ELABORANDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO – PSI
Nos últimos anos, o acesso às informações através da Internet, trouxe uma revolução em diversas áreas, todavia cresceram nas mesmas proporções os problemas de segurança, bem como fraudes relacionadas aos serviços por meios digitais.
A necessidade de maior proteção das informações gerou um movimento em prol de leis regulatórias e com isso uma prática ganhou espaço nas organizações, a política de segurança da informação.
Ciente desta tendência, estamos trazendo algumas dicas para a elaboração de uma política de segurança da informação (também conhecida como PSI).
A proteção da informação através de medidas técnicas é uma das abordagens, mas possui fatores limitantes, pois o usuário na maioria das vezes é o ponto mais fraco no processo. A PSI possui papel importante em tratar ambos os casos (medidas técnicas e organizacionais), haja visto que define práticas, tanto técnicas quanto em processos para o uso dos recursos.
Para elaborar uma PSI, devemos nos atentar a alguns itens relevantes, os quais descrevemos a seguir:
Declaração de compromisso da alta direção
Apesar de normalmente ter o desejo dos resultados, nem sempre a direção das empresas permite-se participar dos processos envolvidos. Para o sucesso da implantação das políticas, o engajamento da direção da empresa é muito importante, pois denota um nível de preocupação que se propaga aos demais níveis da organização.
Princípios de segurança da informação
A segurança da informação pode ser definida de maneira simplificada como a proteção das informações contra ameaças variadas. Tem o intuito de garantir a continuidade do negócio, minimizar riscos e aumentar retornos sobre os investimentos. Elencamos três conceitos importantes a serem considerados no processo:
Confiabilidade
Segundo a ISO 27001:2014 Confidencialidade é a propriedade que a informação não é disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados.
Integridade
Segundo a ISO 27001:2014 a Integridade é a propriedade da exatidão e completeza da informação.
É necessário planejar os meios de armazenamento, envio, recebimento e manipulação das informações que a empresa trata.
Integridade
Segundo a ISO 27001:2014, Disponibilidade é a propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada.
Organização e responsáveis envolvidos na segurança da informação
Para que os trabalhos de implantação da PSI ocorram de maneira adequada, é altamente recomendável que exista um comitê de segurança da informação. Esta equipe tratará as políticas, padrões e procedimentos presentes na PSI.
Classificação de informação
Todas as corporações possuem informações com maior necessidade de confidencialidade, todavia nem sempre estão organizadas adequadamente. Entendemos que para uma correta adequação, deve-se classificar as informações da empresa. Esta prática permite refinar os níveis de segurança, permitindo acesso à informação de acordo com a necessidade. A seguir segue uma sugestão de classificação:
Confidencial – Nível mais restrito de acesso à informação.
Restrita – Nível Intermediário de acesso à informação.
Uso Interno – Baixo Nível de confidencialidade.
Pública – Informação disponível publicamente a todos.
Controle de acesso de sistemas
Com as informações devidamente classificadas e níveis de acesso definidos, devemos aplicar tal prática aos sistemas presentes na empresa.
Segurança de pessoal
Apesar de todas as possibilidades técnicas/tecnológicas disponíveis para proteção das informações, o fator humano ainda é muito impactante no processo. Criar programas para orientação e conscientização, são ações importantes para minimizar incidentes provenientes de falha humana.
Segurança física e ambiental
As informações podem estar presentes em vários meios dentro de uma empresa. Pastas com documentos, servidores, nuvem, dispositivos etc… Com isso, é importante pensar na segurança física do ambiente. Documentos com informações relevantes devem ser arquivados em locais reservados. Servidores devem ser protegidos fisicamente, pois o acesso físico pode permitir violações. Demais dispositivos que tenham informações relevantes da empresa (computadores, notebooks, smartphones etc…) devem ser tratados conforme a realidade da empresa.
Planejamento de continuidade de negócio
Na PSI podem ser definidos procedimentos que prevejam os momentos em que os recursos tecnológicos fiquem indisponíveis. Deve-se definir os principais acontecimentos e as medidas respectivas. Alinhado a isso deve-se definir as pessoas responsáveis por iniciar/encaminhar cada processo relacionado a continuidade.
Conformidade com regulamentos e leis
Como uma PSI possui processos relacionados a variados segmentos, envolvendo pessoas, recursos etc, nossa recomendação é que seja validada por um Consultor Jurídico.
Política de uso aceitável de ativos de T.I.
Esta prática visa definir o formato e finalidade de uso dos ativos de T.I. da empresa. Definindo o que é uso pessoal e uso corporativo. Este tipo de medida visa prevenir brechas e violações de segurança, na estrutura de T.I. provenientes de mal uso dos recursos.
Com uma PSI definida a organização pode amadurecer o cuidado com a segurança de uma forma geral. No dia a dia temos percebido além dos benefícios para a segurança, otimização de processos administrativos, financeiros e operacionais como um todo. Sendo o ganho de desempenho operacional um benefício indireto da definição de políticas de segurança.
Esperamos que com estas orientações, seja possível ter uma noção de como implantar, bem como a importância de políticas bem definidas.
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:2013 Tecnologia da Informação – Técnicas de Segurança – Sistema de gestão da segurança da informação – Requisitos
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013 Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão de segurança da informação.
Texto produzido por Lúcio Flávio da Cruz