Neste artigo, vamos abordar a criação de uma polÃtica de segurança da informação passo a passo. Mas afinal, o que é a PSI?
A PolÃtica de Segurança da Informação (PSI) é um documento elaborado pela empresa no qual são registrados os princÃpios e as diretrizes de segurança que ela adotou e que devem ser seguidos por seus colaboradores.
Além disso, a PSI deve ser aplicada em todos os sistemas de informação e processos institucionais, ou seja, em todos os ativos e processos da organização.
Para que ela seja aceita, respeitada e aplicada por todas as pessoas que participam do ambiente corporativo, é fundamental que a diretoria da empresa apoie e participe da implantação da PSI. Caso contrário, haverá uma grande chance de falha, o que é o primeiro grande impedimento a ser enfrentado.
Ao desenvolver um documento de PSI, a instituição precisa estabelecer diretrizes para que as equipes possam seguir padrões de comportamento que não coloquem os dados corporativos e confidenciais em risco. Portanto, é necessário manter um bom relacionamento com os diretores das equipes.
Dica: Sempre seja uma pessoa agradável e convide as equipes para participarem, mostrando a importância que todos têm no processo. Isso facilita muito a implantação da mesma, minimizando o impacto das mudanças.
O que uma boa PolÃtica de Segurança da Informação deve conter?
Antes de começar a elaborar e produzir sua polÃtica de segurança da informação, é preciso atentar-se aos aspectos que ela deve preservar:
A integridade da empresa e de seus dados: garantindo que a originalidade de todas as informações seja mantida, sem sofrer alterações indevidas, intencionais ou acidentais; (exemplo disso seria os dados devem ser Ãntegros, seu backup não pode ser duvidoso, e nem os dados que estão dentro do File server devem conter uma polÃtica de versão de dados)
A confidencialidade da empresa e de seus dados: garantindo que o acesso à informação seja permitido somente à s pessoas autorizadas; (exemplo disso é uma polÃtica de classificação de dados que deve ser confrontada com as permissões do Active Directory ou do LDAP)
A disponibilidade: garantindo que os usuários autorizados da classificação de dados acima consigam acessar as informações, dados e ativos correspondentes sempre que for necessário.
Agora, vamos à prática. Aprenda a montar uma polÃtica de segurança da informação:
Planejamento
Antes de começar a montar a PolÃtica de Segurança da Informação da sua empresa, faça um levantamento de todas as informações e dados que devem ser protegidos. Isso é muito importante para saber exatamente qual é o seu negócio e, assim, mitigar o risco, reduzindo a chance de erro.
Você sabe qual é o atual programa de segurança da informação da companhia?
Durante o planejamento, também é importante solicitar a aprovação da produção por parte da diretoria da empresa. Eles devem estar cientes de todo o processo e ser notificados conforme ele for progredindo.
Elaboração
Essa é a fase de elaboração das normas e proibições. É nessa etapa que você deverá criar as normas referentes à utilização de programas, acesso à internet, uso de dispositivos móveis, e-mail e recursos tecnológicos.
Além disso, nessa fase, você também vai caracterizar os tipos de bloqueio e restrições a sites e acesso à internet.
Lembre-se sempre: esteja alinhado com os departamentos, principalmente o financeiro, que é o mais crÃtico, para que não faça bloqueio de sites que irão atrapalhar a produção. Já vi polÃticas que não estavam alinhadas e se tornaram um fracasso.
Documentação
O conteúdo da PolÃtica de Segurança da Informação pode variar de acordo com a empresa. O estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, requisitos de segurança e outros aspectos vão influenciar diretamente no conteúdo que estará representado na PSI.
Apesar disso, alguns tópicos são comuns na maioria das PolÃticas de Segurança da Informação. Veja a lista abaixo:
A definição de segurança de informações e sua importância como mecanismo que possibilita o compartilhamento de informações;
A declaração de comprometimento da diretoria com a PSI, apoiando suas metas e princÃpios;
Os objetivos de segurança da informação;
A definição de responsabilidades gerais na gestão de segurança de informações;
As orientações sobre análise e gerenciamento de riscos;
Os princÃpios de conformidade dos sistemas computacionais com a PSI;
Os padrões mÃnimos de qualidade que esses sistemas devem possuir;
As polÃticas de controle de acesso a recursos e sistemas computacionais;
A classificação das informações de uso irrestrito, interno, confidencial e secretas;
Os procedimentos de prevenção e detecção de vÃrus;
Os princÃpios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais);
Claro que na PolÃtica de Segurança da Informação da sua empresa devem constar apenas as informações pertinentes ao processo de proteção correspondente ao seu negócio.
Depois que você levantar todas as informações necessárias para a sua PSI, será o momento de redigir o documento. Se a sua empresa não conta com um departamento responsável pela comunicação, que pode colocar as regras da PSI no papel, o profissional de TI, responsável pelo documento, pode se encarregar dessa tarefa.