Quando falamos em segurança da informação, estamos nos referindo a um conjunto de esforços e medidas pensadas para manter o acesso aos dados da sua corporação sempre protegido, principalmente daqueles considerados como sensíveis, evitando, assim, invasões, perda, roubo, sequestro, divulgação de dados ou qualquer outra ação maliciosa que possa comprometer o sigilo, a integridade e o valor das informações.
A segurança da informação se apoia em três pilares: confidencialidade, integridade e disponibilidade. Por isso, ter apenas firewalls e antivírus instalados em seus servidores pode não ser suficiente para proteger seu ambiente: é preciso combinar outras camadas à essa estratégia, compondo o que chamamos de estratégia multicamadas, a base para que sua organização atinja nível máximo de confidencialidade, integridade, disponibilidade e segurança da informação.
Assim, sua empresa deverá contar com uma combinação de firewalls com regras de segurança bem definidas, softwares especializados, além de uma forte governança, políticas e processos bem definidos. Os principais são:
Política de Segurança da Informação (PSI)
Planejamento que visa aumentar a integridade, confidencialidade e disponibilidade da informação, determinando o caminho que a empresa deve seguir com relação à segurança, em todos os aspectos, podendo conter diretrizes para os usuários que realizam processamento de dados. Através da estrutura da PSI é possível definir:
Qual o objetivo da política de segurança da informação
Quem são as partes interessadas
O sistema geral de segurança da informação, ou seja a Cultura da Empresa
Diretrizes gerais fornecidas pela PSI
Sanções e punições inerentes ao descumprimento das políticas
Como lidar com casos omissos
Controle de atualização e revisão
Caso queira saber mais sobre como criar e implantar uma Política de Segurança da Informação na sua empresa, confira este artigo do nosso Project Manager Leader.
Política de Resposta a Incidentes (PRI)
Documento que prepara a organização para lidar com a gestão de um incidente de segurança (ou seja, uma situação que desestabiliza a operação e coloca em risco os dados pessoais de quem se relaciona com a sua empresa), garantindo uma resposta rápida, organizada e eficiente, minimizando suas consequências para todos os envolvidos, bem como para a operação.
Plano de Continuidade de Negócios (PCN)
É um conjunto de planos de ações com o objetivo de documentar quais serão os procedimentos da empresa em momentos de crise para garantir que serviços essenciais para a operação sejam identificados e preservados após um desastre (ou seja, um evento que provoca danos e prejuízos para a empresa e que pode afetar o funcionamento de processos críticos, momentaneamente ou permanentemente) até o retorno das atividades, evitando perda financeira.
Um PCN é composto pelos processos da organização (atividades operacionais e de negócios), bem como pelos componentes (base para realização dos processos, como energia elétrica, telecomunicações, infraestrutura e pessoas). O conjunto de planos de ações previstos no PCN são os seguintes:
Plano de Contingência;
Plano de Administração de Crises (PAC);
Plano de Recuperação de Desastres (PRD);
Plano de Continuidade Operacional (PCO).
Além disso, no Plano de Continuidade de Negócios deve estar definida a árvore de acionamento de contatos, que estabelece o registro das informações dos principais atores caso haja necessidade de acionamento do Plano. Nela, devem conter todas as informações sobre pessoas responsáveis, contatos e ordem de escalonamento de chamados em situações de desastre.
Se quiser saber mais sobre como estruturar um Plano de Continuidade de Negócios na sua empresa, confira a gravação desta live apresentada pelo nosso CTO e nosso Project Manager Leader.
Política Geral de Privacidade e Proteção de Dados Pessoais
Principal documentação relacionada à LGPD, a Política Geral de Privacidade e Proteção de Dados Pessoais é um conjunto de diretrizes relacionadas à gestão de atividades, operações e tratamento de dados pessoais dentro da organização. Neste documento, devem ser especificados os seguintes pontos:
Definições
Quem são os agentes responsáveis pelas diversas camadas de operação com dados na organização e quais são os principais componentes envolvidos na operação.
Escopo
Qual é o espaço de atuação das diretrizes estabelecidas nas Políticas dentro da empresa.
Destinatários
Quem deve seguir a Política (por exemplo, funcionários, estagiários, terceiros, acionistas, etc).
Aplicabilidade
A quais componentes e processos as Políticas são aplicáveis.
Objetivos
Definição do que a empresa espera obter por meio das Políticas, bem como as obrigações que a mesma busca regulamentar através dessa documentação.
Princípios de privacidade e proteção de dados pessoais
Sempre com base na legislação vigente, no caso, a Lei Geral de Proteção de Dados.
Bases legais para o tratamento de dados pessoais
Definição das bases que permitem o uso e tratamento de dados pessoais na empresa.
Bases legais para o tratamento de dados pessoais sensíveis
Orientações a respeito do tratamento de dados que possam levar à discriminação de uma pessoa.
Direitos dos titulares dos dados pessoais
Quais são os direitos previstos por lei das pessoas que detém a titularidade dos dados os quais sua empresa opera, trata ou armazena.
Deveres para o uso adequado de dados pessoais
Quais são os deveres previstos por lei, separados por nível de acesso à informação, em relação ao uso, tratamento e armazenamento de dados pessoais na sua empresa.
Relação com terceiros
Especificidades sobre contratos e tratamento de dados por terceiros à empresa.
Programa de conformidade às leis de proteção de dados pessoais
Quais são as ações da instituição para fomentar uma cultura organizacional de zelo pela privacidade e segurança de dados pessoais.
Transferência internacional de dados pessoais
Diretrizes para o uso, tratamento e armazenamento de dados pessoais fora do país, quando aplicável.
Monitoramento
Quais são as ações de monitoramento de aplicação das Políticas na empresa.
Política de Gestão de Riscos
Estabelece as diretrizes, princípios e responsabilidades para o Gerenciamento de Riscos Corporativos das empresas, bem como conceitua, define e formaliza as atividades dos responsáveis por esta política, aplicando-se a todos os níveis organizacionais da Companhia que participam do processo de Gestão de Riscos, direta ou indiretamente.
Para construir esse documento, é necessário identificar e definir quais são os princípios orientadores da atividade de gestão de riscos na empresa, as diretrizes que devem ser seguidas pelas pessoas envolvidas, bem como as responsabilidades de cada nível hierárquico da cadeia organizacional.
Agora que você já conheceu as principais Políticas e procedimentos de segurança da informação do mercado, que tal conferir algumas dicas sobre como se preparar para as principais auditorias de tecnologia da informação neste artigo?