No mundo digital e hiperconectado em que vivemos, em que transações financeiras, compras, vendas, pagamentos e tantas outras demandas podem ser feitas na palma da mão, a praticidade é um dos sinônimos que resume essa realidade. Entretanto, junto à ela, vem a preocupação com as informações confidenciais e com vazamentos de dados.
Nesse cenário, as regulamentações preventivas são mais do que necessárias. No Brasil, temos a Lei Geral de Proteção de Dados (LGPD), que entrará em pleno vigor em agosto de 2020. Ela regula todas as atividades relacionadas ao tratamento de dados pessoais, além de decretar que todas as empresas, independentemente do porte, devem investir em compliance e cibersegurança a fim de detectar, prevenir e evitar violações.
Um dos meios de fortalecer a segurança dentro das instituições é por meio da criação de uma política de segurança da informação (PSI). Pensando nisso, falaremos a seguir sobre o que é essa política e como implementá-la na sua empresa. Continue a leitura.
O que você vai conferir:
O que é uma PSI?
A política de segurança da informação é um documento composto por diretrizes, técnicas e boas práticas relacionadas ao uso, coleta, armazenamento e descarte seguros de dados e informações. É um manual constituído por ações que garantem a segurança e não violação do sistema. Seu principal objetivo é preservar três princípios básicos da segurança corporativa: confiabilidade, integridade e disponibilidade.
Muitas empresas já trabalham com uma política interna de segurança da informação, mas isso deve ser fortalecido nos próximos meses e anos. Isso porque a Lei Geral de Proteção de Dados recomenda fortemente que cada organização elabore e siga à risca sua própria PSI, a fim de melhor seguir as diretrizes da lei.
Como criar uma PSI?
Diagnóstico prévio
O primeiro passo para elaborar uma política de segurança da informação para sua empresa é realizar um levantamento e avaliação de todas as informações que devem ser protegidas e ter conhecimento da atual estrutura de TI da sua instituição. Para isso, recomenda-se uma análise de todos os dispositivos utilizados e identificação de todos os funcionários que tenham acesso às informações.
Confiabilidade, integridade e disponibilidade
Realizado o primeiro passo, é de extrema importância o conhecimento da relevância, por parte dos colaboradores, da PSI. Eles devem estar cientes dos três princípios de segurança corporativa — que, como já apontamos, são confiabilidade, integridade e disponibilidade.
A confiabilidade garante que somente pessoas autorizadas tenham acesso às informações, enquanto a integridade assegura a sua não violação. Finalmente, a disponibilidade permite que os dados estejam disponíveis para aqueles que precisam acessá-los.
Elaboração do documento
Antes de abordamos as questões necessárias para a elaboração do documento, é importante ressaltar que uma boa PSI deve seguir as normas ABNT NBR ISO/IEC 27001:2005, responsáveis pela normalização técnica no Brasil.
Isso posto, uma política de segurança da informação deve conter objetivos, princípios, requisitos e as seguintes normatizações:
- tecnologias de defesas, como auditorias, monitoramento de redes, criptografia, firewall e controle de acesso, ou seja, os mecanismos de defesas utilizados;
- atribuições e responsabilidades da área de TI, que incluem instalação de equipamento, instalação de softwares e outras atividades;
- responsabilidades dos colaboradores, que engloba as regras e limites que devem ser seguidos.
Além disso, é importante que vários setores participem da elaboração do documento, o que possibilita que a PSI atenda as necessidades de diversas áreas e estenda o cumprimento das regras.
Definição dos níveis de acesso
Elaborado o documento, é preciso definir quais pessoas terão acesso às informações e dados. A maneira mais simples de análise dessa etapa é responder três perguntas:
- Quais pessoas têm acesso às informações?
- De que maneira os dados são acessados?
- Em que momento isso ocorre?
É recomendado que os dados sejam disponibilizados para acesso de acordo com o cargo do profissional — somente quem realmente precisa dessas informações deve poder acessá-las. Além disso, o acesso deve ser feito por dispositivos recomendados pela equipe de TI, de preferência durante o horário comercial.
Alinhamento dos processos
Assim como em qualquer área, a implementação de um novo processo deve estar alinhado, principalmente com as equipes. Recomenda-se a realização de reuniões periódicas a fim de sanar dúvidas, repassar informações e garantir que todas as regras sejam cumpridas.
Tais discussões também possibilitam a identificação de pontos de melhoria na PSI, garantindo que ela seja alterada quando necessário para melhor atender a empresa.
Treinamento
Uma das maneiras de garantir o bom funcionamento da PSI é com o treinamento dos colaboradores. É necessário que todos eles saibam da importância do cumprimento das regras e como realizar suas atividades. Dessa forma, a equipe se sentirá engajada no objetivo de preservar a segurança e a privacidade de dados, entendendo melhor também o impacto que seu trabalho tem nisso.
Com esses passos, você é capaz de implementar um política de segurança da informação em sua empresa — basta segui-los e adequá-los de acordo com a estrutura da sua instituição. Além de muito importante para o bom uso e proteção de dados, uma PSI também contribui para que seu negócio adeque-se melhor à Lei Geral de Proteção de Dados.
E a preocupação com cibersegurança deve estar presente em todos os processos na empresa — inclusive na escolha dos fornecedores. Quer garantir um onboarding digital seguro, ágil e até dez vezes mais rápido? Conte com as soluções de Background Check, biometria facial e leitura de documentos da idwall. Entre em contato com nossa equipe pelo formulário abaixo: