Atualmente, o Brasil ocupa a segunda posição no ranking dos países que mais sofrem perdas decorrentes de ataques cibernéticos. A pesquisa revela que foram mais de 439 mil ataques cibernéticos entre os dias 1 de janeiro e 3 de agosto do ano passado, ficando atrás apenas dos Estados Unidos. Por esse motivo, é fundamental que as empresas levem a sério a criação de uma política de segurança da informação. Show
Afinal, já imaginou se os dados confidenciais e extremamente sensíveis da sua organização – e também dos seus clientes – são sequestrados, corrompidos ou acabam parando nas mãos de pessoas mal intencionadas? Na visão da LGPD, é dever das empresas protegerem as informações dos seus colaboradores e clientes e caso não cumpram, podem acarretar em multas pesadas. Para que isso não aconteça na sua organização, saber como fazer uma política de segurança da informação, criando normas e procedimentos para proteger o banco de dados de possíveis ataques cibernéticos é algo indispensável. Sendo assim, convidamos você a prosseguir com a leitura deste conteúdo para entender o que é política de segurança da informação, para que serve e qual seu objetivo. Além disso, você também confere nos parágrafos a seguir um passo a passo de como fazer uma política de segurança da informação e exemplos para se inspirar. Continue a leitura e aproveite! A política de segurança da informação – PSI – é um documento em que ficam definidas as diretrizes com foco em proteger os dados e informações que circulam dentro da empresa. A lógica dessa política é que seja possível resguardar a empresa, deixando claro quem são as pessoas autorizadas e as boas práticas para manter a segurança dessas informações, por exemplo Dessa forma, a PSI estabelece princípios, ações, técnicas, regras e autorizações que devem ser seguidas por todos os colaboradores, buscando manter a empresa em conformidade com a Lei Geral da Proteção de Dados. Assim, além de manter-se dentro das diretrizes que a lei pede, a empresa também evita que seus dados sejam expostos, bem como também os dos seus colaboradores, parceiros e clientes. Leia também: Entenda como funciona a segurança da informação em cloud Qual é o objetivo da política de segurança da informação?O principal objetivo da política de segurança da informação é garantir a proteção de dados e informações da empresa e de seus clientes. Afinal, uma informação confidencial pode prejudicar a imagem da organização do mercado, fazendo com que investidores e clientes evitem criar vínculos para não expor os seus respectivos dados. Dessa forma, esse documento serve para orientar os colaboradores sobre quais ações eles devem adotar no dia a dia para evitar ocorrências que possam comprometer a integridade, a confidencialidade, a autenticidade e a disponibilidade das informações. O que deve conter em uma política de segurança da informação?A criação de uma política de segurança da informação tem como foco definir um conjunto consistente e padronizado de ações e diretrizes que devem ser seguidas por colaboradores e gestores de todos os níveis da organização. Tendo isso em vista, a PSI precisa detalhar os seguintes aspectos:
Como fazer uma política de segurança da informação (PSI)?Agora que você já sabe o que é e para que ela serve, confira a partir de agora um passo a passo de como fazer uma política de segurança da informação para a sua empresa. Passo 1 – Defina quem serão os principais responsáveis pelo política de segurança da informaçãoA segurança da informação é uma responsabilidade de todos os colaboradores. No entanto, para a elaboração de uma política eficaz, é importante organizar um comitê multidisciplinar responsável pela criação de diretrizes, implementação e acompanhamento da política de segurança da informação. Nesse caso, enquanto para a maioria da empresa, realizar treinamento e apontar as diretrizes será fundamental para manter as informações sigilosas seguras, haverá também um grupo de responsáveis por definir essas diretrizes e garantir que elas estejam sendo seguidas. Para isso, você precisa contar com profissionais de TI qualificados. Para te ajudar nesse processo, realizamos este Webinar, cheio de dicas, assista: Passo 2 – Faça um diagnóstico de segurança da informaçãoO segundo passo de como fazer uma política de segurança da informação é levantar os ativos de informação da empresa e avaliar como ela lida atualmente com a segurança dos mesmos. A partir desse diagnóstico, será mais fácil para os seus profissionais de TI identificarem os pontos que precisam ser melhorados, trazendo principalmente uma ordem de prioridade. Passo 3 – Categorize os tipos de informaçõesNesta etapa de elaboração da PSI, é necessário categorizar os tipos de informações que a sua empresa deve buscar proteger e como elas se classificam. No mercado, hoje é possível identificar quatro tipos de informações, que possuem características diferentes e devem estar sendo acompanhadas de diferentes formas. São elas:
Dessa forma, fica mais fácil definir medidas eficazes, considerando as especificidades de cada tipo de informação e os riscos inerentes a elas. Passo 4 – Estabeleça os níveis de acesso às informaçõesDepois de categorizar as informações da empresa, você deve definir quem poderá acessá-las, levando em consideração os tipos e a natureza dessas informações. Ao estabelecer os níveis de acesso, deve-se deixar claro quem, como e quando determinados dados podem ser acessados. Haverão casos em que o colaborador terá acesso único para uma informação, enquanto outros terão acessos a todos os níveis. Tudo isso precisa ser definido e documentado na política de segurança da informação. Passo 5 – Detalhe os recursos tecnológicos utilizados na proteção de dadosQuais tecnologias você vai utilizar para te ajudar a proteger os dados e informações contra ataques cibernéticos? É importante detalhar as ferramentas que serão utilizadas para que os colaboradores possam fazer o uso correto delas. Passo 6 – Aponte as consequências para quem violar as diretrizes da PSIOs colaboradores precisam estar cientes sobre o que pode acontecer caso eles violem, intencionalmente ou não, as diretrizes estabelecidas na política de segurança da informação. Nesse caso, além de iniciar o treinamento com todos os colaboradores, apresente a eles as consequências que erros humanos e tecnológicos causam para a empresa quando os dados são trabalhados de maneira pouco segura. Passo 7 – Comunique a política de segurança da informação para toda a empresaCom o documento finalizado, é fundamental estabelecer uma eficiente estratégia de comunicação interna para divulgar tudo o que ficou definido na política de segurança da informação. Faça reuniões, envie e-mails na intranet da empresa e promova treinamentos específicos sobre a PSI. Aos novos colaboradores, coloque esses treinamento no onboarding dele. Dessa forma, todos os que forem chegando, estarão cientes de como funciona e também da importância em manter a segurança dos dados. Passo 8 – Monitore e atualize a PSINão deixe de acompanhar a implementação da política de segurança da informação de modo a garantir que os colaboradores sigam as diretrizes estabelecidas. Além disso, revise este documento periodicamente a fim de fazer as atualizações necessárias, conforme novas necessidades forem surgindo. Para monitorar esse e outros processos, o ideal é contar com a ajuda da tecnologia, por meio de um software especializado, desenvolvido para a gestão de performance de procedimentos operacionais. Saiba mais: Indicadores de segurança da informação: 8 dicas para acompanhar seus processos de segurança e manter seus dados protegidos Exemplo de política de segurança da informaçãoTrouxemos aqui exemplos de política de segurança da informação para você se inspirar na hora de criar a PSI da sua empresa:
O STRATWs One é um software de gestão de performance corporativa que ajuda empresas a entenderem seus processos, definir KPIs, acompanhar sua performance, divulgar resultados e proceder a melhoria contínua. Hoje já conta com 180 mil usuários, em mais de mil empresas ao redor do mundo. Que tal se juntar a elas? Pensando em iniciar um projeto para implementar uma PSI em sua empresa? Que tal fazer isso usando metodologias ágeis? Nosso e-book gratuito pode ajudar você: [E-book] Metodologias Ágeis para gestão: quais são as principais e como aplicar?
Qual é o principal objetivo da política de segurança da informação de uma organização?Podemos definir a política de segurança da informação (PSI) como um conjunto de práticas estabelecidas com o objetivo de proteger os dados e informações de uma empresa. Trata-se de um documento que orienta e hierarquiza o acesso aos dados.
Quais são os princípios da política de segurança?Existem quatro princípios básicos de segurança da informação: Disponibili- dade, Integridade, Confidencialidade e Autenticidade. De acordo com o Princípio da Disponibilidade, a informação estará disponível sempre que for preciso.
Qual a importância de uma execução da política de segurança em uma organização?A execução adequada das regras de segurança da informação leva a uma evolução proporcional à drástica redução dos danos à infraestrutura de TI da empresa. Assim, a experiência do usuário também se beneficia significativamente, dando um salto de qualidade.
Qual a importância de se ter uma política de segurança?A Política de Segurança no Trabalho deve assegurar o comprometimento da gestão executiva em garantir trabalho saudável e seguro aos funcionários de todos os níveis e setores.
|