Política de segurança da informação: como criar corretamente?

últimos artigos

Política de segurança da informação: como criar corretamente?

Assim como uma empresa deve assegurar a segurança cibernética para evitar eventuais ataques cibernéticos, o aumento do uso da tecnologia torna necessário possuir uma Política de Segurança da Informação.

Afinal, é através da Política de Segurança da Informação que a empresa consegue, entre outras medidas, preservar a confidencialidade, integridade e disponibilidade dos dados os quais ela possui.

O que é Política de Segurança da Informação?

A Política de Segurança da Informação, também conhecida como PSI, é um conjunto de ações, medidas e práticas que, de forma geral, geram proteção aos dados.

Podemos entender essa política como uma espécie de manual onde estão escritas as principais ações as quais a instituição e, consequentemente, todos os colaboradores devem tomar a fim de assegurar a segurança da informação.

É possível pensar nele como uma espécie de código de conduta interno e específico para cada organização.

De tal forma, nele estão contidos o modo de ação que cada funcionário deve ter, o que não deve ser feito e como agir em casos de eventuais emergências ou problemas.

A diferença para o código de conduta, no entanto, é justamente que o foco dessa política se encontra apenas na parte de segurança das informações internas.

Contudo, vale pontuar que recentemente, devido principalmente ao maior uso das tecnologias e a maior importância que a área de TI possui em empresas, estas ações estão sendo tomadas a fim de gerar os efeitos desejados.

Para isso, no entanto, a PSI da empresa deve apontar a forma a qual os dados serão utilizados e até mesmo descartados após não serem relevantes para empresa.

Além disso, deve conter também todos os controles e projeções requisitados a fim de que fique claro a forma de agir que a empresa possui.

Contudo, vale pontuar que, de acordo com a área de atuação da empresa ela deve colocar algumas regulamentações específicas na elaboração da PSI.

Existem normas que auxiliam a empresa na criação dessa política?

Apesar de existirem regulamentações específicas para cada segmento que a empresa atua, normalmente as normas ISO da família 27000 são utilizadas para ajudar na elaboração desta forma de ação da empresa.

Dentre elas, geralmente as empresas realizam a sua própria Política de Segurança da Informação com base na ISO 27001.

Afinal, esta norma indica como a estrutura organizacional e as responsabilidades da empresa devem responder aos requisitos mínimos para a criação do SGSI, Sistema de Gestão da Segurança da Informação.

Contudo, vale lembrar que esta família da ISO possui cerca de 45 normas diferentes.

De tal forma, existe mais de uma que podem auxiliar para a elaboração da PSI por parte da empresa.

Em contraponto, independentemente de qual for a norma utilizada como base para a criação da PSI, o seu objetivo é sempre o mesmo.

A finalidade, para todos os casos, é justamente o de possibilitar o gerenciamento da segurança das informações dentro de uma empresa.

E isso é assegurado através das elaboração de normas que funcionam de maneira parecida ao código de conduta que a empresa possui, como citado anteriormente.

Sendo assim, essa política visa e possibilita alguns pontos, sendo eles:

  • manter a confidencialidade das informações;
  • garantir que a informação não seja modificada ou perdida; e
  • assegurar que a informação estará disponível quando necessário para as pessoas selecionadas.

Estes pontos são assegurados através da definição da empresa de o que é permitido e o que não deve ser feito.

Porém, para que ocorra uma implementação bem sucedida, ela deve ser de cima para baixo, ou seja, começar pela diretoria da empresa e ir, aos poucos, atingindo cada um dos outros funcionários.

Um outro ponto crucial para ser colocado em prática de forma boa é justamente divulgar a política para todos os funcionários.

Assim, todos os funcionários irão se preocupar em assegurar a segurança das informações da instituição.

Por que é importante possuir uma Política de Segurança da Informação?

Qual a importância da política de segurança da informação?

Para entendermos qual é a importância deste ponto para a empresa, devemos compreender quais benefícios essa política oferece à gestão da empresa.

E para isso, devemos ter em mente que a informação é, atualmente, o bem mais importante que qualquer instituição pode possuir.

Afinal, a informação gera possibilidade de resposta de acordo com eventuais situações que possam ocorrer.

Por outro lado, o tópico é mais importante ainda hoje em dia, tendo em vista as diversas questões que existem sobre a proteção de dados pessoais.

Além disso, o mercado tem sido obrigado a enfrentar uma alta quantidade de informações em diversas camadas e, para isso, é necessário estar sempre atento à situações que envolvem o tratamento de dados pessoais.

Este ponto ganha maior importância quando analisamos que os ciberataques tem crescido recentemente.

Assim, os dados confidenciais acabam correndo o risco de serem corrompidos, perdidos ou até mesmo roubados.

E é aqui que a PSI entra, tendo em vista que, quando bem estabelecida, ela consegue reduzir bastante os riscos que a instituição possui.

Isso se dá uma vez que todos os colaboradores da empresa, como um todo, estarão cientes sobre as diretrizes de uso aceitável da informação.

Afinal, todos os funcionários estão cientes de qual é a postura correta para agir com relação a confidencialidade e importância dos dados que a empresa possui.

Vale pontuar que a norma ISO 27001 oferece um forte auxílio para este processo, principalmente quando falamos na criação do SGSI.

Afinal, o Sistema de Gestão de Segurança da Informação oferece um grande auxílio para a implementação dessa política, ponto essencial para todas as empresas que trabalham com dados.

Como criar essa política em uma empresa?

Conforme citado anteriormente, a elaboração da Política de Proteção de Dados depende de alguns regulamentos específicos de acordo com o setor que a empresa trabalha.

Sendo assim, elencaremos aqui quais os principais pontos que devem ser incluídos nela de forma geral a fim de facilitar este processo.

Veja:

  • classificar as informações que a empresa possui;
  • definir os eventuais contornos que a empresa pode realizar e quais as ferramentas cruciais para tal.

Além disso, existem algumas etapas que a empresa deve seguir para implementar a política:

  1. planejar e realizar o levantamento do perfil da instituição;
  2. elaborar as normas e proibições que estarão contidas na política;
  3. alinhar as regras às demais políticas que a empresa possui;
  4. possuir aprovação por parte do RH sobre o regulamento;
  5. aplicar o regulamento em toda a empresa e realizar um treinamento com os funcionários;
  6. realizar uma avaliação de tempos em tempos para analisar se tudo está sendo seguido corretamente;
  7. estar atento às novas tecnologias que surgem no mercado.

Fora isso, é importante que a empresa esteja ciente dos princípios básicos da segurança da informação, a fim de aplicá-los à sua política, sendo eles:

  • Confidencialidade
  • Disponibilidade
  • Integridade

Agora, seguindo todos estes passos e aplicando os três conceitos necessários, é possível que as empresas evitem eventuais problemas como o furto de informações.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

Qual a relação entre a PSI e a LGPD?

Tendo em vista que a Lei Geral de Proteção de Dados, como o nome sugere, estabelece uma série de regras sobre o uso de dados pessoais no ambiente digital, a dúvida que fica é sobre a relação entre ambos os temas.

Afinal, como vimos até aqui, a PSI serve para assegurar que as informações da empresa serão mantidas.

Entretanto, podemos entender que a relação entre ambos os pontos é justamente que a LGPD valida a necessidade de possuir um maior cuidado com as informações que a instituição possui.

Isso se dá tendo em vista que essa lei coloca como responsabilidade da empresa proteger, zelar e ter cuidado sobre os dados pessoais dos clientes.

O cuidado se torna mais crucial ainda quando falamos sobre os dados sensíveis, ponto o qual a empresa deve possuir maior atenção ainda.

E a necessidade aqui, no entanto, é justamente para que a empresa evite as eventuais sanções previstas caso não siga a LGPD.

De toda maneira, podemos entender que esta é a relação existente entre ambos os pontos que, quando seguidos se tornam o chamado Política de Segurança da Informação compliance.

Compliance, no entanto, é o nome dado ao conjunto de disciplinas que cumprem normas legais.

Por isso, quando a empresa aplica a PSI à LGPD, ela pode ser intitulada desta forma.

Existe importância em alinhar a PSI com a LGPD?

Uma vez que existe uma forte relação entre a segurança da informação com a Lei Geral de Proteção de Dados em si, podemos dizer que sim, é importante alinhar ambos os pontos.

Afinal, a também conhecida como Política de Segurança da Informação e Comunicações (POSIC) exerce influência direta sobre os dados pessoais que a empresa possui.

E através dessa Política de Privacidade e Proteção de Dados pessoais usadas integradas, a empresa consegue seguir as medidas impostas pela lei.

De tal forma, a instituição assegura a proteção dos dados pessoais de seus respectivos clientes. E, por outro lado, ela consegue manter os dados pessoais seguros.

Contudo, a Política de Segurança da Informação oferece grande auxílio para todas as empresas. Afinal, através dessa série de normas a empresa consegue possuir um padrão de como agir caso ocorram eventuais problemas.

Denis Zeferino
Denis Zeferino
Denis Zeferino é Data Protection Officer (DPO) certificado pela EXIN. Bacharel em Ciência da Computação e pós-graduado em Gestão de Infraestrutura de TI, Segurança da Informação e Cybersecurity. Tem mais de 15 anos de experiência, conciliando sua vida profissional entre o universo da Tecnologia e Segurança da Informação e da Educação. É membro da Associação Nacional dos Profissionais de Privacidade de Dados e dedicado a levar o entendimento da LGPD e Proteção de Dados aos alunos do Certifiquei.