Política de Segurança da Informação Dunamys

4ª Prática de segurança da informação: possuir política de segurança da informação

Continuando a nossa série de práticas de segurança da informação, dessa vez nós falaremos sobre a política de segurança da informação. Como ela pode ser feita, se pode ser realizada ou de que modo ela é produzida será o ponto deste artigo.

Explicaremos também o que são as políticas que asseguram a segurança da informação dentro de uma empresa.

O que é uma política de segurança da informação?

Chamada também de PSI, a política de segurança da informação, é um documento que trata de tudo aquilo que está relacionado com a proteção de informações. Uma boa política de segurança deve ser aplicada na empresa inteira, e não somente em um setor.

Existe uma norma brasileira que organiza e estrutura uma recomendação de como uma PSI deve ser realizada. A ABNT NBR ISO/IEC 27001:2005 é reconhecida mundialmente. Ela é referência quando falamos de políticas de segurança. Além disso, ela mostra como uma empresa deve estar em relação à legislação vigente.

Toda política de segurança, para ser considerada boa, deve seguir alguns objetivos: trabalhar com regras que orientam qualquer pessoa da empresa. Regras organizacionais sobre a informação e segurança da empresa precisam estar disponíveis a todos. Qualquer um que use as informações, desde o funcionário, colaborador até mesmo o cliente, precisa estar ciente da política de segurança.

O comportamento dentro da empresa precisa ser regrado. Algumas regras de organização devem fazer com que as práticas de segurança tornem-se comuns. Monitoramento de informações, instalação de novos dispositivos, módulos de proteção e restrição de acesso dentro da empresa são todas explicativas dentro de uma boa política de segurança da informação.

Qual o objetivo de uma política de segurança da informação?

O principal objetivo da empresa é garantir que as informações fiquem preservadas de modo integral, confidencial e disponível a todos os que têm as devidas permissões. Vários corolários aparecem a partir desse objetivo principal.

A garantia de que todo usuário deve impedir o vazamento de dados, por exemplo, surge a partir da confidencialidade. Além disso, as informações precisam estar disponíveis. Em resumo, disponíveis para os devidos cargos e funcionários.

Grosso modo, a política de segurança da informação define todos os procedimentos relacionados à informação. Portanto, por definição, ela atribui responsabilidades, deveres e direitos de quem compartilha ou manipula as informações de uma determinada empresa.

Conteúdo de uma PSI

Dentro de uma PSI, quatro coisas são essenciais: organização dos deveres dos colaboradores, da área de TI, como o setor de TI deve agir e também quais as tecnologias usadas na empresa.

Deveres dos colaboradores

Os colaboradores ficam limitados por um uso específico dentro desta parte do documento. A organização de seus deveres deve responder o seguinte:

  1. Quando ele pode usar os dados;
  2. Quais dispositivos móveis e externos podem entrar na rede da empresa;
  3. Quais sites que não podem ser acessados dentro da empresa para segurança de ambos;
  4. Como preservar a informação na empresa;

Deveres do setor de TI

O mesmo pode ser dito para o setor de TI. O conteúdo de PSI referente a esse setor deve responder o seguinte:

  1. Como os dispositivos serão configurados;
  2. Como os softwares devem ser instalados;
  3. Procedimentos para cumprir todos os requisitos de segurança da informação;
  4. Qual o tipo de tecnologia a ser utilizada na empresa;

Como o setor de TI deve agir

Além disso, se faz necessário informar como o setor deve organizar e agir nos equipamentos da empresa. Por exemplo:

  1. Como os aplicativos e softwares serão utilizados;
  2. Como será a organização física da rede;
  3. Como a infraestrutura geral deve ser implementada;

Quais tecnologias serão usadas?

Para agir contra ataques, por exemplo, as tecnologias devem estar especificadas dentro do PSI. Ademais, tipo de criptografia, firewall, quais usuários têm acesso ou não e backups, além do monitoramento da rede devem ser especificados na PSI. Portanto, esta parte é mais técnica.

Em resumo, é desse modo que se possui uma política de segurança da informação. A importância de investir em um bom documento garante que os usuários e funcionários da empresa consigam trabalhar com segurança. Portanto, se a empresa ainda não tem uma política, é bom ir pensando em criar uma. Continue lendo artigos parecidos clicando aqui.

Você também pode fazer o nosso quiz e descobrir em que nível está sua segurança em relação a essas dez práticas, é só clicar no banner abaixo:

Compartilhe