Política de Segurança da Informação (PSI): passo a passo para a implementação 

Deixe um comentário / Por /

A Política de Segurança da Informação (PSI) pode ser definida como uma coleção de regras e diretrizes organizacionais criadas para promover a confidencialidade, a integridade e a disponibilidade das informações, ou seja, a segurança dos ativos da empresa. 

Anteriormente, em outro artigo, já falamos por que e como fazer uma PSI, agora, vamos focar no processo da implementação. 

O que é necessário para implementar uma PSI? 

O primeiro passo para a implementação é já ter a PSI formulada, documentada e validada por toda a equipe envolvida na criação do plano de segurança da informação

Lembrando que o  procedimento para formular uma política de segurança da informação varia muito, e vai depender do tipo de empresa, da área de atuação, do tamanho, do prazo para implantação, dos objetivos e do orçamento disponível. 

Mas, um procedimento de formulação típico, geralmente, é composto pelas seguintes atividades: 

  1.   Seleção da equipe ou empresa responsável pelo processo; 
  1.   Determinação da finalidade e do escopo do documento; 
  1.   Definição e atribuição das funções dos envolvidos; 
  1.   Elaboração de um cronograma contendo as etapas; 
  1.   Identificação dos ativos de informação; 
  1. Análise dos riscos e das medidas de segurança; 
  1.   Formulação das políticas básicas; 
  1.   Apresentação e implantação da PSI. 

Quais pontos devem ser observados durante o processo? 

Durante o processo de criação e implementação da PSI, evite a construção de sistemas redundantes e com muitos processos desnecessários.  

Defina os processos de modo que a PSI seja um documento aplicável no dia a dia da instituição, caso contrário, a eficiência das atividades operacionais será prejudicada ou ninguém vai aderir de fato às normas. 

Para desenvolver uma política de segurança da informação eficaz: 

  • Seja o mais específico possível, afinal de contas, em se tratando de segurança, soluções genéricas não são a melhor opção. 
  •  Avalie quais danos a organização provavelmente sofrerá caso ocorra uma falha de segurança; 
  •  Não esqueça do plano de contingência. Caso ocorram problemas, ele será essencial para a normalização das atividades operacionais e minimização dos danos. 
  • Garanta que todos que fazem parte da rede da empresa tenham acesso (respeitando o nível de confidencialidade das normas) e conhecimento sobre o documento. 
  • Não deixe de estabelecer penalidades para infrações cometidas às normas apresentadas. 
  • Certifique-se de que todos os tópicos da Política tenham sido revisados. 
  • Estabeleça mecanismos de auditoria em relação a adesão por parte dos colaboradores. 
  • Avalie os resultados obtidos e identifique pontos de melhoria. 

Qual o passo a passo mais recomendado para a implementação? 

1. Esteja de acordo com a Legislação 

O cumprimento dos requisitos legais é crucial. A Política de Segurança deve respeitar a legislação dos países em que a empresa opera ou faz negócios. No Brasil, por exemplo, temos a Lei Geral de Proteção de Dados que estabelece as medidas de segurança que devem ser adotadas para a proteção de dados. 

2. Certifique-se de estar dentro dos padrões 

A ISO 27001® é um padrão de origem britânica, mas mundialmente aceito, que descreve os processos necessários para o gerenciamento de segurança da informação. 

Essa norma permite que as organizações definam seus próprios processos de gerenciamento de riscos, mas os métodos mais comuns concentram-se nos riscos associados a ativos e cenários específicos. 

 A norma ISO 27001® é orientada a processos e oferece uma abordagem de melhoria contínua do tipo PDCA, do inglês: PLAN, DO, CHECK, ACTION, que significa Planejar, Fazer, Verificar e Agir, sendo assim, a análise de risco neste modelo é composta por alguns pontos importantes, a saber: 

  1. Estabelecimento da estrutura de análise de risco; 
  1. Identificação dos riscos; 
  1. Análise e avaliação dos riscos; 
  1. Seleção das opções adequadas ao gerenciamento de riscos; 

Outro padrão importante é a ISO 27002®. Essa norma possui as diretrizes para controles de segurança da informação e boas práticas de implementação. Desse modo, as organizações podem adotar esses controles como parte do processo de tratamento dos riscos apresentados na 27001®

3. Aprovação da Política 

Após as revisões e análises da Política, é essencial obter a aprovação do corpo gestor da organização e da equipe de segurança envolvida no processo. E lembre-se, para que uma PSI seja útil, ela deve atender os objetivos da segurança da informação e ser aplicável. 

 4. Medir, controlar e corrigir 

As organizações precisam medir, controlar e corrigir o desempenho da Política. Então, auditorias internas e externas podem ser realizadas para rastrear e detectar problemas existentes (ou potenciais) prejudiciais à segurança da organização. 

Isso envolve a identificação de métricas capazes de avaliar a eficácia e o nível de adesão às novas regras por parte de toda a corporação. 

Vale ressaltar que a ISO 27001 exige que ações corretivas sejam tomadas sempre que detectarem falhas. 

5. Invista no treinamento dos colaboradores 

Ninguém duvida que na luta pela segurança dos sistemas de informação, o elo mais fraco dessa corrente é o fator humano, portanto, invista no treinamento e na conscientização de todos que fazem parte da rede da empresa, sejam funcionários internos, externos ou fornecedores. 

Se você deseja que sua equipe respeite e adote todas as diretrizes impostas, ensine a eles o porquê desses procedimentos serem necessários.  

Organize sessões de conscientização recorrentes para todos os usuários, esclarecendo os direitos e as responsabilidades de todos em termos de segurança. 

Como selecionar a equipe para a implementação? 

É possível afirmar que o valor de uma empresa está contido em seus ativos de informação, logo, sua segurança é essencial para a atividade comercial, para a credibilidade da instituição e, claro, a confiança de seus clientes. 

Assim, em grandes empresas, uma equipe inteira é dedicada exclusivamente à implementação e manutenção do programa de segurança. 

Se a empresa não possuir uma equipe interna especializada, ela pode eleger um gerente interno da organização para acompanhar de perto todo o processo e trabalhar em conjunto com profissionais da área de segurança de uma empresa parceira. 

Nesse caso, a Suporte 24×7 pode apoiá-lo na implementação da política de segurança e gerenciamento de riscos. 

Para contar com uma avaliação contínua das vulnerabilidades, ameaças e aplicação de medidas de segurança, entre em contato para conversar com um dos nossos consultores. 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *