Por: José Mendes Varela da Silva | Consultor de Segurança de Informação
Definitivamente não é segredo que, actualmente, a tecnologia é o elemento-chave para qualquer negócio. Já reparou que, independentemente do porte ou da área de actuação das empresas, os grandes destaques do mercado operam seus principais sistemas em computadores e com grande dependência da conectividade? Esse é um dos motivos que justificam a necessidade de uma política de segurança de informação nas empresas.
Nas últimas décadas, houve um significativo aumento da quantidade de informações sensíveis circulando de um ponto a outro, tanto dentro da organização como dela para o mundo todo, via internet. E por mais que a proliferação dos dispositivos móveis e dos serviços de cloud computing sejam aspectos mais recentes, também vêm impulsionando os investimentos em ambientes de TI seguros.
Já é questão de primeira necessidade ter políticas que, documentadas, detalhem procedimentos e diretrizes para eliminar a subjectividade ao lidar com informações sensíveis. Assim, as empresas podem gerenciar os riscos por meio de controles bem definidos, que ainda fornecem referências para auditorias e acções corretivas.
Mas o que exatamente é uma política de segurança da informação? Quer entender como é desenvolvida e por que documentá-la é tão importante a empresa? Então acompanhe comigo!
Para realmente entender o que é essa política, você precisa saber o que exatamente significa segurança da informação. De acordo com a definição da norma ISO 27001, que estabelece as diretrizes gerais para a gestão da informação de uma empresa, segurança de informação nada mais é que o acto de proteger os dados da empresa (especialmente aqueles confidenciais) contra diversos tipos de ameaças e riscos — espionagens (fruto da engenharia social), sabotagens, incidentes com vírus ou códigos maliciosos e até acidentes, como incêndio e inundação.
A segurança de informação é, então, obtida pela implementação de uma gama de controles que incluem procedimentos de rotina (como as verificações de antivírus), infraestrutura de hardware e software (como a gestão de soluções para assinatura eletrônica de documentos), além da criação de uma política devidamente documentada.
Chegamos, assim, à política de segurança de informação, definida como as regras que ditam o acesso, o controle e a transmissão da informação em uma organização. Lembrando que uma política de segurança não é um documento imutável ou inquestionável. Muito pelo contrário, requer actualização constante e participação não só da direcção da empresa, mas também dos funcionários e da equipa de TI.
Quais os princípios básicos da segurança de informação?
Como se trata de uma verdadeira metodologia de protecção às informações da empresa, a PSI é implementada nas organizações por intermédio de alguns princípios básicos, os quais garantem que cada variável importante receba a devida atenção e corrobore com o objectivo central da acção que é aumentar a integridade dos sistemas de informações.
Os princípios mencionados são: confidencialidade, integridade e disponibilidade. Cada um deles denota uma postura diferente dentro da empresa, exigindo acções pontuais para que se mantenham sempre presentes.
Que benefícios ela traz à gestão da empresa?
O bem mais importante que qualquer empresa possui é justamente a informação. E especialmente hoje, com o mercado sendo obrigado a lidar com quantidades massivas de informação em diversas camadas, é preciso se manter constantemente atento às situações que envolvem o manuseio de dados.
Ataques à integridade dos sistemas das empresas vêm crescendo tanto em número como em sofisticação. Assim, informações críticas e confidenciais correm o risco de serem corrompidas, perdidas ou até mesmo de cair nas mãos da concorrência. De toda forma, os prejuízos são incalculáveis.
Com uma política de segurança da informação bem desenhada, é possível reduzir consideravelmente esses riscos, dando à organização a devida protecção contra ameaças internas e falhas de segurança.
Uma vez implementada a política de segurança de informação, o aumento da transparência e a elevação da eficiência do negócio surgem como consequências naturais. Essa política deve ser mais clara possível, para que os colaboradores entendam como organizar a informação seguindo um padrão para facilitar os fluxos de processos em todas as escalas.
Como elaborar uma política de segurança da informação?
A elaboração de uma PSI depende de alguns cuidados básicos, algumas acções prévias que ajudarão a compor a estrutura necessária e a cultura mais indicada para que todos saibam lidar com os conceitos e ferramentas.
A seguir, listamos alguns pontos que merecem ser destacados na elaboração dessa política. Vejamos:
Definição dos contornos e ferramentas necessárias.
Com já foi dito, uma política de informação deve atender aos requisitos da empresa. No entanto, essa etapa não pode ser feita só com profissionais do sector de TI, mas por todos os sectores da organização, abrangendo diferentes equipas, visto que ela será aplicada e replicada à todos os funcionários.
Nesta etapa serão definidos os processos e tarefas que poderão ser alterados para garantir a segurança. A exemplo, podemos citar:
• definição de cronogramas de backup;
• estabelecimento de regras para o uso de senhas e credenciais de acesso;
• controle de acesso aos espaços físicos;
• definição de diretrizes para o acesso à informação de diferentes profissionais e equipas, estabelecendo graus de acessibilidade;
• criação de planos de contingência e de gestão de r
iscos;
• definição das políticas de actualização de softwares.
Todas essas medidas, de alguma forma, impactam o trabalho de diferentes sectores da empresa. Daí a importância de que todos participem, já que acções pontuais, realizadas por cada funcionário, quando somadas, formam um ambiente mais seguro.