São Paulo, 16 de março de 2023 – A Política de Segurança da Informação (PSI) é um documento importante previsto nas diretrizes da norma ISO 27001 e é fundamental para a certificação dentro das normas ISO.
Proteger os dados da sua empresa torna-se cada vez mais uma questão estratégica para os negócios e é, fundamental, garantir que os dados estarão sempre disponíveis, íntegros e acessíveis apenas para os colaboradores que necessitam acessá-los.
Entre medidas práticas (como adoção de criptografia, firewall, monitoramento de rede e outros) e documentações com normas e diretrizes, temos um que é de extrema importância para a proteção de dados: a Política de Segurança da Informação (PSI). Descubra como desenvolvê-la de forma eficiente a seguir.
O que é a Política de Segurança da Informação?
A Política de Segurança da Informação (também conhecida como PSI) é um documento importante previsto nas diretrizes da norma ISO 27001 (que tem por objetivo auxiliar nas normas para Sistema de Gestão de Segurança) e é fundamental para a certificação dentro das normas ISO.
Este documento (PSI), segundo a ISO, traz as normas e diretrizes que devem ser adotadas para gestão da informação da empresa, com o objetivo de proteger os dados ali existentes, principalmente aqueles considerados sensíveis e confidenciais, minimizando eventuais riscos de ameaças e riscos para a organização e outros agentes envolvidos (como clientes, fornecedores, entre outro).
Como implementar a Política de Segurança da Informação?
Uma dúvida comum é sobre como elaborar a PSI de forma adequada nas organizações, atentando-se para as questões da legislação vigente. Para ajudá-lo, separamos algumas informações importantes que devem estar contidas em seu PSI. Confira a seguir.
Escolha quem ficará responsável
Em primeiro lugar é fundamental criar uma equipe e identificar quais são os colaboradores internos que podem contribuir para a elaboração da Política de Segurança da Informação. É preciso ter uma liderança que conduzirá os processos e poderá ter outras pessoas oferecendo o suporte necessário.
Nessa equipe deverá ter profissionais especializados em segurança da informação mas, também, pode conter outros colaboradores. Isso porque eles também possuem conhecimento sobre como determinadas atividades são realizadas internamente e que podem configurar em eventuais vulnerabilidades.
Faça uma análise prévia
Outro ponto é, também, identificar o cenário atual. Isso será importante para entender quais são as medidas de segurança da informação que são adotadas no momento, quais são os pontos frágeis que podem representar riscos para o negócio e pensar em medidas de mitigação.
Aqui cabe, também, um levantamento do perfil do negócio, analisando de que forma ele trabalha os dados. Por exemplo, se há uma predominância de informações sensíveis e que exigem atenção por atraírem cibercriminosos, isso demandará uma atenção diferente daquele que não tenha essa exigência.
Defina níveis de acesso
Outro ponto fundamental para uma boa Política de Segurança da Informação é definir os níveis de acesso para os usuários. Em primeiro lugar, para isso, é importante categorizar as informações e, assim, definir quais delas devem ter maior restrição e para quem elas devem ser aplicadas.
Com isso é possível garantir um maior rigor no uso dos dados e minimizar, inclusive, os riscos de vulnerabilidades e ações de cibercriminosos.
Elabore normas
As falhas humanas são as principais responsáveis por colocar a segurança da informação da empresa em xeque. Isso vale tanto para ações na execução de atividades no dia a dia quanto para condutas a partir de uma sinistralidade. Por exemplo, uma ação equivocada na ocorrência de identificação de uma invasão coloca a empresa em risco.
Assim, defina quais são as regras que os profissionais devem seguir no dia a dia e, principalmente, quais são as sanções que eles podem sofrer caso, deliberadamente, cometam erros nessa questão.
Encontre mecanismos de defesa contra ciberataques
Sabemos que os ciberataques não são os únicos pontos que exigem atenção no que diz respeito à segurança da informação. Contudo, com o aumento no volume deste tipo de ação, não dá para negar que as medidas de defesa estão no cerne da Política de Segurança da Informação.
Deve-se, portanto, listar quais são os principais mecanismos adotados, métodos de barreira, soluções e, principalmente, a estrutura das equipes responsáveis por estarem atentas a essas questões no dia a dia.
Além disso, aqui deve-se prever mecanismos de atualização das ferramentas de defesa (por exemplo, contemplar atualizações de protocolos, análise de mudanças de modelos, contratação de consultores que atuarão periodicamente quanto a isso, entre outros pontos).
Atente-se para os princípios de segurança
A segurança da informação é ancorada em três princípios fundamentais que devem nortear todas as ações, sejam contra ciberataques quanto para outras questões que possam colocar em risco as informações da empresa (como perdas de equipamentos, queimas de servidores e HDs, tais como, uso indevido por parte dos colaboradores internos, entre outros). As medidas precisam estar alinhadas com esses princípios. São eles:
- confidencialidade: garantia que apenas as pessoas envolvidas tenham acesso aos dados;
- disponibilidade: garantia que os dados estejam sempre disponíveis quando os usuários precisarem;
- integridade: garantia que as informações estejam da mesma forma tal como foram gravadas, fazendo com que representem fidedignamente o intuito inicial.
Descreva planos de contingência
Como falamos, nem todos os riscos podem ser evitados. Muitas vezes, problemas acontecerão sim. Para isso, é importante ter planos de contingência. Por exemplo, não é possível evitar completamente que um dispositivo possa ter um problema e parar de funcionar. A partir disso, quais os passos que devem ser feitos? Isso deve estar escrito no plano de contingência.
Qual a importância do auxílio na adoção da PSI?
Como você percebeu, a Política de Segurança da Informação tem dois papéis importantes: acompanhar as medidas de proteção de dados e garantir uma padronização dos processos internos e, também, permitir a adoção de padrões de segurança que possam proporcionar a certificação para a ISO 27001.
Essa certificação é importante, inclusive, para poder participar de processos de licitação e, também, garantir maior destaque no mercado. Muitas empresas que fazem negócios com o segmento B2B só realizam com aquelas que possam garantir maiores medidas de proteção para os envolvidos.
Mas afinal, como conseguir uma adoção eficiente da PSI? Para isso, é fundamental o auxílio de especialistas, principalmente, aqueles que visem, justamente, obter a certificação ISO. Os profissionais auxiliam a identificar quais são as demandas recentes, quais são as alterações que precisam ser realizadas até na cultura interna dos negócios para que seja possível implementar as medidas necessárias.
Com isso, é possível preparar a sua empresa para não ter nenhuma falha na avaliação para a certificação e gerar diversos benefícios para sua organização. Além disso, muitas vezes deixamos de ver erros internos porque não os consideramos como pontos de vulnerabilidade. Mas um profissional externo pode identificá-las mais facilmente.
A Política de Segurança da Informação é fundamental para a proteção da sua empresa. Ela auxilia na definição sistemática de questões importantes para a proteção do negócio. Não deixe de adotá-la e veja seus resultados.
Gostou deste artigo? Achou que ele elucidou suas questões sobre o tema? Então aproveite e siga nosso perfil no LinkedIn e acompanhe outros conteúdos em seu feed!
A Century Data:
A Century Data é uma empresa de Tecnologia, Governança e Segurança da Informação. Nosso objetivo é prestar soluções inovadoras vindas de mercados conceituados com comprometimento e responsabilidade, por meio de serviços de consultoria, implementação, sustentação, transferência de conhecimento e treinamentos específicos.
