Implementar políticas de segurança da informação é fator de primeira necessidade para as empresas que, a cada dia, coletam, armazenam e tratam um número sempre maior de dados. As empresas dependem deles para movimentar tecnologias de Business Intelligence, Machine Learning e IOT, por exemplo, de modo que a indisponibilidade ou perda de dados pode prejudicar a continuidade do negócio e até mesmo provocar danos irreversíveis.
Apesar da LGPD não definir quais ou quantas políticas são necessárias para que a sua empresa se mantenha em compliance, fica bem claro que a melhor saída é adotar boas práticas de segurança da informação para processos que coletam, armazenam ou tratam dados, sejam eles pessoais ou outros dados para manter o negócio funcionando. Isso porque a segurança envolve muitas áreas, desde a formalização de processos por meio da construção de políticas, governança e construção de uma cultura voltada para a proteção de dados.
Se você quer saber como a política de segurança da informação pode contribuir para a sua empresa, este é o artigo certo. Mas antes, vamos entender mais sobre este conceito.
O que são Políticas de Segurança da Informação?
De acordo com a ISO 270001, que é a norma definidora e reguladora das diretrizes gerais de segurança da informação nas empresas, é necessário implementar medidas e controles a fim de evitar a perda, vazamento ou ataques contra dados corporativos (principalmente os confidenciais e sensíveis). Esses controles envolvem desde diretrizes gerais de segurança para cumprimento de normas e a realização de procedimentos operacionais de rotina. Mas para que funcionem adequadamente, essas diretrizes devem ser documentadas no que chamamos de Políticas de Segurança da Informação (PSI).
Em outras palavras, uma Política de Segurança da Informação é o planejamento que visa aumentar a integridade, confidencialidade e disponibilidade da informação. Ela determina o caminho que a empresa deve seguir com relação à segurança, em todos os aspectos, podendo conter diretrizes para os processos de tratamento de dados. Através da estrutura da PSI é possível definir:
- Qual o objetivo da política de segurança da informação
- Quem são as partes interessadas
- O sistema geral de segurança da informação, ou seja a Cultura da Empresa
- Diretrizes gerais fornecidas pela PSI
- Sanções e punições inerentes ao descumprimento das políticas
- Como lidar com casos omissos
- Controle de atualização e revisão
Quando falamos em proteção de dados, nosso foco não está apenas nos lógicos, como também nos dados físicos: horário de entrada de uma pessoa na empresa, quais são os locais que essa pessoa tem acesso, documentação impressa, entre outros. Por isso, é importante lembrar que a PSI deve ser amplamente difundida na empresa para que se crie uma cultura de segurança da informação, bem como revisada sempre que necessário.
Empresas em compliance com a LGPD
É verdade que parte do processo para garantir a segurança das informações é infraestrutura e tecnologia. Entretanto, caso uma instituição seja autuada pela LGPD por conta de algum descuido, vai precisar mostrar que está fazendo todo o esforço necessário para proteger seus dados contra vazamentos. Para isso, ter políticas e boas práticas serve como comprovação de que os processos existem e que a empresa está fazendo todo o possível para se manter em compliance com a legislação e evitar esse tipo de situação.
Os 3 pilares da Segurança da Informação
Uma PSI é elaborada seguindo três pilares: integridade, confidencialidade e disponibilidade.
1. Integridade
As informações devem se manter íntegras, ou seja, confiáveis e condizentes com a realidade, inalteradas. Dessa maneira, a PSI deve formalizar processos para garantir que as informações não sejam eliminadas ou alteradas sem permissão.
2. Confidencialidade
As diretrizes documentadas na PSI da sua empresa devem garantir que os dados coletados, tratados e armazenados, bem como suas fontes e demais sistemas da organização são acessíveis apenas a pessoas específicas a fim de evitar a quebra de confidencialidade das informações.
3. Disponibilidade
Garantir que o acesso aos dados estará disponível a quem é de direito sempre que necessário é o terceiro pilar para a construção da PSI. Assim como o princípio da integridade, a disponibilidade está bastante relacionada com a continuidade do negócio. No contexto corporativo, dados indisponíveis significam operações paradas, vendas em aberto e, por consequência, prejuízo. Logo, com esse pilar percebemos a importância de manter suas áreas de TI e negócios alinhadas, bem como os impactos da PSI nas operações da organização.
5 passos iniciais para desenvolver uma Política de Segurança da Informação
Como você observou através dos pilares da Segurança da Informação, a PSI deve atender aos requisitos de negócio para trazer os retornos esperados e seguir uma metodologia que permita sua replicação para todos os departamentos da empresa, uma vez que ele deverá ser seguido por todas as partes de interesse. Acompanhe a seguir os 5 passos iniciais para desenvolver uma Política de Segurança da Informação.
1. Diagnóstico de ambiente e contexto organizacional
Nessa etapa, todas as medidas que impactam o trabalho de diferentes setores da empresa devem ser levantadas a fim de que você tenha uma visualização ampla sobre todos os processos e tarefas que devem ser cobertos na PSI, a fim de garantir a segurança da informação na organização.
Já do lado da TI, é necessário levantar todos os ativos de informação, participar do mapeamento de processos de negócio e identificar as limitações de recursos que impactam no cumprimento de uma Política de Segurança da Informação. Ao final, você terá o mapa do seu ambiente, contendo elementos como:
- Definição e proposta da PSI para atingir os objetivos da organização
- Quem são as partes interessadas que serão direta ou indiretamente impactadas pela PSI
- Quais as regras de negócios que são praticadas pela organização
- O alinhamento da PSI com leis, normas, regulamentações externas, boas práticas e cultura da empresa
- Dimensão que a PSI abrange bem como suas exceções
2. Levantamento de metas
Antes da elaboração do documento em si, é necessário ter em mente quais são as metas da sua empresa que a Política de Segurança da Informação pode ajudar a alcançar. Neste passo, necessidades de todos os departamentos devem ser avaliadas pelas equipes de TI e segurança a fim de definir um conjunto de metas alcançáveis e que fazem sentido para a visão, missão e valores da organização.
3. Classificação da confidencialidade das informações
Uma mesma informação ganha níveis de confidencialidade distintos entre diferentes organizações. Por isso, ressalto novamente a importância de manter o foco na estratégia do negócio durante a elaboração da PSI. Classificada a confidencialidade das informações, é possível entender se determinado funcionário está tendo acesso a dados críticos e identificar vulnerabilidades.
4. Elaboração das normas de utilização e acesso à informação
Neste passo, as informações coletadas durante o diagnóstico de ambiente devem ser avaliadas sob a ótica da confidencialidade das informações e das metas de negócio. Depois, devem ser definidos os seguintes critérios:
- Quem tem acesso às informações e quais os níveis de permissão?
- Como devem ser utilizadas as aplicações e ativos de informação da empresa?
- Quais são os requisitos mínimos que todos os colaboradores devem seguir para manter as informações confidenciais, íntegras e disponíveis?
- Como utilizar recursos tecnológicos em geral? (Esse é um item muito relevante no contexto do trabalho remoto)
- O que deve ser feito em caso de perda ou vazamento de dados, bem como ataques à infraestrutura? Qual é o plano de contingência?
Do lado da TI, é necessário considerar camadas diversas para manter os dados protegidos. Seguir rigorosamente a implementação das boas práticas requisitadas pelos fabricantes dos softwares e aplicações utilizadas pela empresa é um passo crucial. Outra questão é manter boas práticas, por exemplo não expor à internet portas e protocolos com acesso de administrador aos servidores, como é o caso de WTS e SSH. Também é necessário garantir a aplicação de políticas e regras de firewall, bem como manter atualizados seus firmware e mecanismos de antivírus.
5. Implementação das Políticas de Segurança da Informação
Não podemos deixar de citar a relevância da educação dos colaboradores nessa etapa, uma vez que os usuários são a principal fonte de vulnerabilidade de sistemas ou serviços de TI – na prática, ter processos e não construir uma cultura que vise a integridade da informação é como ter um cinto de segurança não utilizado. Por isso, na fase de implementação é essencial que a sua empresa reserve um tempo para aplicar treinamentos, realizar palestras e criar campanhas de conscientização.
Outro ponto importante é realizar avaliações periódicas para manter os critérios das políticas bem fixados para todos, bem como avaliar se as pessoas compreenderam seu papel para a segurança das informações corporativas e se as normas estão sendo seguidas corretamente.
Assessment de TI: simplificando o processo de diagnóstico
Se a sua empresa precisa criar uma Política de Segurança da Informação do zero, mas não pode alocar horas do time de TI para realizar o diagnóstico do seu ambiente computacional, uma saída é contratar um Assessment de TI. Esse serviço possibilita mapear riscos por meio da coleta e análise de informações do estado atual dos processos da sua empresa e tecnologias utilizadas, entregando ao seu time um mapa sobre sua infraestrutura, bem como um relatório completo a respeito de pontos positivos, de atenção e de vulnerabilidade.
Por fim, tenha em mente que implementar uma Política de Segurança da Informação é um projeto que demanda tempo das pessoas envolvidas em seu desenvolvimento. Portanto, recomendo a leitura deste artigo do Omar Til Junior, que trabalha como Project Manager na Binario Cloud com 7 dicas práticas para que você saiba como gerenciar o tempo do seu time em projetos de TI com eficiência.