Leis e Regulamentações

Veja o que é e como criar uma política de segurança da informação

A política de segurança da informação estabelece princípios, orientações e regras para proteger os dados que estão sob posse da empresa.
Arquivar
Postado em 19 de junho de 2020
política de segurança da informação

A política de segurança da informação estabelece princípios, orientações e regras para proteger os dados que estão sob posse da empresa. Além de atender aos processos e objetivos internos da organização, busca garantir aderência às leis que tratam do assunto, como a Lei Geral da Proteção de Dados.

A criação desse documento é essencial para estabelecer uma orientação consistente e padronizada. Considerando que o Brasil é o segundo país com mais perdas por ataques cibernéticos, esse cuidado é extremamente necessário.

Para descobrir tudo sobre essa questão, veja como elaborar uma política de segurança da informação e entenda quais são os pontos-chave:

Quais os critérios para alcançar a segurança da informação?

A proteção de dados se baseia em três pilares, que devem orientar o desenvolvimento de uma política de segurança. 

1- Confidencialidade

A confidencialidade diz respeito à capacidade de impedir acessos não autorizados a dados considerados sensíveis. Em termos da Lei Geral de Proteção de Dados, os elementos sensíveis são aqueles que identificam:

  • origem racial ou étnica;
  • visões políticas;
  • crenças religiosas ou filosóficas;
  • participações sindicais;
  • questões biométricas, genéticas e de saúde; e
  • orientação e vida sexual.

2- Integridade

A integridade demanda que os dados pessoais sejam modificados apenas de modos especificados e autorizados pelo dono da informação. Dependendo do caso, a política de segurança deve indicar o grau de precisão que é exigido para a mudança — como deletar somente informações repetidas ou inválidas de um sistema.

3- Disponibilidade

A disponibilidade se relaciona com o bom funcionamento dos sistemas no qual os dados pessoais estão armazenados e a garantia de acesso livre aos usuários autorizados. Isso envolve tanto a escolha de ferramentas que funcionam de maneira contínua quanto a facilidade de acessar os dados no momento desejado ou necessário.

Quais os benefícios da política de segurança da informação?

Ter uma política desse tipo é fundamental para proteger o negócio, seus stakeholders e os clientes. Também garante adequação às novas demandas digitais e ajuda a evitar diversos problemas e perdas. 

Tenha uma política de compliance

Estabelecer uma política sólida de compliance é uma forma de atender às necessidades legais e/ou contratuais existentes no seu negócio, com transparência e clareza de informações.

Basta pensarmos na Lei Geral de Proteção de Dados (LGPD), que define mudanças na maneira de coletar, tratar e armazenar dados. Com a criação de uma política que considere todos os agentes e processos descritos na legislação, é possível ter total aderência às regras, além de gerar um grande valor agregado a marca da empresa.

Redução de custos

O vazamento de dados pode tanto causar multas e processos quanto impactar a imagem do negócio de maneira permanente. 

Uma política de segurança da informação faz com que todas as vulnerabilidades dos processos e sistemas de armazenagem que incluam dados sejam mapeadas, permitindo que a empresa as corrija, evitando riscos. Dessa forma, minimiza riscos ao máximo, evitando a perda de dados e se preparando para possíveis eventos, como ataque de hackers, funcionários fotografando documentos, entre outros.

Otimização de processos internos

O cuidado com a segurança da informação também estabelece limites e determina como cada procedimento interno deve ocorrer. Todos os responsáveis saberão como armazenar documentos, quais dados podem ser acessados ou quais protocolos usar.

Ainda que de forma indireta ou que não seja totalmente percebido pelo público, a política de segurança da informação ajuda a criar uma experiência melhor, em todos os sentidos.

Como elaborar uma política de segurança da informação?

Uma boa ferramenta para organizar as medidas de segurança não é criada de uma só vez. Como se trata de algo tão relevante para o sucesso da empresa, o ideal é pensar em uma estruturação feita em etapas.

Diagnóstico

Tudo deve começar com uma identificação sobre os principais problemas, “gaps” de proteção e vulnerabilidades. Se os documentos forem armazenados apenas de forma física, por exemplo, há o risco de se perderem, de serem alterados ou de serem acessados sem controle. Portanto, isso deverá receber atenção redobrada por se tratar, diretamente, da segurança da informação.

Imagine o caso de uma empresa que ainda tem a maioria dos documentos em papel. Será preciso planejar a transição por meio da digitalização, além de incluir as medidas necessárias para proteger os dados.

Uma empresa que já tenha uma política de segurança da informação desatualizada, por outro lado, precisará de medidas diferentes, como substituições de protocolos e criação de outros processos de proteção.

Elaboração

A partir da identificação das principais vulnerabilidades e dos objetivos estratégicos, é a hora de começar a elaborar a política de segurança da informação. A ideia é compor uma espécie de “manual” para que todos os usuários saibam como agir diante de certas situações.

É nesse documento, também, que são definidos critérios e a criação de padrões organizacionais, como:

  • a maneira de armazenar informações;
  • documentos possuem dados sensíveis;
  • quais documentos necessitam de tratamento específico;
  • o papel de cada colaborador no processo de tratamento de documentos;
  • o processo de autorização de acesso a cada tipo de documento;
  • qual departamento terá acesso a cada tipo de dado;
  • a temporalidade e o tempo de guarda de cada documento, entre outros.

Educação

Antes de finalizar a política de segurança da informação, é interessante colher feedback e entender a opinião dos principais impactados: os colaboradores. 

Durante esse período, divulgue as regras e indicações previstas na política, qual o papel de cada pessoa da política, como cada um deve agir, e o que é proibido. Fotografar, fazer cópias sem autorização ou sem registro devem ser ações proibidas. Tudo que for feito com a documentação deve ser registrado. Por isso, ter um sistema que permita o controle de acesso de cada usuário, forneça relatórios de acesso, e fazer todo o controle da temporalidade documental tem um papel fundamental na implementação da política.

Implementação

Para que a implementação seja bem-sucedida, é essencial analisar as necessidades de cada empresa e departamento. Pode ser o caso de contratar uma empresa especializada em tratamento de documentação e um software específico para a digitalização e armazenamento de documentos. Assim, é possível que além de fazer a gestão eletrônica de documentos e atender às demandas da política.

Também é interessante pensar em um framework padronizado. Isso ajuda a garantir a qualidade e serve como um “roteiro” do que deve ser feito. Entre os frameworks mais famosos, estão COBIT, ISO 27001 e ITIL e ISO 20000.

A norma ISO 27001, por exemplo, foi editada em 2005, com constantes atualizações. Ela define diversas etapas que devem ser adotadas, como:

  • políticas de segurança;
  • organização da segurança da informação;
  • segurança de recursos humanos;
  • gestão de bens;
  • controle de acessos;
  • criptografia;
  • segurança física e ambiental;
  • segurança de operações;
  • segurança de comunicações;
  • aquisição, desenvolvimento e manutenção de sistemas;
  • relações com fornecedores;
  • gestão de incidentes de segurança da informação;
  • aspectos de segurança da informação na gestão da continuidade do negócio;
  • conformidade.

Cada controle reúne um conjunto de boas práticas para aplicar e padronizar a atuação. Para obter a certificação, é necessário se submeter à auditoria, que vai conferir se todos os critérios foram atendidos.

Monitoramento

Assim que a implementação for concluída, é preciso fazer constante ao monitoramento. A ideia é entender se todos os processos têm funcionado conforme o esperado, e fazer melhorias caso necessário.

É natural que ocorram algumas falhas ou dificuldades no começo. Tudo isso deve ser acompanhado e corrigido com proatividade e consideração quanto aos impactos em outros processos. 

Atualização

A definição de uma política de segurança não se encerra com a implementação. A partir disso, devem ser executadas atualizações para eliminar vulnerabilidades ou processos que se tornaram obsoletos.

Como os softwares certos podem ajudar?

Primeiramente, uma empresa especializada como a Arquivar pode ajudar no levantamento de dados necessários para criar a política, e auxiliar no diagnóstico, planejamento, implantação e atualização constante da política da informação.

A gestão eletrônica de documentos (GED) permite a rastreabilidade, livre acesso, qualidade e prestação de contas dos dados. Controlar e registrar acessos se torna mais simples e objetivo em um software GED. Essa ferramenta te auxilia na: 

  • digitalização;
  • organização da informação;
  • localização de informações e dados;
  • controle de acesso;
  • comprovação do cumprimento das normas.

Além disso, é uma forma de melhorar o controle sobre quem acessa ou imprime documentos e das alterações realizadas. Somando isso a um backup consistente, tais dados ficam completamente protegidos.

Portanto, é indispensável selecionar o software adequado nesse sentido, bem como outras ferramentas, como antivírus e bloqueadores de programas maliciosos. Com a ajuda desses passos e o uso dos recursos certos, é possível alcançar os resultados esperados.

Se quiser ter mais informações para o seu negócio, cadastre-se em nossa newsletter e não perca nenhuma novidade!

Ligamos para você