Você já ouviu falar em PSI ou política de segurança da informação? Este assunto tem tanta relevância que é objeto de lei no Brasil e ao redor do mundo.
O Decreto nº 9.637/2018 instituiu a Política Nacional de Segurança da Informação no âmbito da administração pública federal para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação em todo o país.
No mesmo sentido, a norma ISO 27001 é a norma padrão e referência internacional para a gestão da segurança da informação.
Ela define a segurança da informação como “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades do negócio”.
Esse é o propósito de se estabelecer uma política de segurança da informação. Quer entender melhor sobre o tema?
Acompanhe!
O que é a política de segurança da informação (PSI)?
A política de segurança da informação é um documento que define regras, práticas e responsabilidades para a proteção de dados e sistemas de informação de um órgão, empresa ou instituição.
No ambiente empresarial, ela deve incluir diretrizes sobre como os funcionários devem lidar com dados confidenciais, quais tipos de acesso à informação são permitidos, como os dispositivos móveis devem ser protegidos e quais medidas devem ser tomadas em caso de violação de segurança.
No mesmo sentido, ela pode especificar os requisitos para a criptografia de dados, o controle de acesso às redes e a auditoria dos sistemas.
Qual é o objetivo da política de segurança da informação?
O objetivo da PSI ou política de segurança da informação é minimizar os riscos de violações ou perdas de qualquer ativo de TI.
Em outras palavras, é proteger as informações de empresas, órgãos ou instituições, garantindo que elas atendam às normas brasileiras e internacionais ao mesmo tempo em que não impeçam nem dificultem o processo do negócio.
Para tanto, é preciso pensar em normas da política de privacidade e segurança da informação capazes de garantir também:
- A participação e o cumprimento por todos os colaboradores;
- O compromisso da empresa em proteger as informações de sua propriedade e/ou sob sua guarda;
- A confiabilidade das informações por meio da preservação da integridade, da confidencialidade e da disponibilidade dos dados da empresa.
Entendeu qual é o objetivo da política de segurança da informação? Para que ele seja cumprido no âmbito empresarial, é preciso que a PSI seja elaborada em conformidade com as regulamentações do segmento.
Afinal, bancos e corretoras terão políticas bem diferentes do que uma empresa do segmento de food service, certo?
Qualquer que seja o caso, porém, é importante saber qual a importância da política de segurança da informação.
Qual a importância da política de segurança da informação?
Após entender o que é a política de segurança da informação, o gestor consegue entender sua importância para a empresa.
Por ser um conjunto de diretrizes e normas que guiam as condutas e práticas dos profissionais em relação à informação, esta política é uma aliada da proteção dos dados e sistemas de uma empresa.
Além disso, ela também pode incluir medidas para garantir a confidencialidade, integridade e disponibilidade dos dados.
Então, quando você pensar em qual a importância da política de segurança da informação, tenha em mente que ela é essencial para garantir que os dados da empresa estejam protegidos contra ameaças internas e externas.
Conheça os 4 pilares da segurança da informação
Uma boa política envolve a segurança e a defesa cibernéticas, a segurança física e a proteção de dados organizacionais, bem como as ações destinadas a assegurar os quatro pilares da segurança da informação: disponibilidade, confidencialidade, integridade e autenticidade da informação.
Também chamados de princípios da segurança da informação, eles estão descritos no Decreto 9.637/2018. Confira a seguir com detalhes cada um deles!
1. Confidencialidade
O princípio da confidencialidade determina que certa informação, fonte ou sistema deve estar acessível apenas a pessoas autorizadas.
Em outras palavras, caso um indivíduo não autorizado acesse, intencionalmente ou não, uma informação sigilosa, haverá quebra de confidencialidade.
Imagine as instituições financeiras que baseiam sua política de segurança da informação na ISO 27001. Elas precisam proteger informações sigilosas de seus correntistas, evitando ataques cibernéticos que podem comprometer a continuidade de seus negócios.
Ou seja, precisam manter a confidencialidade das informações sob sua custódia para que as pessoas não sejam expostas a riscos.
2. Integridade
O princípio da integridade estabelece que certa informação deve ser correta, confiável e sem alterações não autorizadas.
Ou seja, as empresas devem manter os dados intocados, adotando precauções para que eles não sejam modificados ou eliminados sem autorização, para preservar sua confiabilidade e originalidade.
Se isso não ocorrer, as informações podem ser interpretadas erroneamente, gerando rupturas no compliance do negócio e, em algumas situações, sanções relevantes.
3. Disponibilidade
O princípio da disponibilidade determina que a informação deve estar sempre acessível para uso legítimo de pessoas autorizadas.
No ambiente corporativo, a disponibilidade é de extrema relevância para a continuidade das atividades.
Já pensou se, na hora de assinar um contrato eletrônico, você não consegue sequer acessar o documento digitalizado? E o que dizer de um ataque de hacker que deixa seu sistema de vendas indisponível por um dia inteiro?
Manter a disponibilidade é, assim, uma forma de minimizar riscos e evitar perdas financeiras.
4. Autenticidade
Por fim, o princípio da autenticidade se refere à garantia de que a informação é proveniente de uma fonte confiável e que não foi alterada por terceiros não autorizados.
Ele visa preservar a identidade e a credibilidade dos emissores e receptores da informação, bem como a validade dos dados transmitidos.
Para assegurar a autenticidade da informação, é preciso utilizar mecanismos de controle de acesso, assinatura digital, certificação e criptografia de dados.
Agora que você já sabe o que é política de segurança da informação, sua importância e seus objetivos, que tal conhecer seus benefícios?
Quais benefícios a política de segurança da informação pode trazer ao seu negócio?
Imagine que sua empresa está baseando a política de segurança da informação na ISO 27001, obedecendo aos princípios que acabamos de mencionar.
Quais os benefícios esperados para o negócio ao elaborar uma boa PSI? Começamos pela adesão à LGPD!
Adesão à LGPD
A Lei Geral de Proteção de Dados Pessoais ou LGPD (Lei n° 13.709/18) instituiu normas sobre coleta, armazenamento, processamento e tratamento de dados pessoais.
Desde 2018, portanto, os controladores e operadores de dados pessoais, como é o caso das empresas, precisam adotar uma série de condutas para se adequarem à lei.
De acordo com o artigo 6º da lei, as atividades de tratamento de dados pessoais devem observar, dentre outros princípios, o princípio da segurança. Por definição (inciso VII), segurança é: “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
É exatamente este o objetivo de uma boa política de privacidade e segurança da informação, certo? Por isso, a adesão à LGPD é um dos benefícios experimentados por quem elabora a PSI.
Redução de riscos
Você sabia que a LGPD estabelece sanções para aqueles que não cumprem suas regras, que envolvem desde uma simples advertência a multas de alto valor (até R $50 milhões por infração)?
Os negócios lidam com uma quantidade enorme de informações e precisam definir ações para prevenir ameaças à confidencialidade, à integridade e à disponibilidade dos dados. Qualquer deslize pode ocasionar sanções legais.
Ou seja, é fundamental conhecer esses riscos e ter uma política para evitar ataques aos sistemas empresariais, resguardando as informações dos stakeholders, especialmente aquelas confidenciais.
Com uma política de privacidade e segurança da informação bem definida, o gestor consegue reduzir consideravelmente esses riscos. Dessa forma, a organização terá bons mecanismos de proteção contra falhas de segurança e ameaças internas.
Colaboradores alinhados
Quando explicamos o que é política de segurança da informação, apontamos que o documento traz diretrizes sobre a forma de atuação dos funcionários frente aos dados confidenciais.
Diante do conceito, podemos entender que essa política traz um grande benefício para o negócio quando o assunto é segurança dos dados: alinhamento dos colaboradores.
As diretrizes acerca do uso ideal da informação é determinada e comunicada aos times, de modo que cada profissional sabe exatamente a postura esperada ao lidar com os diversos níveis de confidencialidade e importância.
O relatório “Fast Facts”, da Trend Micro, colocou o Brasil na quarta posição de países que mais sofrem com mais ataques disseminados por e-mail no mundo.
A análise registrou mais de 9 bilhões de ameaças cibernéticas em janeiro de 2022. Delas, 64% (ou 5,77 bilhões) foram praticadas via correio eletrônico.
Os ataques cibernéticos envolvendo anexos de e-mail maliciosos são uma prática comum que só é possível devido ao descuido dos profissionais.
Ou seja, com o conhecimento da política, é possível combater atitudes potencialmente prejudiciais ao negócio em relação à segurança da informação.
Maior transparência e eficiência
Com a política implementada, há uma consequência natural das boas práticas relacionadas ao tratamento das informações: maior transparência e eficiência do negócio.
Isso porque a política deve ser um documento claro e objetivo para que todos os profissionais, inclusive de gestão, saibam exatamente qual padrão seguir nos fluxos de trabalho.
É exatamente esse conhecimento que permite o aumento na eficiência na rotina empresarial.
Melhora na experiência do usuário
Por fim, a empresa que se preocupa com as condutas de segurança da informação adotadas e estabelece uma política proporciona melhorias na experiência de usuários internos e externos.
Afinal, suas práticas são voltadas à proteção dos dados e à minimização dos riscos, o que leva à redução dos danos à infraestrutura de TI da empresa e eventuais danos à reputação.
Diante de tantos benefícios, é preciso se perguntar: como fazer uma política de segurança da informação?
Como fazer uma política de segurança da informação?
Como apontamos, a PSI é um conjunto de diretrizes e procedimentos que visam proteger dados e sistemas de computadores de ameaças externas e internas.
E será que existe um modelo de política de segurança da informação para seguir? Cada empresa pertence a um segmento e apresenta demandas diferentes, mas há quatro macro etapas comuns a todas:
- Planejamento: momento de avaliar a situação atual da empresa. Na prática, é a etapa de identificar ameaças e vulnerabilidades (atuais e potenciais), classificar a confidencialidade e o tipo das informações (públicos, confidenciais, internos etc.) e considerar os diferentes níveis de acesso.
- Elaboração das normas: a partir do levantamento do planejamento, é hora de definir normas sobre uso dos recursos de proteção de dados, de dispositivos e sistemas, além de regras sobre níveis de acesso aos dados, rotinas de auditoria e sanções aplicáveis por violação das normas.
- Implementação: envolve a comunicação do conteúdo a todos (inclusive o alto nível de gestão), a educação e o treinamento dos usuários das tecnologias empresariais, e o investimento em ferramentas tecnológicas que contribuem para a aplicação da política.
- Monitoramento: após a implementação da política, suas ações devem ser revistas periodicamente para se manter funcional e ativa. É a forma que o gestor possui de corrigir falhas e reforçar condutas eficazes.
A segurança da informação tem íntima relação com a tecnologia, motivo pelo qual reforçamos a necessidade de utilizar boas ferramentas para garantir a eficácia da sua PSI.
Exemplo de política de segurança da informação
Como acabamos de apontar, não existe um modelo de política de segurança da informação genérico que sua empresa pode seguir.
Pelo contrário, ela deve observar as etapas de planejamento (diagnóstico), elaboração das normas, implementação e monitoramento.
Ao segui-las, o responsável pela elaboração do documento conseguirá definir, por exemplo, as regras para utilizar senhas de acesso, as políticas de atualização dos softwares, a classificação de dados (confidenciais, secretos, internos e públicos), e muito mais.
Confira a seguir um exemplo de estrutura para sua política baseada no documento do Banco Alfa:
1. Objetivo
2. Responsabilidade
3. Público Alvo
4. Diretrizes Gerais
4.1.Tratamento da informação
4.2. Acesso à informação
4.3. Sistemas aplicativos
5. Diretrizes Específicas
5.1.Tratamento da informação
5.2. Segurança quanto às pessoas
5.3. Segurança lógica de redes, computadores, sistemas e aplicativos
5.4. Segurança no acesso de prestadores de serviço
5.5. Segurança física de computadores e padrões para instalação
5.6. Segurança física dos servidores de rede e padrões para instalação
5.7. Backup e recuperação: práticas e responsabilidades
5.8. Testes regulares de armazenamento e recuperação de dados
5.9. Pirataria
5.10. Utilização segura de hardware e software
5.11. Acesso à internet
5.12. Acesso ao e-mail
5.13. Plano de continuidade do negócio
5.14. Plano de conscientização de segurança da informação
5.15. Canais de relacionamento com o cliente
5.16. Plano de resposta a incidentes
5.17. Contratação de serviços em nuvem
Você pode ainda ter modelos de termo de responsabilidade como anexos dentro do seu documento de política, certo?
A tecnologia como aliada na segurança das informações empresariais
Existem inúmeras ferramentas tecnológicas que contribuem para a segurança das informações empresariais. O foco delas é tornar todo o processo relacionado aos dados mais seguro e eficiente.
Há, por exemplo, sistemas de gestão que armazenam dados na nuvem com base em criptografia, impedindo o acesso indevido de pessoas não autorizadas.
Outras soluções são muito conhecidas no setor de cibersegurança, como firewalls e antivírus corporativo.
E existem ferramentas mais específicas que também são aliadas da segurança das informações empresariais, como as plataformas de assinatura digital.
É o caso da TOTVS Assinatura Eletrônica, solução da maior empresa de tecnologia do Brasil.
TOTVS Assinatura Eletrônica
O sistema de assinatura eletrônica da TOTVS é uma ferramenta importante para a segurança da informação nas empresas.
Essa plataforma centralizada de gestão de assinaturas eletrônicas traz agilidade e produtividade para os negócios, segurança e validade jurídica aos documentos.
Em um só lugar, ela permite o armazenamento e a gestão eletrônica de documentos, oferecendo mais segurança na guarda das informações armazenadas no ambiente TOTVS Cloud.
Vale destacar ainda que a solução adota o padrão de criptografia SHA 256 para garantir total segurança em suas assinaturas eletrônicas ou digitais.
Conheça e experimente grátis por 30 dias o TOTVS Assinatura Eletrônica!
Conclusão
A política de segurança da informação é um documento com regras e práticas que evitam vazamentos de informações privilegiadas, invasões de sistemas e outros tipos de ataques.
A política deve ser bem definida, e todos os funcionários da empresa devem estar cientes dela. Além disso, é importante que a política seja revisada periodicamente para garantir que ela esteja sempre atualizada.
Quando isso acontece, a empresa experimenta uma série de benefícios, como a facilidade em aderir à LGPD, o alinhamento dos profissionais, e a redução dos riscos empresariais.
Conheça também boas práticas para proteger sua empresa dos ciberataques!
Acompanhe o blog da TOTVS e assine as nossas newsletters!
Deixe aqui seu comentário