Como criar uma Política de Segurança da Informação

Um estudo realizado pela PwC com Organizações do mundo todo mostrou que, empresas que conquistam entre 100 milhões e 1 bilhão de dólares têm um prejuízo médio de 1 milhão por conta de fraudes, falhas na segurança e crimes cibernéticos.

73% dos usuários finais indicam que as principais causas da exposição dos dados e das falhas na segurança são: a falta de orientação, erros de procedimentos internos, negligência ou malícia.

Uma empresa pode sofrer ataques de várias origens. A Global State of Information Security Survey mostra que os colaboradores atuais continuam a ser a principal fonte de incidentes de segurança (35%), seguidos de ex-colaboradores (34%); os hackers ocupam 43% da fatia.

As ameaças cibernéticas contra a integridade dos dados são uma preocupação crescente. Essa mesma pesquisa mostra os impactos nos dados por incidentes de segurança: 46% compromete o registro de clientes, 34% compromete o registro de funcionários e 44% perde ou danifica registros internos.

A informação é o ativo mais importante de uma Companhia e exige uma atenção especial; ter uma Política de Segurança da Informação faz toda a diferença na proteção dos dados.

O que você vai ver neste post

O que é a Política de Segurança de Informação?

É um documento que estabelece as diretrizes da Organização com relação ao uso seguro de dados. Este manual reúne o conjunto de ações, técnicas e boas práticas para garantir a proteção da informação, com base nas recomendações da norma ABNT NBR ISO/IEC 27001:2005, que é referência em gestão da segurança da informação.

Qual é a importância de ter uma Política de Segurança de Informação?

Preservar a integridade dos dados, garantir a confidencialidade das informações e disponibilizá-los para as pessoas certas.

Além de tudo isso, tem as implicações da Lei Geral de Proteção de Dados, que passará a exigir mais responsabilidade das empresas com relação a proteção e cuidado dos dados de seus clientes, principalmente os dados sensíveis.

A quem se aplica:

A todos os colaboradores, clientes e fornecedores, orientando padrões de comportamento relacionados à segurança da informação, restrições de acesso, instalações de equipamentos, soluções monitoramento e proteção.

Quais informações contém:

A responsabilidade dos colaboradores, informando os limites de uso e as consequências em caso de má utilização dos recursos de TI da Companhia.

A responsabilidade do TI: configuração dos equipamentos e implementação dos controles necessários para cumprir os requerimentos de segurança estabelecidos, incluindo a configuração da infraestrutura.

As tecnologias de defesa contra ciberataques adotadas: firewall, controles de acesso, auditoria, criptografia, backups, monitoramento de rede, big data analytics, etc.

Treinamento para os colaboradores

Medidas de Segurança que devem constar na Política:

  • Implementação de firewalls e detectores de intrusos;
  • Sistema de backup;
  • Atualização dos softwares e sistema operacionais;
  • Análise de tráfego;
  • Gerenciador de privilégios de acessos;
  • Cofre de senhas, etc.

Itens que não podem faltar na Política:

  • Quem fará sua elaboração, revisão e divulgação;
  • Definição dos critérios de classificação dos dados (públicos, confidenciais, internos e secretos);
  • Definição dos níveis de acesso (considerando o cargo ou setor de quem acessa), como será realizado o acesso (somente máquina ou na nuvem também), que ferramentas de controle serão utilizadas e quando será permitido o acesso (somente horário de expediente);
  • Definição dos SLAs de resolução de problemas;
  • Se a intervenção técnica será interna ou terceirizada;
  • As consequências e punições para o não cumprimento das normas;
  • A assinatura do termo de sigilo e responsabilidade exigindo o comprometimento do colaborador.

Como implantar a Política:

  • Os Executivos e tomadores de decisão devem estar em concordância com os itens propostos;
  • Investir em tecnologia e nas ferramentas necessárias para a aplicação da Política;
  • O documento deve ser formalizado e disponibilizado para os colaboradores;
  • Os funcionários devem receber treinamento para não haver dúvidas.

Como garantir que a política de segurança da informação funcione na prática:

  • Levantamento dos requisitos e fatores de risco;
  • Análise de vulnerabilidades e avaliação das necessidades de proteção;
  • Envolvimento e conscientização de todas as áreas da empresa;
  • Ter um especialista em segurança de informação para elaborar o documento e garantir uma defesa de alto nível.
 
O investimento em tecnologia para garantir proteção é inevitável. Com a VaultOne a cobertura de segurança da sua empresa será mais completa.
 
A VaultOne é uma solução privilegiada de gerenciamento de contas, que resolve problemas de segurança centralizando as senhas em um “cofre”, permitindo que os usuários acessem recursos (servidores, computadores, contas sociais) sem a necessidade de uma senha.
 
Em vez de confiar todos recursos a várias senhas, um administrador pode criar uma conexão segura entre o usuário e o recurso através da plataforma VaultOne, trazendo o poder da propriedade intelectual de volta para mãos da empresa, onde deveria estar.
 
 
Fale hoje mesmo com nossos especialistas e aumente o nível de proteção de seus negócios.