Definitivamente não é segredo que, atualmente, a tecnologia é elemento-chave para qualquer negócio. Já reparou que, independentemente do porte ou da área de atuação das empresas, os grandes destaques do mercado operam seus principais sistemas em computadores e com grande dependência da conectividade? Esse é um dos motivos que justificam a necessidade de uma política de segurança da informação nas empresas.

Nas últimas décadas, houve um significativo aumento da quantidade de informações sensíveis circulando de um ponto a outro tanto dentro da organização como dela para o mundo todo, via internet. E por mais que a proliferação dos dispositivos móveis e dos serviços de cloud computing sejam aspectos mais recentes, também vêm impulsionando os investimentos em ambientes de TI seguros.

Já é questão de primeira necessidade ter políticas que, documentadas, detalhem procedimentos e diretrizes para eliminar a subjetividade ao lidar com informações sensíveis. Assim, as empresas podem gerenciar os riscos por meio de controles bem definidos, que ainda fornecem referências para auditorias e ações corretivas.

Mas o que exatamente é uma política de segurança da informação? Quer entender como é desenvolvida e por que documentá-la é tão importante para sua empresa? Então acompanhe conosco!

O que é uma política de segurança da informação?

Para realmente entender o que é essa política, você precisa saber o que exatamente significa segurança da informação. De acordo com a definição da norma ISO 27001, que estabelece as diretrizes gerais para a gestão da informação de uma empresa, segurança da informação nada mais é que o ato de proteger os dados da empresa (especialmente aqueles confidenciais) contra diversos tipos de ameaças e riscos — espionagens, sabotagens, incidentes com vírus ou códigos maliciosos e até acidentes, como incêndio e inundação.

A segurança da informação é, então, obtida pela implantação de uma gama de controles que incluem procedimentos de rotina (como as verificações de antivírus), infraestrutura de hardware e software (como a gestão de soluções para assinatura eletrônica de documentos), além da criação de uma política devidamente documentada.

Chegamos, assim, à política de segurança da informação, definida como as regras que ditam o acesso, o controle e a transmissão da informação em uma organização. Lembrando que uma política de segurança não é um documento imutável ou inquestionável. Muito pelo contrário, requer atualização constante e participação não só da diretoria da empresa, mas também dos funcionários e da equipe de TI.

Quais os princípios básicos da segurança da informação?

Como se trata de uma verdadeira metodologia de proteção às informações da empresa, a PSI é implementada nas organizações por intermédio de alguns princípios básicos, os quais garantem que cada variável importante receba a devida atenção e corrobore com o objetivo central da ação que é aumentar a integridade dos sistemas de informações.

Os princípios mencionados são: confidencialidade, integridade e disponibilidade. Cada um deles denota uma postura diferente dentro da empresa, exigindo ações pontuais para que se mantenham sempre presentes.

A seguir explicaremos de forma mais detalhada um a um. Acompanhe:

Confidencialidade

O conceito de confidencialidade não foge muito à noção que o próprio termo nos passa. A confidencialidade, no contexto da segurança da informação, nada mais é do que a garantia de que determinada informação, fonte ou sistema é acessível apenas às pessoas previamente autorizadas a terem acesso.

Ou seja, sempre que uma informação confidencial é acessada por um indivíduo não autorizado, intencionalmente ou não, ocorre o que se chama de quebra da confidencialidade. A ruptura desse sigilo, a depender do teor das informações, pode ocasionar danos inestimáveis para a empresa, seus clientes e até mesmo para todo o mercado.

A exemplo, instituições financeiras, detentoras de dados pessoais e bancários de uma infinidade de usuários, não só precisam, mas devem manter a confidencialidade de todas as informações em seu domínio. A quebra desse sigilo significaria expor à riscos uma grande quantidade de pessoas, causando prejuízos incalculáveis.

Integridade

Quando empresas lidam com dados, um dos seus grandes deveres é mantê-los intocados, de forma a preservar a sua originalidade e confiabilidade. Caso contrário, erros podem ocorrer na interpretação dessas informações, gerando também rupturas no compliance do negócio e, no pior dos casos, sanções penais pesadas.

Nesse contexto, garantir a integridade é, pois, adotar todas as precauções necessárias para que a informação não seja modificada ou eliminada sem autorização, isto é, que mantenha a sua legitimidade e consistência, condizendo exatamente com a realidade.

Qualquer falha nesse quesito, seja por uma alteração, falsificação ou acesso irregular, gera a quebra da integridade. Da mesma forma que a quebra de confidencialidade, a ruptura na integridade das informações também pode implicar impactos negativos de grande monta em uma empresa, sobretudo de grande porte, em que os dados e informações têm um valor ainda maior.

Disponibilidade

A relação da segurança da informação com a disponibilidade é basicamente a garantia de acesso aos dados sempre que necessário. Ou seja, é a possibilidade de os colaboradores e membros da organização acessarem os dados de maneira fluida, segura e eficiente.

No contexto corporativo, a disponibilidade das informações é matéria de extrema importância, visto que o negócio pode depender da disponibilidade dos seus dados e sistemas para fechar contratos, vendas e atender os clientes.

Imagine como pode ser prejudicial para uma empresa que trabalha com vendas sofrer algum ataque na sua base de dados e, em razão disso, ter o sistema derrubado por um dia inteiro. Além do prejuízo à imagem, há também perdas financeiras com o não fechamento de vendas. Logo, a disponibilidade também figura como um dos pilares para a segurança da informação.

Que benefícios ela traz à gestão da empresa?

O bem mais importante que qualquer empresa possui é justamente a informação. E especialmente hoje, com o mercado sendo obrigado a lidar com quantidades massivas de informação em diversas camadas, é preciso se manter constantemente atento às situações que envolvem o manuseio de dados.

Ataques à integridade dos sistemas das empresas vêm crescendo tanto em número como em sofisticação. Assim, informações críticas e confidenciais correm o risco de serem corrompidas, perdidas ou até mesmo de cair nas mãos da concorrência. De toda forma, os prejuízos são incalculáveis.

Com uma política de segurança da informação bem desenhada, é possível reduzir consideravelmente esses riscos, dando à organização a devida proteção contra ameaças internas e falhas de segurança.

Ao determinar e comunicar o time sobre as diretrizes do uso aceitável da informação, garante-se que os funcionários saibam qual é a postura esperada na hora de lidar com os diversos níveis de confidencialidade e importância, conhecimento que previne violações acidentais.

Uma vez implantada a política de segurança da informação, o aumento da transparência e a elevação da eficiência do negócio surgem como consequências naturais. Essa política deve ser mais clara possível, para que os colaboradores entendam como organizar a informação seguindo um padrão para facilitar os fluxos de processos em todas as escalas.

A execução adequada das regras de segurança da informação leva a uma evolução proporcional à drástica redução dos danos à infraestrutura de TI da empresa. Assim, a experiência do usuário também se beneficia significativamente, dando um salto de qualidade.

Como elaborar uma política de segurança da informação?

A segurança da informação, como dito, se desenvolve como uma metodologia, seguindo-se uma sistemática e conceitos próprios da área. Assim, é fundamental estudar e planejar essa tarefa para que possa se adaptar à empresa e, mais do que isso, cumprir o seu papel.

A elaboração de uma PSI depende de alguns cuidados básicos, algumas ações prévias que ajudarão a compor a estrutura necessária e a cultura mais indicada para que todos saibam lidar com os conceitos e ferramentas.

A seguir, listamos alguns pontos que merecem ser destacados na elaboração dessa política. Vejamos:

Definição dos contornos e ferramentas necessárias

Com já dito, uma política de informação deve atender aos requisitos da empresa. No entanto, essa etapa não pode ser feita só com profissionais do setor de TI, mas por todos os setores da organização, abrangendo diferentes equipes, visto que ela será aplicada e replicada todos os funcionários.

Nesta etapa serão definidos os processos e tarefas que poderão ser alterados para garantir a segurança. A exemplo, podemos citar:

  • definição de cronogramas de backup;
  • estabelecimento de regras para o uso de senhas e credenciais de acesso;
  • controle de acesso aos espaços físicos;
  • definição de diretrizes para o acesso à informação de diferentes profissionais e times, estabelecendo graus de acessibilidade;
  • criação de planos de contingência e de gerenciamento de riscos;
  • definição das políticas de atualização de softwares

Todas essas medidas, de alguma forma, impactam o trabalho de diferentes setores da empresa. Daí a importância de que todos participem, já que ações pontuais, realizadas por cada funcionário, quando somadas, formam um ambiente mais seguro.

Classificação das informações da empresa

Outra etapa importante para a criação de uma boa PSI é a classificação dos dados entre públicos, internos, confidenciais e secretos. Essa ação é necessária porque dependendo da empresa o mesmo tipo de dado pode receber classificações distintas.

A exemplo, para a maior parte das empresas, dados relacionados ao faturamento e balanço financeiro são tidos como confidenciais, fazendo parte da estratégia de negócio. Por outro lado, Sociedade Anônimas, de capital aberto, não tem sigilo nesse tipo de informação, dada a necessidade de os investidores conhecerem esses números.

É com base nessa classificação dos dados é que os níveis de acesso de cada colaborador às informações poderão ser estabelecidos, mantendo-se o rigor no manuseio dos dados.

E quais são suas etapas de implantação?

Agora que você já sabe o que é e por que é tão importante para sua empresa, é hora de saber que etapas deve seguir na hora de implantar uma política de segurança da informação.

Antes, porém, precisamos destacar que, para que o documento tenha aceitação na organização, deve não só ser apoiado pela cúpula estratégica da empresa, mas contar com sua participação ativa durante o processo. Dito isso, vamos aos passos:

Planejamento e levantamento do perfil da empresa

Deve ser feito um planejamento que inclua o objetivo máximo da política, determine seus responsáveis e os prazos para conclusão, analisando o que deve ser protegido, tanto em relação ao tráfego externo como ao interno.

Elaboração das normas e proibições

Etapa de criação das normas relativas ao uso de programas, internet, dispositivos móveis, acesso à rede da empresa, bloqueio de sites, uso do e-mail corporativo, de aplicativos de mensagens de texto e voz — resumindo: recursos tecnológicos em geral.

Alinhamento com as demais políticas do negócio

Esse é o momento de estudar as demais políticas da empresa, bem como sua visão, sua missão e seus valores, para que tudo esteja devidamente alinhado.

Aprovação pelo RH

Além da diretoria, o RH da empresa também deve ler o documento e aprovar suas premissas, de acordo com as leis trabalhistas e com o manual interno dos empregados da organização.

Aplicação e treinamento dos colaboradores

Trata-se de efetivamente implantar a política. Nesse momento, é preciso comunicar todos os funcionários, que devem receber uma cópia do documento, além de um treinamento prático que apresente seus pontos principais.

A política deve estar sempre acessível aos colaboradores e a assinatura de cada um deles, com uma declaração de comprometimento, deve ser recolhida após o treinamento.

Vale mencionar, ainda, a importância do desenvolvimento de planos de contingência, cujo objetivo é deixar claro para os colaboradores, gestores e profissionais de TI o que pode — e deve ser feito — em caso de ruptura na segurança. Assim, se garante respostas mais rápidas e efetivas às ameaças, reduzindo eventuais danos.

Avaliação periódica

Na verdade, essa etapa consiste em ações contínuas, já que a política deve ser revisada regularmente, a fim de atualizá-la, caso seja necessário. A segurança da informação, por ter uma íntima relação com a tecnologia, está em constante evolução.

Por esse e outros motivos, é imperioso manter uma rotina de avaliação, comparando os recursos de proteção internos da empresa à sofisticação das ameaças e, caso necessário, compatibilizando-os para que sejam suficientes e eficiente no combate às vulnerabilidades.

Atenção a novas tecnologias

O setor de TI deve estar sempre atento ao surgimento de novas tecnologias no mercado, aquelas que podem alterar as regras da política empresarial, submetendo-a às atualizações necessárias. Como exemplo aqui podemos citar a substituição das cartas registradas por soluções no e-mail corporativo.

Não se esqueça de que uma política de segurança da informação é tão eficaz quanto o grau em que é praticada dentro da organização. Portanto, uma boa política é aquela de fácil entendimento e acessível, atingindo e informando eficientemente todos os funcionários.

Também ser flexível e aberta a mudanças de requisitos e à evolução do negócio, além de constantemente atualizada para permanecer relevante. Afinal, as informações da sua organização devem ser preservadas e resguardadas de todas as formas possíveis.

Como você pôde ver, a concepção e a consequente implantação de uma política de segurança da informação é uma empreitada que, além de garantir proteção, traz maior transparência e eficiência para toda a empresa.

Animado para desenvolver a política do seu negócio? Ficou ainda com alguma dúvida ou quer saber mais? Baixe nosso e-book sobre segurança da informação e conheça os desafios impostos pela transformação digital!

Tags