As ameaças à segurança estão em constante evolução e os requisitos de conformidade estão se tornando cada vez mais complexos. As organizações devem criar uma política abrangente de segurança da informação para cobrir ambos os desafios. Uma política de segurança da informação permite coordenar e aplicar um programa de segurança e comunicar medidas de segurança a terceiros e auditores externos.
Para ser eficaz, uma política de segurança da informação deve:
- Cobrir processos de segurança ponta a ponta em toda a organização
- Ser executável e prático
- Ser atualizado regularmente em resposta às necessidades de negócios e às ameaças em evolução
- Concentrar-se nos objetivos de negócios da sua organização.
A importância de uma política de segurança da informação
As políticas de segurança da informação podem trazer os seguintes benefícios para uma organização:
- Facilita a integridade, a disponibilidade e a confidencialidade dos dados: políticas eficazes de segurança da informação padronizam regras e processos que protegem contra vetores que ameaçam a integridade, a disponibilidade e a confidencialidade dos dados.
- Protege dados confidenciais: As políticas de segurança da informação priorizam a proteção da propriedade intelectual e de dados confidenciais, como informações de identificação pessoal (PII).
- Minimiza o risco de incidentes de segurança: Uma política de segurança da informação ajuda as organizações a definir procedimentos para identificar e mitigar vulnerabilidades e riscos. Ele também detalha respostas rápidas para minimizar danos durante um incidente de segurança.
- Executa programas de segurança em toda a organização: As políticas de segurança da informação fornecem a estrutura para operacionalizar procedimentos.
- Fornece uma declaração de segurança clara a terceiros: As políticas de segurança da informação resumem a postura de segurança da organização e explicam como a organização protege os recursos e ativos de TI. Elas facilitam a resposta rápida a solicitações de informações de terceiros por parte de clientes, parceiros e auditores.
- Ajuda a cumprir os requisitos regulamentares: A criação de uma política de segurança da informação pode ajudar as organizações a identificar lacunas de segurança relacionadas aos requisitos regulamentares e a solucioná-las.
Confira também: Segurança da informação nas empresas: guia rápido
12 elementos de uma política de segurança da informação
Uma política de segurança pode ser tão ampla quanto você desejar, desde tudo relacionado à segurança de TI à segurança de ativos físicos relacionados, mas executável em todo o seu escopo. A lista a seguir oferece algumas considerações importantes ao desenvolver uma política de segurança da informação.
1. Propósito
Primeiro indique o objetivo da política, que pode ser:
- Criar uma abordagem geral para a segurança da informação, especialmente no que diz respeito aos padrões, requisitos de segurança e melhores práticas adotadas pela organização.
- Detectar e prevenir violações de segurança da informação, como uso indevido de redes, dados, aplicativos e sistemas de computador.
- Manter a reputação da organização e defender as responsabilidades éticas e legais e a governança aplicável.
- Respeitar os direitos dos funcionários e dos clientes, incluindo como reagir a consultas e reclamações sobre não conformidade.
2. Público
Defina o público ao qual a política de segurança da informação se aplica. Você também pode especificar quais públicos estão fora do escopo da política (por exemplo, a equipe de outra unidade de negócios que gerencia a segurança separadamente pode não estar no escopo da política).
3. Objetivos de segurança da informação
Oriente sua equipe de gerenciamento para chegar a um acordo sobre objetivos bem definidos de estratégia e segurança. A segurança da informação concentra-se em três objetivos principais:
- Confidencialidade — Somente indivíduos autenticados e autorizados podem acessar dados e ativos de informação.
- Integridade — Os dados devem estar intactos, precisos e completos, e os sistemas de TI devem ser mantidos operacionais.
- Disponibilidade — Os usuários devem poder acessar informações ou sistemas quando necessário.
4. Política de autoridade e controle de acesso
- Padrão hierárquico — Um gestor sênior pode ter autoridade para decidir quais dados podem ser compartilhados e com quem. A política de segurança pode ter termos diferentes para um gerente sênior e um funcionário júnior ou contratado. A política deve delinear o nível de autoridade sobre os dados e sistemas de TI para cada função organizacional.
- Política de segurança de rede — Patches críticos e outras políticas de mitigação de ameaças são aprovadas e aplicadas. Os usuários só podem acessar redes e servidores da empresa por meio de logins exclusivos que exigem autenticação, incluindo senhas, biometria, cartões de identificação ou tokens. Você deve monitorar todos os sistemas e registrar todas as tentativas de login.
5. Classificação de dados
A política deve classificar os dados em categorias, que podem incluir “ultrassecretos”, “secretos”, “confidenciais” e “públicos”. Os objetivos para classificação de dados são:
- Para entender quais sistemas e quais operações e aplicativos afetam os dados mais confidenciais e controlados, para projetar controles de segurança adequadamente para esse hardware e software (consulte o item 6.)
- Para garantir que dados confidenciais não possam ser acessados por indivíduos com níveis de autorização mais baixos
- Para proteger dados altamente importantes e evitar medidas de segurança desnecessárias para dados sem importância.
6. Suporte e operações de dados
- As regulamentações de proteção de dados — sistemas que armazenam dados pessoais ou outros dados confidenciais — devem ser protegidas de acordo com padrões organizacionais, melhores práticas, padrões de conformidade do setor e regulamentos relevantes. A maioria dos padrões de segurança exige, no mínimo, criptografia, firewall e proteção antimalware.
- Backup de dados — Criptografe o backup de dados de acordo com as melhores práticas do setor, tanto em movimento quanto em repouso. Armazene mídias de backup com segurança ou mova o backup para um armazenamento seguro na nuvem.
- Movimentação de dados — Transfira dados apenas por meio de protocolos seguros. Criptografe qualquer informação copiada para dispositivos portáteis ou transmitida através de uma rede pública.
7. Conscientização e comportamento de segurança
Capacite-se com quem é referência em cibersegurança no Brasil. Domine as práticas que o mercado exige e conquiste novas oportunidades.