A expressão “Política de Segurança da Informação” pode até soar um pouco confusa e rebuscada demais, mas seu significado nada tem de tão complicado. Em termos mais simples, trata-se de apenas um documento que compila um conjunto de ações responsáveis por garantir que os dados e informações confidenciais e pessoais fiquem protegidos.
Pode-se dizer que é uma espécie de código de conduta da empresa, só que voltada à segurança da informação. Apesar de ser algo relativamente simples de ser compreendido, muitas pessoas ainda têm dúvidas a respeito do assunto.
Por isso, elaboramos este artigo com as 10 perguntas mais comuns feitas por leigos e até não leigos da área. Confira a seguir!
1. Quais são os princípios para estabelecer uma boa Política de Segurança da Informação?
Existem 3 princípios básicos:
- Confidencialidade: garantir que determinados dados e informações sejam acessíveis apenas a quem tiver autorização;
- Integridade: preservar dados e informações de modo que não sejam alterados ou eliminados;
- Disponibilidade: assegurar que as pessoas autorizadas tenham acesso à informação sempre que for necessário.
2. O que a Lei Geral de Proteção de Dados (LGPD) tem a ver com PSI?
A Lei exige que empresas tomem medidas que assegurem a confidencialidade de dados, o que torna necessário a implementação de sistemas de seguranças e softwares mais eficientes e atualizados, impactando na Política de Segurança da Informação da empresa.
3. Algumas informações devem ser classificadas como alta, média ou baixa confidencialidade?
Sim. Apesar de todos os dados deverem estar bem assegurados e protegidos, um dos tópicos do documento de Política de Segurança da Informação deve estabelecer a classificação dos dados.
Por exemplo, as informações de alta confidencialidade são aquelas que podem trazer grande prejuízos financeiro e moral à pessoa física ou jurídica detentora dos dados.
Os de média confidencialidade, também conhecidos como restritos, são aqueles que podem estar disponíveis apenas a um grupo restrito de colaboradores (como dados de balanço financeiro).
Os de baixa confidencialidade são, em geral, aquelas informações que podem ser compartilhadas com todos os colaboradores, mas com ninguém de fora.
4. A maneira de captação de dados estabelecida na Política de Segurança da Informação deve ser alterada de acordo com as novas regras da LGPD?
Sim. A nova lei traz alguns tópicos que estabelecem a necessidade de autorização explícita do usuário quando toda e qualquer informação for solicitado, mesmo nome e endereço de e-mail, por exemplo.
5. A Política de Segurança da Informação precisa estabelecer quando e como uma informação deve ser descartada?
Sim. O descarte adequado de informações está estabelecido em uma das cláusulas da nova lei LGPD, incluindo a maneira de se desfazer de dispositivos eletrônicos (computadores, smartphones, tablets) e, consequentemente, das informações que neles estão armazenadas.
6. Quais são os procedimentos que devem ser especificados na PSI em caso de vazamento de dados?
A empresa, de acordo com a nova lei, é obrigada a avisar o titular que seus dados foram vazados, pelo meio que ela achar mais conveniente. Ainda não existe um prazo estipulado para que isso seja feito.
7. Qual é o papel do RH na elaboração ou alteração da Política de Segurança da Informação?
O RH deve adaptar o documento de acordo com a leis trabalhistas vigentes e com os Termos de Conduta interno da empresa.
8. E do TI?
O departamento de TI deve, entre outras inúmeras funções, elaborar planos de segurança digital para evitar a invasão de malwares, spywares, adwares ou ransomwares, em especial o temido crime de sequestro de dados.
O profissional do TI deve também realizar testes e simulações para garantir a eficiência dos sistemas de segurança digital adotados.
9. A PSI se limita apenas à elaboração do documento?
Não! Depois do documento finalizado, é preciso organizar treinamentos para que cada um de seus pontos seja devidamente esclarecido a todos os colaboradores, não deixando margem para dúvidas.
10. É preciso ter um funcionário específico para garantir a implantação correta da PSI?
Depende da área da empresa. Alguns setores, como aqueles que lidam com dados de delitos criminais ou de organismos públicos, devem nomear um funcionário (ou contratar um) como Data Protection Officer (DPO, ou Encarregado de Proteção de Dados, em português.
Esse profissional ficará responsável por manter a PSI em alinhamento com a LGPD, cooperar com as autoridades quando necessário, prestar aconselhamento a gestores em relação ao assunto e garantir que os demais colaboradores entendam as diretrizes da PSI.
E então, gostou de saber as respostas para as dúvidas mais comuns sobre PSI? Aproveite a visita e veja as melhores práticas de segurança para adotar até o final deste ano!