A política de segurança da informação é o documento que orienta e estabelece as diretrizes organizacionais no que diz respeito à proteção de ativos de informação, devendo, portanto, ser aplicado a todas as esferas de uma instituição.
Para isso é preciso estabelecer quais são as normas de segurança da informação e as deixar à disposição de cada colaborador. É possível inserir regras com relação às informações sobre sites de acesso proibido, impossibilitar o uso de dispositivos externos em equipamentos corporativos, dispor de recomendações para não compartilhar senhas por e-mail ou em voz alta, orientar sobre os cuidados com os equipamentos eletrônicos da instituição, entre outras normas essenciais.
A Política de Segurança da Informação (PSI), como é chamada, deve ser solidificada com base nas recomendações propostas pela norma ABNT NBR ISO/IEC 27001:2005 (reconhecida em todas as partes do mundo como um referencial à gestão da segurança da informação), bem como estar em sintonia com a legislação do país.
Uma boa PSI deve conter regras e diretrizes que orientem os colaboradores, clientes e fornecedores (bem como a própria TI da organização) com relação aos padrões de comportamento ligados à segurança da informação, condições de instalações de equipamentos, restrições de acesso, mecanismos de proteção, monitoramento e controle, entre outros cuidados imprescindíveis aos processos de negócio. O objetivo é preservar as informações quanto à integridade, confidencialidade e disponibilidade.
O que deve estar presente em uma PSI
Um bom documento que trate de política da segurança da informação deve conter, além dos objetivos, princípios e requisitos do documento, as seguintes normatizações:
- Responsabilidades dos colaboradores
- Diz respeito à imposição dos limites de uso, bem como às responsabilizações em caso de má utilização dos recursos de TI da empresa.
Nesse trecho, poderão ser inseridos regramentos com relação à impossibilidade de uso de dispositivos externos em equipamentos corporativos, informações sobre websites de acesso proibido, recomendações de preservação do maquinário da empresa, etc.
Responsabilidades da área de TI
Organizar a logística da TI da organização, configurar os equipamentos, instalar softwares e implementar os controles necessários para cumprir os requerimentos de segurança estabelecidos pela política de segurança da informação são fundamentais para que o documento elaborado tenha vida e funcionalidade na dinâmica da organização.
Informações ligadas à logística da implementação da TI na organização
Refrigeração de data centers, gestão de aplicações, organização física dos ativos de rede, recomendações de procedimentos. Tudo o que for relacionado à implementação da infraestrutura de TI na organização pode ser descrito nesse capítulo, o qual servirá como norte nessa área.
Tecnologias de defesa contra ciberataques
Big Data Analytics contra crackers, firewall, criptografia, controles de acesso, backups, auditorias, monitoramento de rede: esses são apenas alguns mecanismos de defesa utilizados nas empresas de sucesso para controle de dados sigilosos e que devem ser descritos em um
documento de segurança da informação.
Política de treinamento aos colaboradores
Um plano de treinamentos de longo prazo pode ser definido através da PSI, tendo como objetivo principal auxiliar cada funcionário a extrair de sistemas o melhor para aumentar sua produtividade dentro da empresa (além de despertar sua ciência sobre os riscos de fazer downloads por fontes desconhecidas, clicar em links não confiáveis, visualizar o conteúdo de spams).
Está interessado em um sistema desenvolvido especificamente para melhorar o desempenho da sua serventia?
Conheça o Tecnocart! Entre em contato conosco e solicite um orçamento online:⠀⠀⠀
Contato: (85) 3879-4681⠀⠀⠀⠀⠀⠀⠀⠀⠀
E-mail: contato@levontec.com.br
