PSI: o que é e como avaliar a política de segurança da informação?
Primeiro passo para a implantação da cibersegurança, estabelece o conceito de proteção e de informação confidencial, íntegra e disponível, de forma a eliminar as ameaças, que podem prejudicar – e até mesmo paralisar – as operações. Saiba como mensurar o grau de maturidade e estabelecer os KPIs na sua organização.
“Proteção da informação de vários tipos de ameaças com o objetivo de garantir a continuidade, minimizar o risco, maximizar o retorno sobre os investimentos e as oportunidades do negócio.” Esta é a definição de segurança da informação (SI, sigla em português) de acordo com a norma ISO 27001, que também estabelece um referencial internacional para a gestão da SI.
Sabendo que nos dias atuais os dados estão entre os bens mais valiosos das organizações públicas e privadas e que as brechas de sua integridade podem ameaçar os negócios, estabeleceu-se a política de segurança da informação (PSI, sigla em português).
Trata-se de um documento completo com regras, práticas, diretrizes e procedimentos que devem ser realizados pelos times de segurança das instituições com o objetivo de mitigar a perda ou a violação das informações decorrentes de ações mal-intencionadas nestes ambientes.
No Brasil, a Política Nacional de Segurança da Informação foi instituída pelo Decreto nº 9.637/2018 no contexto da Administração Pública Federal, enfatizando seus três princípios: confidencialidade, integridade e disponibilidade dos dados, os quais são explicados a seguir:
- Confidenciabilidade: as informações são acessadas apenas por pessoas autorizadas, reduzindo as possibilidades de vazamento de dados.
- Integridade: está atrelada ao compliance, ou seja, adoção dos cuidados necessários para que os dados não sejam modificados ou eliminados sem autorização e que mantenham sua legitimidade e consistência.
- Disponibilidade: permitir o acesso às informações sempre que preciso de forma segura e eficiente.
Implantação da política de segurança da informação nas organizações
O primeiro, e mais importante ponto a ser considerado, é a importância da área de segurança dentro uma instituição.
“O processo de avaliação e gestão de riscos de cibersegurança deve ser parte da gestão estratégica de uma organização.” (Laboratório de Gestão Estratégica de Riscos na Universidade DePaul)
Com essa mentalidade adotada por todos os gestores, a PSI é implementada a partir de práticas a serem seguidas para proteger os dados e as informações, além de conter um guia de ação prático caso haja um ataque cibernético ou vazamento de dados. Conheça os quatro passos desse processo:
1. Planejar
Consiste em realizar uma análise completa da empresa e da sua maturidade na área de segurança da informação e de políticas de proteção pré-estabelecidas. Esse diagnóstico é feito por meio de uma pesquisa intensa com todos os colaboradores e os times de segurança e TI.
Aqui, é o momento de identificar ameaças e vulnerabilidades já existentes ou os potenciais focos delas. Além de mapear os níveis de acesso às informações e dividir os grupos de usuários, estabelecendo os recursos de segurança que serão requeridos.
2. Elaborar
Após a triagem inicial, é o momento de construir o plano de segurança completo. Na PSI devem conter, além de seguir a cultura organizacional: a instituição de um comitê de SI; normas de mercado (ISO); criptografia e outras ferramentas de proteção de dados; soluções de gestão de acesso privilegiado; backup; normas de uso de dispositivos e redes; auditoria; uso do e-mail corporativo, entre outras.
3. Implementar
Após o TI adicionar todas as soluções a serem utilizadas pela companhia, é papel dele treinar cada um dos colaboradores ao manuseio correto das ferramentas, evitando que haja mal-uso.
Outro ponto importante dessa fase é a conscientização de toda a empresa quanto às políticas, para que as regras possam ser seguidas e os riscos sejam minimizados.
4. Monitorar
Este é um processo recorrente, já que a PSI pode sofrer alterações periódicas para acompanhar os avanços tecnológicos e da própria organização.
Desta forma, os times atuantes diretamente nesse projeto devem estar em sinergia e atentos, principalmente com o dia a dia dos usuários.
A implantação da política de segurança da informação pode ser feita totalmente dentro da empresa com os times de segurança e de TI, ou com o apoio de equipes externas especializadas em infraestrutura e segurança, visando o estabelecimento da governança e da continuidade dos negócios.
O que também considerar na política de segurança da informação?
A PSI eleva a eficiência do negócio a partir de processos claros e definidos e com o aumento da proteção.
Neste contexto, outras ferramentas podem ser incluídas para compor essa política de segurança. São elas:
- Acesso por autenticação multifatorial e leitura biométrica dos usuários;
- Gerenciamento de identificação e acesso (IAM, sigla em inglês);
- Criptografia dos dados;
- Plano completo de resposta a incidentes.
Por isso, contar com um time de especialistas ajuda a compreender o que é necessário em cada etapa, quais são as ferramentas mais adequadas e como compor o planejamento para cada tipo de organização.