ela deve ser planejada avaliando desde riscos à infraestrutura de TI, contra roubos, panes ou desastres naturais, até as ameaças digitais, como malwares, phishing e ransomwares.

A política de segurança da informação, por sua vez, oficializa as normas e boas práticas da empresa em relação à proteção de seus dados. Ela assegura que esses procedimentos sejam perpetuados mesmo com o passar do tempo ou a troca de lideranças e gestão.

Benefícios à gestão da empresa

Com o mercado sendo obrigado a lidar com quantidades massivas de informação em diversas camadas, é preciso se manter constantemente atento às situações que envolvem o manuseio de dados.

As empresas vêm sofrendo cada vez mais com ciberataques, correndo risco de ter informações críticas e confidenciais, corrompidas, perdidas e caindo na mão de cibercriminosos. O que pode trazer prejuízos incalculáveis para os negócios.

Com uma política de segurança da informação bem desenhada, é possível reduzir consideravelmente esses riscos, dando à organização a devida proteção contra ameaças internas e falhas de segurança.

Ao determinar e comunicar o time sobre as diretrizes do uso aceitável da informação, garante-se que os funcionários saibam qual é a postura esperada na hora de lidar com os diversos níveis de confidencialidade e importância, conhecimento que previne violações acidentais.

Uma vez implantada a política de segurança da informação, o aumento da transparência e a elevação da eficiência do negócio surge como consequências naturais. Essa política deve ser mais clara possível, para que os colaboradores entendam como organizar a informação seguindo um padrão para facilitar os fluxos de processos em todas as escalas.

Executando bem as regras de SI, haverá uma redução nos danos à infraestrutura de TI da empresa. Além disso, a experiência do usuário também se beneficia significativamente.

O que é descrito nos documentos de segurança?

Existe uma estrutura normativa que divide os documentos de segurança em três categorias:

Política

Direcionada ao nível estratégico, define as regras de alto nível que representam os princípios básicos. Ela servirá como base para que as normas e os procedimentos sejam criados e detalhados.

Normas

Direcionada ao nível tático, elas especificam as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política.

Procedimentos

Direcionada ao nível operacional, descreve os procedimentos que serão utilizados para realizar as atividades citadas nas normas e na política.

Pode haver também a classificação da informação. Tal como apresentado abaixo:

Confidencial

Informação crítica para os negócios da organização ou de seus clientes. A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, civis e criminais à empresa ou aos seus clientes. É sempre restrita a um grupo específico de pessoas, podendo ser este composto por empregados, clientes e/ou fornecedores.

Interna

Informações da empresa que ela não tem interesse em divulgar e que o acesso por parte de indivíduos externos à empresa deve ser evitado. Caso esta informação seja acessada indevidamente, poderá causar danos à imagem da Organização, porém, não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por todos os empregados e prestadores de serviços.

Pública

Informação da empresa ou de seus clientes com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. É destinada ao público externo ou ocorre devido ao cumprimento de legislação vigente que exija publicidade da mesma.

Também é possível visualizar dentro do documento de políticas de segurança, papéis e responsabilidades.
Nesta parte do documento, são descritas as obrigações para cada tipo de colaborador.

Assim como todas as regras criadas no documento da PSI, existe uma penalidade para o individuo que não as cumprem. Geralmente, em cada documento, existe um capítulo exclusivo para penalidades. E neste capítulo estão reunidas as informações sobre as violações de política, sansões e o tipo de legislação aplicada.

Para cada norma não seguida, são avaliados os riscos e à cada penalidade a empresa tomará as medidas cabíveis embasando-se no capítulo sobre penalidades.

A norma NBR ISO/IEC 27002 pode nortear a criação do documento de PSI.

Políticas e procedimentos

Por onde começar a elaborar uma política de segurança da informação?

Uma PSI deve ser elaborada em pelo menos 5 passos. Confira quais são esses passos a seguir.

Passo I – Diagnóstico

O primeiro passo é realizar a identificação dos ativos de informação da empresa, das vulnerabilidades, da hierarquização de acessos e das ameaças. Ao fim do diagnóstico, você saberá exatamente quais dados e ativos precisam ser protegidos, quais são os riscos e o que já tem sido feito em termos de segurança.

Passo II – Elaboração

O segundo passo é a elaboração propriamente dita. A PSI deve estar diretamente relacionada aos objetivos estratégicos do negócio. A pergunta a ser respondida é como a SI pode ajudar a empresa a alcançar suas metas.

É muito importante ainda ter em mente que essa não é uma tarefa apenas do time de TI ou da área de segurança. Todos os líderes da empresa devem ser envolvidos nos processos de definição das políticas e procedimentos, de maneira que as necessidades específicas de todos os setores sejam alcançadas.

Passo III – Educação

Para que uma PSI seja útil, é necessário divulgar e educar os usuários para que eles entendam os benefícios da segurança das informações.

A conscientização é sempre uma grande ferramenta para a prevenção de incidentes. Por isso, mais do que uma lista de proibições, permissões e regras, a PSI deve ser vista pelos usuários como uma ferramenta de trabalho que serve para ajudá-los em suas rotinas.

Passo IV – Implementação

No momento da implementação, é preciso planejar uma fase de adaptação gradual às regras. A empresa precisa oferecer meios para que os funcionários aprendam a trabalhar respeitando a PSI. Para isso, podem ser feitas palestras e treinamentos, além de estabelecer sanções para o descumprimento das regras.

Realizar eventos apresentando cenários reais pode ser uma ótima estratégia para educar os colaboradores e para trazer para a realidade do trabalho a importância das políticas de segurança.

Passo V – Monitoramento e atualização

Por fim, vale lembrar que o processo não termina com a implementação. Afinal, uma vez que a empresa está adaptada às regras, é hora de identificar oportunidades de melhoria, bem como, fazer atualizações sempre que necessário.

Logo, é valido buscar maneiras de medir o retorno das ações de segurança e dos investimentos. Ao mesmo tempo, verificar se a PSI ainda reflete os objetivos da empresa.

As políticas de segurança da informação são o pontapé inicial de um processo para resguardar dados. Além disso, arquivos e dispositivos valiosos para a empresa. A elaboração da PSI e sua implementação mostram que a empresa está caminhando para educar os usuários sobre a segurança da informação. Assim como ter sistemas seguros e confiáveis.

Precisando de auxílio na construção de políticas e procedimentos de segurança em sua empresa? Conheça o serviço oferecido pela OSTEC e conte com a experiência de especialistas certificados para realização desta atividade.

Se ainda possui dúvidas sobre o tema, fique à vontade para contatar um de nossos especialistas.

This post is also available in: Português Español