Política de Segurança da Informação (PSI): por que e como fazer?


A tecnologia avança e as empresas precisam se atualizar a todo instante, seja sobre a nova estratégia de marketing do mercado ou proteção contra a mais nova ameaça digital. Sendo assim, não dá pra vacilar, principalmente, quando o assunto é segurança.

Com as mudanças proporcionadas pelos recursos tecnológicos, é extremamente importante fortalecer o gerenciamento da segurança da informação para garantir a confidencialidade, disponibilidade e implementação dos ativos organizacionais, e contar com um setor de TI bem preparado é fundamental para que isso aconteça.

É neste contexto que entra a política de segurança da informação. Se você ainda não sabe muito bem do que se trata, continue a leitura deste artigo e descubra agora mesmo tudo que há de mais relevante sobre esse assunto.

O que é política de segurança da informação?

a importancia do psi

A PSI, como também é conhecida, é um documento que consta as ações que precisam ser tomadas por todos os usuários de uma organização (ou da rede da mesma) para que se estabeleça uma política organizacional de segurança da informação.

Para que a política de segurança da informação seja válida é preciso ter regras e instruções bem definidas, de modo a orientar todos os envolvidos, desde os profissionais do setor de TI, demais funcionários e, a depender da Política,  até as empresas parceiras. 

O manual da PSI deve conter as informações de como os profissionais devem agir, o que eles podem ou não podem fazer e as atitudes que eles precisam tomar no caso de algumas situações específicas.

A importância da PSI para as empresas

As notícias sobre roubos de dados estão por todos os lados a nos lembrar do quanto a  informação é um componente estratégico e constante alvo de ataques.

Os chamados cibercrimes explodiram e o roubo de informações é cada vez mais comum, e sempre com estratégias sofisticadas e inovadoras, trazendo as mais diversas consequências em termos financeiros, na reputação, em vantagens competitivas e até na capacidade operacional da instituição.

Se antes era vista como um documento opcional, atualmente, a política de segurança da informação se tornou um item obrigatório nas grandes empresas e naquelas que preferem prevenir do que remediar.

Proteger os dados e a infraestrutura operacional de uma organização é de extrema importância para garantir o seu sucesso no mercado, assim como protegê-la das inúmeras ameaças do mundo cibernético. 

A PSI também serve para ajudar nos casos de emergência, na qual um determinado incidente ocorreu e é crucial minimizar tais danos. As normas da PSI  guiará a equipe de TI a agir da forma mais correta possível para enfrentar o problema em questão, sem o risco de se tomar medidas inadvertidas.

Além dos problemas de segurança dos sistemas de informação, os principais agentes facilitadores do roubo de informação são, principalmente, as pessoas que possuem  acesso aos dados, seja por corrupção ética ou por falha humana, como por exemplo, plugar (inocentemente ou não) um pendrive contaminado na máquina do escritório e espalhar um vírus na rede da empresa.

Assim, as instruções para manuseio dos equipamentos e  dados da empresa precisam ser claras e simples, de modo que todos os funcionários tenham ciência de como armazenar, acessar e compartilhar com segurança todos os ativos organizacionais. 

Porque as empresas precisam de uma política de segurança da informação (PSI)?

Conforme foi citado anteriormente, a política de segurança da informação precisa ser implantada como forma de garantir a integridade e a disponibilidade dos ativos e serviços da  empresa. 

Essa política é uma forma de manter os colaboradores cientes de todos os procedimentos que devem ser adotados para manter os dados seguros e quais atitudes tomar em casos de emergências ou falhas para evitar maiores danos.

O que deve constar em uma política de segurança da informação (PSI)?

O documento que materializa a PSI deve conter os objetivos e os seus princípios, ou seja, as suas regras. Veja alguns exemplos de itens que não podem faltar de acordo com a ISO/IEC 27001 da ABNT:

Objetivo: O objetivo da política deve ser definido de maneira clara e deve ser apresentado no início do documento, logo após as páginas de introdução.

Escopo:  Neste item, deve ser estipulado o escopo da aplicação da política de segurança, ou seja, quais departamentos ou dependências devem seguir àquelas normas. Além disso, pode ser interessante definir quem está fora do escopo (caso haja setores não incluídos na política).

Classificação e Gestão de ativos: Nesta seção, os recursos são categorizados. Além disso, é estabelecido o ciclo de vida dos ativos, ou seja, é definido como o ativo será instalado, armazenado, gerenciado e até mesmo, descartado/aposentado.

Controle de acesso: O controle de acesso é um item fundamental e deve abordar as questões sobre os controles físicos e virtuais. Por exemplo, na organização será realizado controle biométrico ou o uso de cartões convencionais é o suficiente? Como será feito controle de acesso dos visitantes? Informações como estas devem ser claramente discutidas nesta seção.

Gerenciamento de senhas: Aqui temos as diretrizes que devem seguidas ao se criar senhas, seja para o  PC / notebook do usuário, senhas das aplicações e até dos dispositivos da rede, como servidores e  firewalls.

Política da mesa limpa: a política de mesa limpa diz respeito ao modo como os ativos organizacionais devem ser manuseados, por exemplo: Onde determinados documentos devem ser mantidos? Quem pode ter acesso a estes documentos? O que fazer com  dispositivos ou documentos que não são mais úteis? 

Veja dois exemplos de boas recomendações:

1- Instruir os funcionários a manter a mesa de impressão limpa, ou seja, não imprimir documentos e esquecer eles lá, sempre imprimir e imediatamente, recolhê-los;

2- Sempre que se afastar do seu computador (principalmente, se ele possuir informações sensíveis), bloquear o acesso e etc.

Classificação de dados/informação: Assim como os ativos, os dados também precisam ser classificados de acordo com o valor que possui e o nível de confidencialidade. Os dados podem ser secretos, confidenciais ou públicos. Esta é uma medida extremamente importante para que se garanta que os dados só serão acessados por aqueles expressamente autorizados.

Política de uso aceitável da Internet: Pelo nome do item, já dá pra ter uma noção do que se trata. A PSI deve definir as restrições e as permissões para  o uso da Internet na empresa. Pode acessar redes sociais, sites de entretenimento, entre outros? Caso haja proibições, é aconselhável configurar o proxy da Internet.

Gerenciamento de antivírus e gerenciamento de patches: Este é um tópico muito importante, que definirá a política de atualização e gerenciamento dos patches, dos antivírus, dos sistemas operacionais (Windows / Linux) e demais softwares da instituição.

Segurança física: Devem ser definidos todos os controles de segurança física e os procedimentos operacionais, tais quais: monitoramento por meio de câmeras, sistema de incêndio, detectores de metal, seguranças e etc. Ou seja, basicamente, tudo que a empresa julgar necessário para manter a integridade das instalações físicas. 

Como desenvolver e implementar uma PSI

Veja agora 10 passos básicos para desenvolver e implementar uma boa Política de Segurança da Informação: 

1. Escolha um gestor de TI ou empresa experiente para ser responsável pelo desenvolvimento e implantação da política.

2. Para ter uma PSI eficaz e com resultados rastreáveis, defina claramente o escopo e os objetivos da mesma.

3. Faça uma análise minuciosa de todos os componentes de software e hardware da empresa e elabore um catálogo contendo todos ativos que compõem o sistema de informações da corporação.

4. Analise todos os riscos da TI, levando em conta os possíveis danos daquele determinado incidente, a probabilidade de acontecer, e as possíveis soluções para cada situação;

Para fazer a avaliação de vulnerabilidades na organização, é interessante que uma auditoria externa trabalhe em conjunto com os principais membros de cada setor da empresa.

5. Verifique os requisitos legais de segurança estipulados para o seu tipo de negócio. Por exemplo, a PSI de uma instituição que trabalha diretamente com dados sensíveis e confidenciais, por exemplo, uma agência bancária, não pode ser igual a PSI de um hospital e vice-versa.

6. Analise como cada risco pode ser reduzido. Nessa etapa, é importante verificar a necessidade de recursos adicionais, sejam eles materiais (softwares, hardwares, e etc.) ou humanos.

7. Desenvolva mecanismos para o gerenciamento de incidentes e a continuidade dos negócios de acordo os riscos identificados. Não esqueça de verificar também, se a PSI está cobrindo todos os itens estipulados na ISO/IEC 27001, apresentados no tópico anterior.

8. Estabeleça penalidades e medidas de fiscalização para os casos em que houver violação da política. Deste modo, os colaboradores saberão que as normas são sim para serem cumpridas.

9. Realize a documentação integral de todas as medidas da PSI.

10. Mantenha a Política de Segurança da Informação sempre atualizada e acessível.

Garantindo o funcionamento de uma PSI

Alguns passos podem ser adotados visando garantir o bom funcionamento de uma PSI após a sua implementação:

Realize treinamentos 

Antes de implementar de fato as novas normas de segurança, proporcione momentos de treinamento para todos os funcionários.

Forneça materiais e publique informativos nas dependências da organização.

O treinamento será essencial para  que todo mundo conheça as regras, compreenda a importância e esclareça todas as dúvidas.

Conscientize e fiscalize a equipe

Conforme foi falado anteriormente, em se tratando de segurança, as pessoas são o ponto  mais fraco de qualquer corporação, então, a PSI só será eficaz se a equipe ter consciência da importância de adotar as diretrizes estabelecidas. 

Por mais que se estabeleça penalidades para  os casos de violação, se a equipe não acolher as medidas, a PSI terá pouquíssimas chances de sucesso em longo prazo. 

Atualizações são essenciais

A PSI não é um documento estático, pelo contrário, em se tratando de segurança as modificações são rápidas. Sempre tem uma ameaça ou ferramenta nova sendo desenvolvida. Por isso, a PSI deve ser um documento dinâmico, com atualizações periódicas.

E não esqueça de sempre que ocorrer atualizações, repassar as informações aos funcionários que precisarão se adequar à essas mudanças e se necessário, promover novos treinamentos.

Conclusão

A política de segurança da informação pode e deve ser implantada em empresas de diferentes portes, pois, atualmente,  é essencial investir em uma segurança da informação eficiente.

E o melhor jeito de fazer isso, é estabelecendo regulamentos e orientações gerais para que a área de tecnologia seja manuseada com cautela para se evitar problemas e riscos ao negócio.

As políticas de segurança da informação são a base de um bom programa de segurança, então, se você quiser saber mais sobre como a Suporte 24×7 pode ajudar sua organização a definir uma boa política de segurança ou outros serviços, entre em contato conosco.

Publicada em Blog.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *