Para ter bons resultados, uma empresa precisa trabalhar com o máximo de sinergia e o mínimo de atritos, focada nos objetivos corporativos gerais. Quando o assunto é segurança dos dados esse lema não poderia ser mais adequado. Por isso, é essencial a existência de uma Política de Segurança da Informação (PSI). É sobre isso que discutiremos a seguir.
O que é uma Política de Segurança da Informação?
Para além de práticas, ações ou iniciativas, a proposta de uma Política corporativa é empreender esforços mais globais dentro do negócio. Ou seja, a PSI é um documento que pretende agregar iniciativas, normas, posturas e métricas ligadas à segurança da informação que se relacionem com todos os setores da empresa.
A ideia, é registrar princípios que possam reduzir a ocorrência de incidentes, como ciberameaças, mitigar os danos causados e determinar os procedimentos desejados para recuperar perdas que possam acontecer. Deve ser um programa minucioso e constantemente atualizado. Mas como realizar isso na prática? Vamos às dicas!
Diagnóstico
Assim como uma consulta médica, o primeiro passo para a definição do PSI é o diagnóstico. Então, através dos colaboradores e das percepções da rotina de trabalho, é preciso “ouvir” a empresa em busca de falhas potenciais. Além disso, um exame atento aos softwares, estruturas, procedimentos e hábitos culturais precisa ser feito.
Nesse ponto, é essencial uma parceria especializada. Isso porque os profissionais capacitados estão muito mais aptos a identificar riscos potenciais que gestores de outras áreas podem deixar passar. Com essa associação entre empresas, fica muito mais eficiente a tarefa de diagnosticar e hierarquizar o que precisa ser feito. Isso deve acontecer com todos os sistemas e processos institucionais, desde os desktops, mobiles e dispositivos smart.
Integração
Outro ponto importante a ser levado em consideração são o engajamento e mobilização de todos os funcionários da empresa no processo. Mesmo que isso aconteça em níveis diferentes, ou seja, nem todos participarão dos processos de decisão, mas com certeza todos devem colaborar no diagnóstico e, sobretudo, na aplicação contínua da PSI.
Por isso, quando a empresa estiver passando por esse processo, vale a pena produzir algum tipo de campanha interna para sensibilizar e informar aos colaboradores sobre as mudanças. Uma cultura organizacional voltada para a segurança é fundamento de uma boa PSI e não acontece do dia para noite.
Objetivos
Com todos mobilizados e as falhas detectadas, é hora de estabelecer objetivos. De modo geral, três conceitos guiam um bom Plano de Segurança da Informação: integridade, confidencialidade e disponibilidade. Ou seja, é preciso construir uma série de medidas que garantam a proteção dos dados corporativos, bem como que evite vazamentos, mas que não engesse o acesso a ponto de prejudicar a fluidez dos processos de rotina.
A Política de Segurança da Informação é um movimento contínuo. Ela precisa sempre estar disponível para todos os funcionários. Ou, pelo menos, versões adaptadas a cada nível de certificação. Em caso de dúvida, cada um deve poder voltar aos princípios e ter respostas claras, diretas e rápidas para solucionar o imprevisto. Cada segundo pode ser dramático quando a segurança está em risco.
Elaboração
Em seguida, é preciso consolidar a PSI com as normas, diretrizes, softwares utilizados, instruções para momentos de crise, proibições, procedimentos em caso de descumprimento e parâmetros de monitoramento. Essa elaboração, em parceria com os diversos setores da empresa e com os parceiros estratégicos, deve apresentar os detalhes para os interessados, ou seja, todos os funcionários.
É essencial que também conste os contatos dos suportes disponíveis, assim como quem poderá auxiliar em cada caso. Tudo orientado para a solução dos problemas de segurança e para eliminar possíveis dúvidas dos colaboradores em relação ao objetivo de cada item. É muito mais simples garantir o engajamento quando as determinações vão além de uma mera imposição, mas integram uma mudança cultural.
Treinamento
Capacitar os funcionários é essencial para que a PSI saia do papel e traga bons resultados. Além das questões culturais, de comportamento voltado para a segurança (como fazer o escaneamento de pendrives e outros dispositivos antes de inserí-los na rede corporativa ou uma lista de sites não recomendados), o treinamento precisa incluir os procedimentos básicos de segurança, de acordo com cada nível de certificação.
Em outras palavras, enquanto um usuário com baixo nível de acesso precisa estar atento à ativação do firewall e à varredura periódica dos dispositivos por antivírus, gestores precisam também observar a conduta dos membros da equipe, garantir a atualização das políticas, entre outros. Cada um deve estar sempre up-to-date sobre o que deve fazer.
Monitoramento e revisão
Uma última dica é justamente estar atento ao monitoramento da PSI. Quando confrontada com a realidade, nem mesmo a melhor política resiste sem alterações. Novos desafios e soluções surgem, algumas posturas não se aplicam, outras novas precisam ser inseridas. Por isso, a PSI nunca estará acabada.
Caso você queira saber mais sobre a Política de Segurança da Informação e como colocá-la em prática na sua empresa, entre em contato para esclarecer qualquer dúvida.