Política de Segurança da Informação, a “sorte” a favor de sua empresa!

Planilhas, contratos, notas fiscais, orçamentos, fotos, tabelas de preço… Não sabemos em qual segmento sua empresa atua, mas temos certeza de uma coisa: Sua empresa já é digital!

Diariamente sua empresa gera, processa e armazena uma grande quantidade de dados, que por sua vez, serão utilizados por toda sua equipe que é composta por duas, cinco ou quinhentas pessoas. Todos estes dados serão tratados e cruzados para gerar informações gerenciais que servirão como base para definição do futuro de sua organização.

Você provavelmente já sabe ou ao menos tem ideia de qual é o valor de toda a informação que sua empresa detém. Também deve imaginar o tamanho do prejuízo se um dia seus dados desaparecessem ou se na pior das hipóteses caísse nas mãos da pessoa errada. Reflita sobre o três pontos a seguir:

• Todos em sua empresa enxergam o valor das informações da mesma forma que você?
• Há um controle efetivo sobre a utilização destas informações?
• Sua empresa utiliza metodologias, processos e tecnologias que garantem a integridade dos dados?

Se você respondeu NÃO para alguma destas perguntas ative um sinal de alerta em seu setor de T.I, pois sua empresa está correndo um grande risco.

Segurança da informação é um assunto trivial, mas na grande maioria dos casos acaba ficando em segundo plano e sua falta só é dada no momento em que o pior acontece. São diversos os riscos que ameaçam os dados de sua empresa. Como por exemplo:

• Catástrofes naturais (raios, vendavais, enchentes, chuva de granizo);
• Acidentes (incêndio, falha elétrica, danos físicos) ;
• Software malicioso (ransomware, vírus, worms, etc.);
• Colaboradores mal-intencionados;
• Usuários desatentos e por aí vai…

Estes riscos colocam em xeque toda a operação da organização além de quebrar sigilo sobre estratégias operacionais, informações financeiras e nos casos mais graves, perda de dados.

Se você é um bom profissional de T.I, em sua empresa você já implantou ou senão está em busca de uma solução de firewall, um antivírus corporativo, uma solução de backup em nuvem eficaz, mantém sigilo e atualiza periodicamente as senhas de administração da rede, ou seja, possui a consciência sobre a importância da segurança da informação.

Entretanto, nem todos na empresa possuem a mesma consciência, e é por isso que a implantação de uma política de segurança da informação é um instrumento muito importante para garantir a médio e longo prazo a integridade dos dados de seu negócio.

Mas então, o que é uma Política de Segurança da Informação?

A Política de Segurança da Informação, ou de forma mais prática: PSI, é um documento elaborado, na maioria da vezes, pelo setor de Tecnologia da Informação em total alinhamento com a direção da empresa. Na PSI estão descritas boas práticas com os recursos tecnológicos, orientações sobre os processos de segurança da informação adotados pela organização, qual a conduta o colaborador deve adotar diante de situações adversas que ofereçam risco as informações e demais disposições relacionadas ao uso correto e seguro  dos recursos de hardware e software disponibilizados pela empresa.

A PSI deve constantemente ser analisada e revisada, pois deve contemplar as constantes inovações introduzidas diariamente no dia a dia das corporações, além disso deve respeitar leis trabalhistas e condizer com os procedimentos previstos nos manuais e diretrizes do setor de Recursos Humanos. Este documento deve estar acessível e ser de conhecimento de todos os colaboradores da empresa. O ideal é que exista um processo interno de capacitação de todos os colaboradores logo no início de sua carreira na organização, ou mesmo uma reciclagem com os já ativos, onde estes firmem compromisso com a PSI.

Alguns tópicos que não podem faltar em uma Política de Segurança da Informação:

• Recursos que devem ser protegidos: Computadores, telefones, impressoras, servidores, etc.
• Responsabilidade sobre o uso das informações da empresa (dados sigilosos) ;
• Restrições de acesso a sites com conteúdo impróprio ou mesmo irrelevantes para a atividade do colaborador;
• Regras de utilização para equipamentos pessoais como smartphones, notebooks tabletes e afins;
• Finalidade e utilização adequada das contas de email corporativo;

Cada tipo de negócio terá suas particularidades relacionadas a utilização dos recursos de T.I, dentro de uma mesma empresa é possível que diferentes setores precisem de flexibilidade em alguns itens em relação aos demais e assim por diante.

Por fim, para dar o start em uma PSI, é preciso mapear o número máximo de fragilidades que possam comprometer os dados e recursos de T.I de sua empresa tomando o cuidado para não prejudicar as atividades e o dia-a-dia dos colaboradores, principalmente em um mundo em que (por sorte) a produtividade vale mais que a pontualidade. Sendo assim manter um diálogo aberto com todos os responsáveis pelas áreas da organização e entender o cenário onde se está inserido é fator chave para escolher os itens de controle ideais e atender as reais necessidades da empresa tendo o respaldo de todos os envolvidos para conduzir o setor de T.I com segurança e excelência.