Como criar uma política de segurança da informação na empresa?

A evolução das redes de computadores tornou o compartilhamento de informações cada vez mais predominante. As informações agora são trocadas a uma taxa de trilhões de bytes por milissegundo, números diários que podem se estender além da compreensão ou da nomenclatura disponível. Uma proporção desses dados não é destinada ao compartilhamento além de um grupo limitado e muitos dados são protegidos por lei ou propriedade intelectual.

A Política de Segurança da Informação é um conjunto de regras promulgadas por uma organização para garantir que todos os usuários ou redes da estrutura de TI no domínio da organização cumpram as prescrições relativas à segurança dos dados armazenados digitalmente dentro dos limites que a organização exerce sua autoridade.

Uma política pode ser tão ampla quanto os seus criadores querem: Basicamente, tudo, de A a Z, em termos de segurança de TI, e até mais. Por essa razão enumeramos neste artigo alguns elementos-chave de uma política, porém, cada organização deve decidir o que incluir, de acordo com a característica de seu negócio.

1. Propósito

Uma organização cria uma política de segurança da informação por vários motivos:

• Estabelecer uma abordagem geral para a segurança da informação
• Detectar e evitar o comprometimento da segurança da informação, como uso indevido de dados, redes, sistemas de computadores e aplicativos.
• Proteger a reputação da empresa em relação às suas responsabilidades éticas e legais.
• Observar os direitos dos clientes; Fornecer mecanismos eficazes para responder a reclamações e consultas relativas a não-conformidades reais ou percebidas.

2. Escopo

A política deve abordar todos os dados, programas, sistemas, instalações, outras infraestruturas de tecnologia, usuários de tecnologia e terceiros em uma determinada organização, sem exceção.

3. Objetivos de segurança da informação

Uma organização que se esforça para ter uma política de segurança implementada precisa ter objetivos bem definidos em relação à segurança e à estratégia adotada pela alta administração. Qualquer inconsistência neste contexto pode tornar o projeto de política tornar o projeto de política de segurança da informação disfuncional com pouca aderência ao negócio da organização. O aspecto mais importante que um profissional de segurança deve lembrar é que o fato de conhecer as práticas de gerenciamento de segurança permitirá incorporá-las aos documentos que ele está encarregado de redigir. Isso garante a integridade, qualidade e viabilidade da política.

A simplificação da linguagem da política é algo que pode suavizar as diferenças e garantir o consenso entre os colaboradores. Consequentemente, expressões ambíguas devem ser evitadas. Cuidado também com o significado correto de termos ou palavras comuns. A redundância deve ser evitada para não tornar os documentos longos e fora de sincronia. No final, excesso de detalhes podem impedir a conformidade completa da política.

O profissional de segurança deve certificar-se de que a política tenha uma importância institucional igual às outras políticas adotadas na corporação. Nos casos em que uma organização tem uma estrutura complexa, as políticas podem diferir e, portanto, recomenda-se que sejam segregadas para definir as transações no subconjunto pretendido dessa organização.

A segurança da informação é considerada como salvaguarda de três objetivos principais que são conhecidos como pilares da segurança da informação ou tríade:

• Confidencialidade – os dados e os ativos de informação devem ser confiados às pessoas autorizadas a acessar e não serem divulgadas a outras pessoas;
• Integridade – manter os dados intactos, completos e precisos, incluindo os sistemas de TI operacionais;
• Disponibilidade – um objetivo que indica que a informação ou o sistema está à disposição dos usuários autorizados quando necessário.

Donn Parker, um dos pioneiros no campo da segurança de TI, expandiu esse paradigma triplo ao sugerir também “autenticidade” e “conformidade”.

4. Autoridade e Política de Controle de Acesso

Normalmente, uma política de segurança tem um padrão hierárquico. Isso significa que uma equipe de menor nível hierárquico é geralmente obrigada a não compartilhar a pouca quantidade de informação que possuem, a menos que seja explicitamente autorizado. Por outro lado, um gerente ou um profissional sênior pode ter autoridade suficiente para tomar uma decisão sobre quais dados podem ser compartilhados e com quem, o que significa que eles não estão presos pelos mesmos termos da política de segurança da informação. Portanto, a lógica exige que a política aborde todas as posições básicas da organização com especificações que esclarecem seu status de autoridade.

Em essência, é delegação de controle baseada em hierarquia na qual um pode ter autoridade sobre seu próprio trabalho. Um gerente de projeto, por exemplo, tem autoridade sobre arquivos de projeto pertencentes a um grupo para o qual ele é designado. O administrador do sistema da mesma forma tem autoridade somente sobre arquivos de sistema – que lembra o da doutrina da separação de poderes. Obviamente, um usuário pode ter a “necessidade de saber” para um tipo específico de informação. Portanto, os dados devem ter um atributo de granularidade suficiente para permitir o acesso autorizado apropriado. Esta é a linha fina para encontrar o equilíbrio delicado entre permitir acesso àqueles que precisam usar os dados como parte de seu trabalho e negar acessos não autorizados.

5. Classificação de dados

Os dados podem valores diferentes. As graduações no índice de valor podem impor a separação e regimes / procedimentos de manuseio específicos para cada tipo. A política de classificação de dados pode organizar todo o conjunto de informações da seguinte forma:

• Classe de Alto Risco – dados protegidos por leis estaduais e federais (Lei de Proteção de Dados, HIPAA, PCI), bem como finanças, folha de pagamento e pessoal (requisitos de privacidade) são incluídos aqui.
• Classe Confidencial – os dados desta classe não gozam do privilégio de estar sob a lei, mas o detentor dos dados julga que deve ser protegido contra divulgação não autorizada.
• Classe Pública – Esta informação pode ser distribuída livremente.

Os proprietários de dados devem determinar tanto a classificação de dados quanto às medidas exatas que um custodiante de dados precisa adotar para preservar a integridade de acordo com esse nível.

6. Suporte e Operações de Dados

Nesta parte, podemos encontrar cláusulas que estipulam:

• As regras dos mecanismos gerais do sistema responsáveis pela proteção de dados
• O backup de dados
• Movimento de dados

7. Conscientização de segurança

O compartilhamento de políticas de segurança de TI com a equipe é um passo crítico. Fazê-los ler e assinar um documento não significa necessariamente que eles estejam familiarizados ou entendam as novas políticas. Uma sessão de treinamento envolveria os funcionários em uma atitude positiva em relação à segurança da informação, o que garantiria que eles tivessem uma noção dos procedimentos e mecanismos em vigor para proteger os dados, níveis de confidencialidade e problemas de sensibilidade dos dados. Esse treinamento de conscientização deve abordar um amplo escopo de tópicos vitais: como coletar / usar / excluir dados, manter a qualidade dos dados, gerenciamento de registros, confidencialidade, privacidade, utilização apropriada dos sistemas de TI, uso correto das redes sociais etc.

8. Responsabilidades, direitos e deveres do pessoal

Definir a responsabilidade de pessoas nomeadas para executar a implementação, a educação, a resposta a incidentes, as revisões de acesso do usuário e as atualizações periódicas de uma política de segurança da informação.

A prevenção de roubo, o conhecimento de informações e os segredos industriais que poderiam beneficiar os concorrentes estão entre os motivos mais citados pelos quais uma empresa pode querer empregar uma política para defender seus ativos digitais e seus direitos intelectuais.

9. Outros itens que uma política de segurança da informação pode incluir:

Referências a legislação relevante, Procedimento de Proteção contra Vírus, Procedimento de Detecção de Intrusão, Procedimento de Trabalho Remoto, Diretrizes Técnicas, Auditoria, Exigências para Funcionários, Consequências para Não-conformidade, Ações Disciplinares, Funcionários desligados, Segurança Física de TI, Referências a Documentos de Suporte e assim por diante.

Algumas organizações, sem pensar muito, optam por baixar amostras de políticas de TI de um site e copiar / colar esse material pronto na tentativa de reajustar de alguma forma seus objetivos e metas de políticas a um molde que normalmente é grosseiro e de amplo espectro. Compreensivelmente, se o ajuste não for muito certo, o resultado não será satisfatório.

Uma Política de Segurança da Informação de alta qualidade pode fazer grande diferença na sua empresa. Maior eficiência, maior produtividade, clareza dos objetivos de cada entidade, entendimento dos dados que devem ser protegidos e por quê, identificar o tipo e os níveis de segurança necessários e definir as práticas recomendadas de segurança da informação são motivos suficientes para fazer esta documentação da forma mais adequada. Se você deseja liderar uma empresa com mais chances de prosperar na era digital atual, certamente precisa ter uma boa política de segurança da informação.