Política de Segurança da Informação: entenda o conceito e por que ela é indispensável para o seu negócio

O que é segurança da informação?

+9652

Com a política de segurança da informação é determinado o grau de sigilo de determinado dado.

Apelidada de PSI pelos profissionais da área, a política de segurança da informação consiste em um documento formal, com validade jurídica, que estabelece regras para que a circulação de dados de processos e métodos seja segura e controlada dentro de uma empresa.

De forma resumida, podemos definir a PSI como a segurança da informação, ou seja, as diretrizes e normas criadas pela organização com o objetivo de instituir um ambiente homogêneo frente à tecnologia, em formato jurídico.

Nela, encontra-se o manual dos procedimentos que devem ser seguidos pelos técnicos de tecnologia da informação da organização, bem como planejamento, princípios, valores, compromissos e requisitos para alcançar um padrão desejável de proteção de informações.

Com a PSI é determinado o grau de sigilo de algum dado, objetivando, assim, minimizar o risco de furto ou perda de informações de uma companhia e gerando uma maximização do retorno sobre os investimentos.

Esse material deve ser disponibilizado a todos os funcionários da empresa e revisado periodicamente para adaptação e realização de eventuais alterações. Normalmente essa análise é feita semestralmente ou anualmente para que itens não previstos e que podem impactar na organização possam ser acrescentados.

Para garantir que a política de segurança da informação seja respeitada, a companhia deve instituir Comitê de Segurança da Informação preparado para controlar as variadas ferramentas que hoje existem para dar suporte às empresas.

Esta equipe de profissionais deve se atentar para infraestrutura tecnológica, conscientização organizacional, potenciais ameaças, questões legais, criptografia, gerenciamento de incidentes, entre outros.

Eles vão definir os controles, as diretrizes, normas e procedimentos da PSI. Não é recomendável a utilização de modelos prontos de política de segurança da informação. Isso porque cada organização tem a sua estrutura e as suas características, fazendo com que esse documento deva ser produzido de forma pessoal e intransferível. Caso contrário, não terá valor efetivo.

Quais os princípios básicos da segurança da informação?

ygv

Para a proteção das informações a corporação deve garantir a confidencialidade, integridade e disponibilidade dos dados.

Para a criação de uma política de segurança da informação, algumas normas devem ser consideradas:

  • NBR ISO/IEC 27001:2005 – Cita as melhores práticas para iniciar, implementar, manter e melhorar a gestão da segurança da informação em uma organização;
  • NBR ISO/IEC 27002:2005 – Define a informação como o resultado do processamento de dado ou conjunto de dados. Por esse motivo, corresponde a um ativo que deve ser protegido e cuidado por normas e procedimentos.

Além disso, ao pensar na proteção das informações confidenciais e no gerenciamento das mesmas, a corporação deve garantir a confidencialidade, integridade e disponibilidade dos dados.

Esses são os três princípios básicos da PSI. Para assegurá-los, são usadas estratégias, ferramentas e um sistema de gestão de segurança da informação, visto que toda ação que não esteja em conformidade com qualquer um desses itens estará comprometendo a segurança da sua companhia.

 1. Confidencialidade

Este conceito refere-se à concessão do acesso a informação apenas para pessoas autorizadas. Caso alguém não permitido tenha o acesso, proposital ou acidental, a informação fica comprometida e ocorre a quebra da confidencialidade.

Isso pode acarretar danos imensuráveis à empresa. Para evitar tais prejuízos, o recurso de mescla de dados, conhecido como criptografia, vem ganhando espaço entre os artifícios utilizados na aplicação da política de segurança da informação.

Também se aconselha estabelecer graus de sigilo: informações altamente sigilosas, parcialmente sigilosas ou nada sigilosas. Esta restrição pode ser feita com base em níveis hierárquicos de cargos dentro da organização.

 2. Integridade

O segundo princípio diz respeito à integridade, ou seja, a segurança de que a informação seja mantida no mesmo formato de quando foi salva, só podendo ser modificada por pessoas previamente autorizadas. Isso também assegura a legitimidade da informação, uma vez que esta não poderá ser furtada nem falsificada.

No entanto, todos os dados têm um ciclo de vida – criação, manutenção, maturação e descarte. Essa transição deve ser observada atentamente para que não ocorram problemas futuros por falta de atualização.

Quando não se dá a devida importância para este conceito, as informações podem ficar desprotegidas, podem ser alteradas, intencionalmente ou não, ocasionando prejuízos para a companhia.

3. Disponibilidade

Para finalizar, deve haver a garantia de que a informação estará sempre disponível, de forma segura, para o usuário autorizado que dela precisar.

Este fator interfere diretamente para avanço da empresa, pois não há obstáculos que atrasem o acesso a dados importantes para determinado negócio.

Neste caso, ocorre vulnerabilidade da política de segurança da informação quando a informação está inacessível. Isso pode ser consequência de uma simples queda no sistema ou de ataques ou invasões cibernéticas. De todo modo, é preciso cautela e atenção.

Como classificar as informações?

tgfvcc

A classificação de uma informação deve ser feita no momento de sua criação pelo detentor dos dados com base nos processos e atividades realizadas pela organização.

Cada informação possui um grau de confidencialidade. Para não haver quebra de sigilo, vazamento de dados e garantir os três princípios básicos da política de segurança da informação, é preciso hierarquizá-las.

A classificação de uma informação deve ser feita no momento de sua criação pelo detentor dos dados com base nos processos e atividades realizadas pela organização. Em seguida, deve-se analisar quais serão as consequências para a companhia em caso de divulgação da informação. Quem melhor saberá fazer essa categorização são os responsáveis pela empresa.

Toda informação que não tiver seu grau de confidencialidade explicito deverá ser considerada como reservada à organização.

Não há uma determinação quanto às categorias de classificação. Portanto, cada empresa tem a sua. No entanto, é fato que, quanto maior e mais complexa for a companhia, maior será a quantidade de níveis de hierarquização.

Por outro lado, quanto menos graus de classificação, melhor para não retardar desnecessariamente o acesso aos dados e para não aumentar o custo com esse tipo de proteção.

As informações que não estiverem mais em uso, mas necessitarem de preservação, deverão ser mantidas em um local diferente ao que estavam armazenadas, mas com igual segurança.

1. Secreta

Incluem-se nesta classificação as informações sobre vantagens competitivas, estratégias organizacionais, faturamento da empresa e detalhes técnicos de produtos ou serviços oferecidos pela companhia.

Por esse motivo, elas geralmente são restritas aos principais responsáveis pela empresa, como presidente, diretor e coordenador, e somente eles poderão classificá-las como secretas.

Esses dados exigem um controle rigoroso para não haver a menor possibilidade de ser acessado por pessoas não autorizadas.

Essas informações, se visualizadas ou divulgadas levianamente, podem gerar prejuízos de grande impacto para a organização. Assim, devem conter medidas excepcionais de controle e proteção contra acessos não autorizados e um rígido registro histórico e de identificação dos usuários que a elas tiveram acesso.

As cópias de documentos com essa classificação de restrição devem ser pré-aprovadas pelo seu criador e possuir uma identificação única. Além disso, essas reproduções devem ser guardadas junto aos originais, ou seja, em um local com controle de acesso e que possua sistemas de segurança altamente competente.

Seu transporte físico também requer prévia autorização do proprietário da informação e sua transmissão eletrônica deve ser feita com a utilização de criptografia.

A utilização desses dados para a realização de testes ou manutenção do sistema de informação é estritamente proibida e seu descarte deve ser feito de forma a não permitir sua posterior recuperação.

2. Confidencial

Esse tipo de informação é limitado a um número reduzido de pessoas por conter estratégias importantes para o sucesso técnico ou financeiro de um produto ou serviço, senhas de acesso, planos estratégicos de longo prazo e dados dos colaboradores. Sua divulgação ou acesso indevido pode gerar problemas administrativos ou o benefício de terceiros.

Para não comprometer a política de segurança da informação da empresa, normalmente essas informações ficam restritas ao nível gerencial da organização. Somente pessoas que exerçam cargos deste nível poderão classificar uma informação como confidencial.

Assim como a informação secreta, a informação confidencial também deve ser mantida em um local com controle de acesso e possuir um rígido sistema de segurança. Suas cópias, transporte físico, compartilhamento e utilização em teste para a manutenção de sistemas de informação devem ser previamente aprovados pelo detentor dos dados.

Em caso de necessidade de transmissão eletrônica é obrigatório o uso de criptografia.

Ao descartá-las, assegure-se de que não será possível recuperá-las.

3. Reservada

Nesta classificação são encontradas informações referentes à manutenção de vantagens competitivas, estratégias de curto prazo e a descrição de parte dos negócios da empresa. Esses dados normalmente são restritos a setores da organização, como departamento financeiro.

Qualquer empregado pode classificar uma informação como reservada, desde que seja do setor ao qual a informação ficará restrita.

O motivo de estar disponível apenas para um setor deve estar descrito, detalhadamente, na política de segurança da informação da companhia.

A informação restrita não deve ser divulgada, compartilhada ou publicada em ambiente externo. No entanto, se um colaborador que não tem acesso necessitar desses dados para a execução de uma tarefa, é permitida a divulgação interna ou a cópia de documentos que contenham tal informação.

É importante ressaltar que esses dados não poderão ser utilizados para a manutenção do sistema de informação sem autorização prévia de seu criador e que seu descarte deve ser feito de forma a não ser possível recuperar

4. Interna

Diferente as demais classificações citadas anteriormente, a informação interna não se limita a nenhum cargo ou setor. Ela está disponível para todos os colaboradores da empresa e refere-se aos objetivos da companhia.

Estão inclusas nesta categoria os dados referentes à estrutura empresarial, relação dos clientes, pesquisas de mercado e programas internos. A divulgação destas informações para o ambiente externo não implicará grandes impactos para a organização. No entanto, para ser transmitida, requer uma autorização do responsável por ela.

Somente as pessoas que exerçam cargos de gerência estão aptas a fazer esta classificação de sigilo.

5. Pública

As informações públicas não têm grau de sigilo. Podem ser acessadas por qualquer pessoa do ambiente interno ou externo da empresa.

Nesta categoria, encontram-se promoções, anúncios de vagas, a missão, visão e valor da companhia, catálogos de produtos, boletins informativos, dentre outros.

Por não serem sigilosos, esses dados não necessitam de mecanismos de segurança para que o acesso a elas seja controlado e registrado e sua divulgação não acarretará qualquer dano para a organização.

No entanto, para ser associada à empresa, a informação deve estar de acordo com o corporate design da companhia, seja ela em formato de documentos impressos ou arquivos virtuais.

Somente os funcionários que exercem a função de presidente, diretor ou conselheiro da diretoria poderão classificar uma informação como pública.

Qual a importância da política de segurança de informação para as organizações?

tgfvcsz

A política de segurança da informação é uma importante ferramenta para reduzir quebras sigilo.

Já presente na maioria das empresas, a política de segurança da informação estabelece as regras para a circulação de dados em uma organização, bem como o grau de confidencialidade de cada um deles.

Esta é uma importante ferramenta para minimizar os impactos de incidentes de segurança da informação, reduzindo eventuais riscos causados por quebras de confidencialidade, integridade e disponibilidade das informações da empresa e prevendo as ameaças externas.

A maior parte do investimento em PSI deve ser direcionada na implementação de artifícios tecnológicos para combater o acesso dos dados por pessoas não autorizadas e agentes externos, como firewall, antivírus, filtro de conteúdo, entre outros.

Apesar de esses recursos serem essenciais para a política de segurança da informação, sozinhos eles não terão tanta eficácia. Por isso, deve-se somar a eles uma estratégia para implementar esta nova cultura na empresa, levando em consideração não só a parte tecnológica, mas também a parte física, humana e de processos.

Essa conscientização dos colaboradores pode ser feita com workshops, palestras, campanhas internas, cartilhas, entre outros. Muitas organizações têm percebido que a vulnerabilidade das informações provém de erros humanos.

Por essa razão, recomenda-se um investimento de 40% do orçamento total para realizar um treinamento com os funcionários, fazendo que estes fiquem cientes em relação a política de segurança da informação e se comprometam a respeitar as normas nela estabelecidas.

Atualmente, a informação é encarada como um dos recursos mais importantes de uma empresa, contribuindo decisivamente para a uma maior ou menor competitividade.

Este artigo foi útil para você? Deixe seu comentário e continue acompanhando nossas publicações.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s