A importância da Política de Segurança em TI da empresa

Exige um grande esforço atualmente imaginar algum negócio que seja exclusivamente analógico, ou se preferir, que não dependa de qualquer processo baseado em tecnologias digitais e na Web.

Isso por si só já deveria ser motivo suficiente para se preocupar em ter e fazer cumprir uma política de segurança em TI e segurança da informação.

Mas você sabe o que é uma política em segurança em TI? Por que é importante ter uma? A quem se destina? Como elaborar uma?

Se você não tem uma resposta precisa para nenhuma das perguntas acima e, sobretudo, ainda não tem uma política de segurança da informação, precisa ler o que preparamos sobre o assunto.

O que é Política de Segurança em TI?

Bem simplificadamente, uma política de segurança em TI ou ainda política de segurança da informação, é o conjunto de regras, padrões, práticas e responsabilidades associadas a todos os usuários que em algum nível tem contato ou acesso às mais diversas informações da empresa, especialmente aquelas nos meios digitais, com o objetivo de mantê-las tão seguras quanto possível.

Em outras palavras, a política de segurança da informação define:

  • O que é permitido e o que não é, quando um usuário tem acesso à informações da empresa (informações internas, dos clientes, dos fornecedores, dos parceiros, etc) nos meios digitais (sistemas da empresa, quaisquer sites da empresa, redes sociais da empresa, contas de e-mail profissionais, sistemas de terceiros, etc);

  • Estipular os procedimentos operacionais padrão para as situações mais importantes e comuns no uso e acesso aos dados, de modo a assegurar padronização e minimizar a possibilidade da ocorrência de erros, maior eficiência e menor suscetibilidade às ameaças;

  • Estabelecer um conjunto de boas práticas no uso / acesso às informações, com o objetivo de melhorar a segurança das mesmas;

  • Quem e como cada usuário responde pelos seus atos no uso / acesso às informações, pelos meios usados para esse uso / acesso, bem como pelos dispositivos (ex: seu PC ou smartphone) e meios, como o uso da rede da empresa, ou Wi-Fi público usando um dispositivo da empresa ou realizando o acesso a um sistema seu, por exemplo.

Quais os objetivos da política de segurança da informação?

Naturalmente que seu principal objetivo é garantir a segurança das informações da empresa.

No entanto, sua criação e implantação tem como objetivos mais específicos, os seguintes:

  • Alcançar e disseminar o conjunto pertinente de informações necessárias a esse objetivo principal, a todos os usuários;

  • Assegurar homogeneidade de práticas diante das mais diversas situações no ambiente digital (acesso aos sistemas online, aos serviços de e-mail, redes sociais, etc);

  • Estar em conformidade com a legislação existente e vigente, nacional e internacional, como a LGPD e GDPR, respectivamente;

  • Instituir as ferramentas e recursos para garantir a segurança da informação em todos os seus níveis;

  • Prevenção contra ameaças internas ou externas, intencionais ou acidentais;

  • Orientar e treinar os usuários sobre as mais diversas ameaças digitais (phishing, mail spoofing, ransomware, etc), uma vez que eles constituem o elo mais frágil da cadeia de segurança.

Por que é importante ter uma política de segurança em TI?

É razoavelmente comum que algumas empresas, particularmente as menores ou com menor grau de transformação digital ou com menos ferramentas digitais em suas rotinas de trabalho, acreditem que por essa razão, estão pouco expostas ou correm poucos riscos.

Ah, mas nós usamos pouco o computador, temos apenas um site institucional bem básico, estamos em apenas duas redes sociais, algumas contas de e-mail, tudo isso para pouco mais de uma dezena de pessoas e mais nada e, por isso, não faz sentido criarmos uma política de segurança!”, diriam muitos…

Ledo engano, quem pensa assim!

Lamentavelmente é disseminado o falso mito que os crackers (“hackers do mal”) só se interessam por invadir grandes e importantes sistemas. Não é assim que funcionam as coisas.

Tudo e todos podem oferecer algum benefício aos criminosos digitais. Uma “simples” conta de e-mail ou o modesto site institucional, se invadidos, podem ser bastante úteis para envio de mensagens usando engenharia social para disseminação de malwares, hospedar um site falso ou até mesmo integrar uma rede de bots (robôs de Internet) para ataque DDoS.

Lembrando que uma conta de e-mail pode conter uma variedade de informações úteis a alguém mal-intencionado.

Sem contar também que mesmo as menores empresas podem ter informações essenciais ao seu funcionamento e que se sequestradas em um ataque de ransomware, pode significar um prejuízo e tanto.

Os números e as notícias relacionadas aos crimes digitais mostram mostram o seu avanço ano a ano e a importância de se investir em segurança cibernética, sendo que uma política de segurança é um importante passo nesse sentido.

Quais empresas precisam de uma política de segurança?

Essa é uma pergunta cuja resposta não é simples, dada a variedade de realidades e assim, não existe uma “receita” aplicável a toda e qualquer empresa.

É preciso acima de tudo bom senso e discernimento.

São apenas 10, 8 ou apenas 6 colaboradores usando computadores e com acesso à Internet?

Então são 10, 8 ou “apenas” 6 chances de algum problema acontecer! E basta que um desses 10, 8 ou 6 tenha um descuido, abra um e-mail de phishing ou instale um software pirata ou de procedência duvidosa, para que um problema ocorra.

A variedade de ameaças digitais e como elas se manifestam, cresce sem parar.

O histórico mostra que até de onde menos se espera, uma pode ocorrer, como foi o caso de um famoso ataque DDoS que fez uso de vulnerabilidades em câmeras de segurança, os nos muitos golpes usando engenharia social e dados vazados que chegam por uma mensagem de WhatsApp, independente dos cuidados que se adotem.

Como elaborar uma política de segurança?

Uma vez que você esteja ciente da sua importância, a pergunta na cabeça da maioria é, como elaborar uma?

Muitos acreditam que as principais dificuldades residem no caráter técnico dos assuntos envolvidos, bem como colocar isso tudo no papel.

De fato, começar do zero, pode parecer assustador.

No entanto, seguindo alguns roteiros e tendo em mente que a política de segurança pode – e deve – sofrer revisões e melhorias periódicas, não devemos nos preocupar em criar um instrumento perfeito – se é que é possível – logo de cara.

Lembre-se que ter uma, ainda que imperfeita e/ou incompleta, é bem melhor do que não ter nenhuma!

É possível se basear em alguma já pronta e disponível na Web, mas a maioria se refere a empresas de maior porte e elevado grau de transformação digital e, portanto, com muitos usuários e situações possíveis, o que pode ser complexo e inclusive conter situações não aplicáveis, logo, ser desencorajador.

Sendo assim, apresentamos a seguir um checklist básico do que fazer e do que pode conter sua política de segurança da informação:

  1. Conteúdo – comece fazendo uma lista dos pontos que a sua política de segurança em TI deve conter. Não se preocupe inicialmente em que ela seja completa. A medida que cada tópico for sendo desenvolvido, certamente se lembrará de alguns pontos importantes que devem ser abordados. Além disso, ela pode ser refinada ao longo do tempo;

  2. Pontos importantes – alguns pontos da lista acima são importantes e não podem ficar de fora de nenhuma lista preliminar, como:

    1. Senhas – como criar senhas, periodicidade de mudança, compartilhamento, etc;

    2. Controle de acesso – quem tem acesso a cada um dos recursos online da empresa (sistemas internos, sites, redes sociais, intranet, etc), bem como os eventuais acessos externos (ex: home office ou em viagens) feitos a eles;

    3. Política de confidencialidade – se existem acessos a dados confidenciais da empresa ou de terceiros (clientes, parceiros, fornecedores, etc), é indicado ter um capítulo relativo à política ou termo de confidencialidade;

    4. Política de privacidade – tal como o item anterior, também é altamente recomendável destinar uma parte à política de privacidade;

    5. Código de ética e conduta – não é fundamental, mas se a empresa tem um código de ética / conduta, faz sentido e pode ser anexado à política de segurança da informação;

    6. Glossário de termos técnicos – a fim de que não existam dúvidas relacionadas aos termos técnicos existentes;

    7. Treinamento – deve prever mecanismos para orientar e disseminar o conhecimento necessários aos usuários, pois conforme mencionamos ele é parte essencial no processo;

    8. Ferramentas – constitui o conjunto de softwares / sistemas usados na prevenção, como firewall, antivírus, VPN, etc;

    9. Utilização – como são utilizados os recursos da empresa (Wi-Fi, PCs, notebooks, etc).

  3. Informação – é importante que a informação seja tão clara e objetiva quanto for possível;

  4. Procedimentos operacionais padrão – instituir procedimentos operacionais padrão para as situações mais sensíveis, garante que elas sejam executadas sempre com padrão;

  5. Tutoriais – reservar um capítulo para tutoriais, garante que os respectivos procedimentos associados sejam feitos corretamente;

  6. Regras – parte reservada ao que não pode ser feito sob risco de comprometer a segurança, como por exemplo, instalação de software pirata ou inserção de mídias externas (pendrive, SD card, etc) sem que sejam verificadas quanto à presença de malwares;

  7. Responsabilidades – definir as responsabilidades dos usuários para as situações sensíveis, bem como as eventuais sanções no caso de descumprimento das regras;

  8. Mecanismos de recuperação – estabelece os mecanismos de recuperação de desastres, como o sistema de backup e um plano de contingência, caso exista esse último;

  9. Backup – é crucial destinar especial atenção a esse aspecto, estipulando desde detalhes sobre a ferramenta utilizada, a periodicidade de realização, as cópias de segurança, pois na eventualidade de um problema, a importância do backup para a empresa é vital.

  10. Documentação – a política deve ser um documento acessível e de conhecimento obrigatório do seu teor por parte de todo e qualquer colaborador que tem qualquer nível de acesso à informações sensíveis da empresa.

Conclusão

A política de segurança em TI é essencial para toda empresa com algum grau de transformação digital, independente do seu porte ou do seu ramo de atuação.

Artigos relacionados

Site
Ferramentas de uptime gratuitas para monitorar seu site
Internet
O que são protocolos de Internet e quais os mais usados?
Tecnologia
Memórias: O que são, quais os tipos e sua importância?

Comentários ({{totalComentarios}})