This post is also available in: Português English Español
Uma política de segurança da informação é um documento muito denso para a maioria das empresas, no entanto, fundamental para determinados negócios, especialmente aqueles de maior porte e setores que são regulados quanto ao tema. Contudo, isso não significa que empresas menores não devem ter um conjunto de diretrizes mínimas para garantir segurança em seus ambientes, de acordo com suas complexidades e necessidades.
Por conta disso, ao invés de trabalhar no tema de política de segurança da informação, traremos nesse material alguns itens que devem ser levados em consideração na hora de criar seu documento com as diretrizes de uso da internet, o que acaba sendo mais facilmente absorvido por pequenas e médias empresas, ou até mesmo grandes negócios com pouca maturidade em segurança.
O propósito de uma política de uso da internet é definir aquilo que é permitido ou não, a fim de que a empresa possa atender as necessidades essenciais para que os colaboradores possam desempenhar suas funções em um ambiente com qualidade.
Geralmente o documento que consolida a política de uso da internet é iniciado com orientações quanto a leitura/interpretação da política. Isso significa deixar claro quais ações serão tomadas em caso de ocorrências não contempladas pelo documento. Neste sentido a empresa poderá optar pela implantação de política permissiva, ou então política restritiva. Em políticas permissivas, os acessos aos sites são totalmente liberados, com exceção daqueles elencados na política e/ou configurados na solução de segurança utilizada pela empresa. Em políticas restritivas, ocorre o contrário, todos os sites têm seu acesso restrito, com exceção daqueles informados na política e/ou configurados na solução de segurança da empresa.
Vale ressaltar, que mesmo em ambientes com elevado grau de liberdade de acesso à internet e cultura organizacional diferenciada, se faz necessário a construção e disseminação de guia com boas práticas associados ao uso da internet, visando aprimorar o uso do recurso em meio corporativo.
Durante o processo de construção da política de uso da internet, não perca de vista a cultura organizacional, defendendo os interesses do negócio, bem como dos colaboradores que anseiam por um ambiente de trabalho com qualidade para desempenhar suas atividades.
Sendo assim, criamos um checklist com itens que devem fazer parte da política de uso da internet, ou referência de boas práticas. Assim você pode construir seu próprio documento e fazer as adequações necessárias.
Para facilitar ainda mais, também desenvolvemos um template de política de uso da internet. Com o template, e o checklist, sem dúvidas você construirá um grande documento.
Antes de iniciarmos com o checklist, é importante ressaltar a necessidade de engajamento entre as partes envolvidas, neste caso em especial dos colaboradores. A política impactará sobre toda a empresa, portanto não é indicado que a mesma seja tratada de maneira arbitrária. Neste sentido, a ideia é promover uma estrutura de conscientização, para que os colaboradores tenham maior aderência a política proposta.
Seguem, portanto, 20 tópicos que são essenciais para qualquer documento que tenha como finalidade os objetivos citados ao longo deste texto:
- O documento e suas atualizações devem estar disponíveis para todos a qualquer momento dentro da empresa, seja em uma intranet, ou em um PDF em local compartilhado;
- É importante que tenha pelo menos uma pessoa como patrocinador do documento e dos itens que ali constam, promovendo sempre as lembranças, debates, esclarecimento de dúvidas e outros;
- Construa uma estratégia de divulgação da política com foco em conscientização, produza materiais interessantes e deixe disponível na intranet, malas internas, ou murais físicos;
- Convoque cada um dos setores, através de seus líderes, para participar de um brainstorming acerca da iniciativa, para que possam colaborar e especialmente definir aquilo que é importante para os setores;
- Defina quais são as aplicações críticas para o negócio, que devem ser priorizadas em relação as demais. Aplique priorização de tráfego e outros recursos para garantir o funcionamento prioritário em caso de esgotamento do recurso de internet;
- Defina em cada setor quais são os aplicativos/softwares e outros necessários para as atividades de trabalho, e crie mecanismos para evitar a utilização de softwares restritos;
- Defina em cada setor quais são os sites e conteúdos que estão associados ao trabalho e também aqueles que não estão, mas que gostariam que fosse permitido o uso, em tempo integral, ou em horários flexíveis;
- Defina como será o ingresso de equipamentos próprios para fins de trabalho (BYOD) e quais requisitos mínimos de software e similares que o colaborador deve ter, preferencialmente crie um termo e colha assinatura para isso;
- Defina como será o uso de smartphones e equipamentos similares e particulares dentro da empresa, o que pode, e aquilo que não pode ou precisa ser evitado;
- Defina como será o acesso externo para a empresa e em que circunstâncias isso será autorizado para os colaboradores;
- Defina quais os critérios de utilização da rede sem fio, seja para colaboradores ou visitantes (fornecedores, clientes), preferencialmente emita um termo de uso e recomendações para não usar internet banking e outras aplicações privadas;
- Deixe claro para os colaboradores não usarem os recursos da empresa para finalidades pessoais dentro do possível, com possibilidade de advertência ou desligamento;
- Deixe claro para os colaboradores que o acesso a internet banking ou outras aplicações privadas, são de inteira responsabilidade do mesmo, e se tais informações forem expostas por algum motivo, causando transtornos ao funcionário, a empresa não poderá ser responsabilizada em nenhum momento;
- Defina boas práticas de uso e manutenção de equipamentos como computadores, impressoras, telefone e similares;
- Defina os critérios de utilização do e-mail corporativo, como tipos de informações que podem ser enviadas, anexos, padrão de assinatura, evitar repasse de malas bem como usar para fins pessoais;
- Defina como as impressoras e copiadores devem ser utilizadas, o que é tolerado de impressão e para quais finalidades;
- Valide com o fornecedor de segurança se tudo o que foi colocado como diretriz pode ser contemplado no produto, antes de colocar em operação, e faça os ajustes ou mude o fornecedor, se necessário;
- Defina quem deve ser responsável por gerenciar as mudanças nas políticas ou diretrizes de uso da internet e recursos de informática, avaliando impacto, riscos, bem como garantindo a publicidade interna da mudança;
- Deixe muito claro quais são as medidas adotadas pela empresa em caso de descumprimento ou violação de algum item das diretrizes;
- Formalize o documento e colete um termo de aceite de todos os colaboradores, ou crie algum mecanismo para registrar a ciência e acordo dos mesmos.
Você pode (e deve) alterar os itens de acordo com sua realidade, negócios maiores e com maturidade exigirão inúmeros outros itens que não se enquadram no propósito deste checklist. Mas se sua empresa ainda não coloca em prática os itens supracitados, sem dúvida será um grande começo.
This post is also available in: Português English Español