Política de Segurança da Informação (PSI): passo a passo para a implementação

A Política de Segurança da Informação (PSI) pode ser definida como uma coleção de regras e diretrizes organizacionais criadas para promover a confidencialidade, a integridade e a disponibilidade das informações, ou seja, a segurança dos ativos da empresa.

Anteriormente, em outro artigo, já falamos por que e como fazer uma PSI, agora, vamos focar no processo da implementação.

O que é necessário para implementar uma PSI?

O primeiro passo para a implementação é já ter a PSI formulada, documentada e validada por toda a equipe envolvida na criação do plano de segurança da informação.

Lembrando que o  procedimento para formular uma política de segurança da informação varia muito, e vai depender do tipo de empresa, da área de atuação, do tamanho, do prazo para implantação, dos objetivos e do orçamento disponível.

Mas, um procedimento de formulação típico, geralmente, é composto pelas seguintes atividades:

1.   Seleção da equipe ou empresa responsável pelo processo;
2.   Determinação da finalidade e do escopo do documento;
3.   Definição e atribuição das funções dos envolvidos;
4.   Elaboração de um cronograma contendo as etapas;
5.   Identificação dos ativos de informação;
6.   Análise dos riscos e das medidas de segurança;
7.   Formulação das políticas básicas;
8.   Apresentação e implantação da PSI.

Quais pontos devem ser observados durante o processo?

Durante o processo de criação e implementação da PSI, evite a construção de sistemas redundantes e com muitos processos desnecessários. 

Defina os processos de modo que a PSI seja um documento aplicável no dia a dia da instituição, caso contrário, a eficiência das atividades operacionais será prejudicada ou ninguém vai aderir de fato às normas.

Para desenvolver uma política de segurança da informação eficaz:

• Seja o mais específico possível, afinal de contas, em se tratando de segurança, soluções genéricas não são a melhor opção.
•  Avalie quais danos a organização provavelmente sofrerá caso ocorra uma falha de segurança;
•  Não esqueça do plano de contingência. Caso ocorram problemas, ele será essencial para a normalização das atividades operacionais e minimização dos danos.
• Garanta que todos que fazem parte da rede da empresa tenham acesso (respeitando o nível de confidencialidade das normas) e conhecimento sobre o documento.
• Não deixe de estabelecer penalidades para infrações cometidas às normas apresentadas.
• Certifique-se de que todos os tópicos da Política tenham sido revisados.
• Estabeleça mecanismos de auditoria em relação a adesão por parte dos colaboradores.
• Avalie os resultados obtidos e identifique pontos de melhoria.

Qual o passo a passo mais recomendado para a implementação?

1. Esteja de acordo com a Legislação

O cumprimento dos requisitos legais é crucial. A Política de Segurança deve respeitar a legislação dos países em que a empresa opera ou faz negócios. No Brasil, por exemplo, temos a Lei Geral de Proteção de Dados que estabelece as medidas de segurança que devem ser adotadas para a proteção de dados.

2. Certifique-se de estar dentro dos padrões

A ISO 27001® é um padrão de origem britânica, mas mundialmente aceito, que descreve os processos necessários para o gerenciamento de segurança da informação.

Essa norma permite que as organizações definam seus próprios processos de gerenciamento de riscos, mas os métodos mais comuns concentram-se nos riscos associados a ativos e cenários específicos.

 A norma ISO 27001® é orientada a processos e oferece uma abordagem de melhoria contínua do tipo PDCA, do inglês: PLAN, DO, CHECK, ACTION, que significa Planejar, Fazer, Verificar e Agir, sendo assim, a análise de risco neste modelo é composta por alguns pontos importantes, a saber:

1. Estabelecimento da estrutura de análise de risco;
2. Identificação dos riscos;
3. Análise e avaliação dos riscos;
4. Seleção das opções adequadas ao gerenciamento de riscos;

Outro padrão importante é a ISO 27002®. Essa norma possui as diretrizes para controles de segurança da informação e boas práticas de implementação. Desse modo, as organizações podem adotar esses controles como parte do processo de tratamento dos riscos apresentados na 27001®.

3. Aprovação da Política

Após as revisões e análises da Política, é essencial obter a aprovação do corpo gestor da organização e da equipe de segurança envolvida no processo. E lembre-se, para que uma PSI seja útil, ela deve atender os objetivos da segurança da informação e ser aplicável.

4. Medir, controlar e corrigir

As organizações precisam medir, controlar e corrigir o desempenho da Política. Então, auditorias internas e externas podem ser realizadas para rastrear e detectar problemas existentes (ou potenciais) prejudiciais à segurança da organização.

Isso envolve a identificação de métricas capazes de avaliar a eficácia e o nível de adesão às novas regras por parte de toda a corporação.

Vale ressaltar que a ISO 27001 exige que ações corretivas sejam tomadas sempre que detectarem falhas.

5. Invista no treinamento dos colaboradores

Ninguém duvida que na luta pela segurança dos sistemas de informação, o elo mais fraco dessa corrente é o fator humano, portanto, invista no treinamento e na conscientização de todos que fazem parte da rede da empresa, sejam funcionários internos, externos ou fornecedores.

Se você deseja que sua equipe respeite e adote todas as diretrizes impostas, ensine a eles o porquê desses procedimentos serem necessários. 

Organize sessões de conscientização recorrentes para todos os usuários, esclarecendo os direitos e as responsabilidades de todos em termos de segurança.

Como selecionar a equipe para a implementação?

É possível afirmar que o valor de uma empresa está contido em seus ativos de informação, logo, sua segurança é essencial para a atividade comercial, para a credibilidade da instituição e, claro, a confiança de seus clientes.

Assim, em grandes empresas, uma equipe inteira é dedicada exclusivamente à implementação e manutenção do programa de segurança.

Se a empresa não possuir uma equipe interna especializada, ela pode eleger um gerente interno da organização para acompanhar de perto todo o processo e trabalhar em conjunto com profissionais da área de segurança de uma empresa parceira.

Nesse caso, a Suporte 24×7 pode apoiá-lo na implementação da política de segurança e gerenciamento de riscos.

Para contar com uma avaliação contínua das vulnerabilidades, ameaças e aplicação de medidas de segurança, entre em contato para conversar com um dos nossos consultores.