Nenhuma mudança é confortável, especialmente quando pode envolver o processo de determinados profissionais
Uma mudança cultural é uma ação importante mas potencialmente a mais difícil para qualquer ambiente, sendo recomendada c0mo prática de longo prazo.
Dentro desse contexto, muitos usuários passam a apoiar-se nas política de segurança de dados, buscando reportar ações suspeitas.
Qual a importância de uma política de segurança da informação
Empresas sem uma política de proteção de dados formalizada pode ter problemas na produção de campanhas de conscientização pelo simples fato de não terem uma base de conhecimento pública para seus funcionários entenderem o que é importante.
Se a sua empresa está no processo de criação ou até mesmo adaptação do plano vigent, é importante considerar os seguintes fatores na hora de elaborar uma política de segurança de dados:
- Classificação de sensibilidade dos dados
Antes de qualquer coisa, é necessário categorizar o nível de sigilo dos dados da empresa.
Entenda por dado todo tipo de informação, desde número de funcionários a faturamentos e informações de clientes e fornecedores.
É de extrema importância definir os tipos de dados que percorrem pelos servidores de uma empresa antes de definir sua estratégia de proteção, bem como definir seus níveis de sigilo.
Isto é, criar um controle de acesso a partir de uma análise de lacunas, de acordo os requisitos da norma ISO 27001:
Considerado o padrão e referência em Segurança da Informação, a norma ISO 27001 é aperfeiçoada de maneira contínua desde sua origem, em 1922.
Sua adoção cria um modelo holístico de segurança da informação ao tratar diversos temas, como: telecomunicações, recursos humanos, licenciamento, etc.
Seu grande diferencial é o fato de ser independente de fabricantes, com foco no estabelecimento de processos que podem ser materializados à realidade de cada organização.
Esses dados podem ser categorizados como públicos, internos, confidenciais ou secretos, e devido a isso suas demandas de proteção são muito diferentes.
Por exemplo, dados como o balanço financeiro da empresa podem ser categorizados como confidenciais, dependendo da modalidade do CNPJ, já informações como número de funcionários podem ser públicas ou confidenciais, tudo vai depender da estratégia da organização.
Com isso definido é possível entender quem terá acesso a determinados dados e qual será o procedimento para definir seu fluxo de acessos ou necessidade de proteção.
- Processos e ferramentas da Política de Segurança de Dados
Considerado o padrão e referência em Segurança da Informação, a norma ISO 27001 é aperfeiçoada de maneira contínua desde sua origem, em 1922.
Sua adoção cria um modelo holístico de segurança da informação ao tratar diversos temas, como: telecomunicações, recursos humanos, licenciamento, etc.
Seu grande diferencial é o fato de ser independente de fabricantes, com foco no estabelecimento de processos que podem ser materializados à realidade de cada organização.
Esses dados podem ser categorizados como públicos, internos, confidenciais ou secretos, e devido a isso suas demandas de proteção são muito diferentes.
Por exemplo, dados como o balanço financeiro da empresa podem ser categorizados como confidenciais, dependendo da modalidade do CNPJ, já informações como número de funcionários podem ser públicas ou confidenciais, tudo vai depender da estratégia da organização.
Com isso definido é possível entender quem terá acesso a determinados dados e qual será o procedimento para definir seu fluxo de acessos ou necessidade de proteção.
- Tempo e processo de implementação
Para empresas que operam de maneira muito diferente, talvez o processo de aplicação de uma nova política de proteção de dados não seja tão fácil.
Mas é um erro pensar que somente a parte tecnológica importa no processo, pois se as práticas afetam a rotina de funcionários, eles também precisam enxergar seus benefícios e sua importância.
É preciso considerar que para qualificar a equipe a trabalhar da forma mais segura possível, é necessário um treinamento constante a respeito de segurança da informação e o cumprimento de uma agenda de atualização da PSI.
- Qual o perfil da empresa?
Processos muito complexos para uma empresa menos tradicional podem não funcionar tão bem, por isso uma das principais etapas de implementação de políticas de segurança da informação é analisar o perfil da organização para trabalhar em ações personalizadas.
O momento também é ideal para mapear todas as perguntas que devem ser respondidas: qual a finalidade de implementação, quem são os responsáveis, a quem recorrer em situações emergenciais, o que deve ser protegido e em quanto tempo tudo estará implementado.
- Treinamento, disponibilidade e compromisso
Se os processos irão mudar, os funcionários precisam ser instruídos para aplicar as novas diretrizes, e dependendo da intensidade da mudança, treinamentos específicos podem ser necessários.
Após todos os processos serem ensinados, é interessante que os participantes se comprometam formalmente a cumprir o que foi aprendido.
E para garantir que não restem dúvidas, além de pontuar as pessoas que podem auxiliar no esclarecimento, é interessante criar um canal para que todos possam revisar os itens sempre que necessário.
Em longo prazo, o treinamento tem o foco em que cada colaborador possa ser mais produtivo na utilização dos sistemas e tenha consciência dos riscos de maus hábitos online como visualizar spams e acessar conteúdo de fontes desconhecidas.
- Normas
O que é permitido e proibido para que as políticas sejam cumpridas?
Regras para o uso de softwares e equipamentos, bloqueio de sites e aplicativos são algumas das normas que podem ser necessárias para a aplicação da PSI.
Isso evita o inconveniente de um malware ser embutido nos arquivos da empresa após uma pesquisa descuidada na internet.
- Planos de contingência
E se mesmo com a política de segurança da informação algum dado for comprometido? E se o usuário tiver problemas e ninguém próximo para auxiliar?
É preciso definir planos de contingência para que todos possam tomar decisões rápidas e assertivas nos momentos críticos, uma estratégia que depende exclusivamente de uma pessoa ou local único para acesso, está fadada ao erro, pois imprevistos sempre podem acontecer.
Esse plano deve ser traçado a partir de um estudo dos riscos que a empresa corre e visando passos como: diagnóstico, definir prioridades, ciência dos colaboradores de como seguir esse plano e estratégias pré-definidas.
- Alinhamentos internos
Durante a criação da política de segurança da informação é também importante manter todos os diferentes setores da organização alinhados para que seja possível compreender como isso afetaria cada uma das áreas.
Além disso, o RH precisa estar muito presente durante o processo, pois eles terão papel fundamental no planejamento instrutivo das medidas apresentadas.
- Avaliação e atualizações
Com o plano aplicado, é preciso analisar periodicamente os impactos causados por ele.
Paralelo a isso, independente do sucesso da estratégia principal, é preciso estar informado sobre práticas e novas tecnologias que possam tornar as coisas cada dia melhores e mais efetivas.
Será que você é um mestre da segurança da informação?
Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.
Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.
Como manter uma empresa segura?
Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua sempresa.
