Política de Segurança da Informação – Como fazer?

27/04/2015

O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões. Com o crescimento da internet e o uso de dispositivos móveis nas empresas é inevitável a ocorrência de problemas de segurança, é preciso muito planejamento e muito trabalho da equipe de TI para ligar com tudo isso. É importante criar normas rígidas e principalmente treinar toda a equipe interna e externa. Agora. Quando a concorrência e criminosos conseguem através de meios fraudulentos, ter acesso a essas informações e usá-las para alavancar no mercado, saindo na frente com uma nova linha de produtos – roubada! Esse é só um exemplo. Nesse caso os gerentes de tecnologia da informação devem repensar suas ações, é preciso uma análise completa da área de TI e principalmente uma política de segurança da informação bem formulada e uma equipe bem informada e treinada.

Pesquisas recentes revelam que a maioria dos incidentes de segurança são ocasionados no ambiente interno, sendo que atualmente a grande parte dos recursos são investidos no ambiente externo (medidas de proteção, firewall, IDS, etc.). A equipe interna pode ser um grande problema, se não for bem treinada. É preciso mostrar como é fundamental proteger as informações gerenciais, tanto para a empresa quanto para o profissional. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas.

Mais afinal o que é política de segurança da informação?

A Política de Segurança da Informação – PSI é um documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos.

Para ter aceitação, é preciso que a cúpula estratégica (dirigentes) apoie e participe do processo de implantação. É de suma importância o aval da diretoria para que todos aceitem, respeitem as normas e procedimentos vinculados na política de segurança.

Bem, o que precisamos colocar numa política de segurança da informação?

1º Precisamos fazer um planejamento, levantando o perfil da empresa.

Analisar o que deve ser protegido, tanto interno como externamente.

2º Aprovação da política de segurança pela diretoria.

Garantir que a diretoria apoie a implantação da política.

3º Análise interna e externa dos recursos a serem protegidos.

Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, enumerando as deficiências e fatores de risco.

4º Elaboração das normas e proibições, tanto física, lógica e humana.

Nesta etapa devemos criar as normas relativas à utilização de programas, utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos, bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc.

5º Aprovação pelo Recursos Humanos

As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos funcionários da organização.

6º Aplicação e Treinamento da Equipe

Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo declaração de comprometimento dos funcionários. A política deve ficar sempre disponível para todos os colaboradores da organização.

7º Avaliação Periódica

A política de segurança da informação deve ser sempre revista, nunca pode ficar ultrapassada.

8º Feedback

A organização deverá designar um colaborador específico para ficar monitorando a política, a fim de buscar informações ou incoerências, que venham a alterar o sistema, tais como vulnerabilidades, mudanças em processos gerenciais ou infraestrutura.

9º Atenção às novas tecnologias

O setor de TIC deve estar sempre atendo à novas tecnologias e demandas externas, para poder analisar e atualizar constantemente a PSI da empresa, um exemplo é a utilização indiscriminada de dispositivos móveis (smartphones e tablets) dentro da empresa, também conhecida como Consumerização de TI e o uso de Aplicativos móveis de Mensagens de Texto e Voz, tudo deve estar bem definido, com regras claras na Política de Segurança da Informação.

Autor: Fabrício Basto.

Fonte: Analistati.