Quando falamos em segurança da informação, estamos nos referindo a um conjunto de esforços e medidas pensadas para manter o acesso aos dados da sua corporação sempre protegido, principalmente daqueles considerados como sensíveis, evitando, assim, invasões, perda, roubo, sequestro, divulgação de dados ou qualquer outra ação maliciosa que possa comprometer o sigilo, a integridade e o valor das informações.

A segurança da informação se apoia em três pilares: confidencialidade, integridade e disponibilidade. Por isso, ter apenas firewalls e antivírus instalados em seus servidores pode não ser suficiente para proteger seu ambiente: é preciso combinar outras camadas à essa estratégia, compondo o que chamamos de estratégia multicamadas, a base para que sua organização atinja nível máximo de confidencialidade, integridade, disponibilidade e segurança da informação.

Assim, sua empresa deverá contar com uma combinação de firewalls com regras de segurança bem definidas, softwares especializados, além de uma forte governança, políticas e processos bem definidos. Os principais são:

Planejamento que visa aumentar a integridade, confidencialidade e disponibilidade da informação, determinando o caminho que a empresa deve seguir com relação à segurança, em todos os aspectos, podendo conter diretrizes para os usuários que realizam processamento de dados. Através da estrutura da PSI é possível definir:

Caso queira saber mais sobre como criar e implantar uma Política de Segurança da Informação na sua empresa, confira este artigo do nosso Project Manager Leader.

Documento que prepara a organização para lidar com a gestão de um incidente de segurança (ou seja, uma situação que desestabiliza a operação e coloca em risco os dados pessoais de quem se relaciona com a sua empresa), garantindo uma resposta rápida, organizada e eficiente, minimizando suas consequências para todos os envolvidos, bem como para a operação.

É um conjunto de planos de ações com o objetivo de documentar quais serão os procedimentos da empresa em momentos de crise para garantir que serviços essenciais para a operação sejam identificados e preservados após um desastre (ou seja, um evento que provoca danos e prejuízos para a empresa e que pode afetar o funcionamento de processos críticos, momentaneamente ou permanentemente) até o retorno das atividades, evitando perda financeira.

Um PCN é composto pelos processos da organização (atividades operacionais e de negócios), bem como pelos componentes (base para realização dos processos, como energia elétrica, telecomunicações, infraestrutura e pessoas). O conjunto de planos de ações previstos no PCN são os seguintes:

Além disso, no Plano de Continuidade de Negócios deve estar definida a árvore de acionamento de contatos, que estabelece o registro das informações dos principais atores caso haja necessidade de acionamento do Plano. Nela, devem conter todas as informações sobre pessoas responsáveis, contatos e ordem de escalonamento de chamados em situações de desastre.

Se quiser saber mais sobre como estruturar um Plano de Continuidade de Negócios na sua empresa, confira a gravação desta live apresentada pelo nosso CTO e nosso Project Manager Leader.

Principal documentação relacionada à LGPD, a Política Geral de Privacidade e Proteção de Dados Pessoais é um conjunto de diretrizes relacionadas à gestão de atividades, operações e tratamento de dados pessoais dentro da organização. Neste documento, devem ser especificados os seguintes pontos:

Quem são os agentes responsáveis pelas diversas camadas de operação com dados na organização e quais são os principais componentes envolvidos na operação.

Qual é o espaço de atuação das diretrizes estabelecidas nas Políticas dentro da empresa.

Quem deve seguir a Política (por exemplo, funcionários, estagiários, terceiros, acionistas, etc).

A quais componentes e processos as Políticas são aplicáveis.

Definição do que a empresa espera obter por meio das Políticas, bem como as obrigações que a mesma busca regulamentar através dessa documentação.

Sempre com base na legislação vigente, no caso, a Lei Geral de Proteção de Dados.

Definição das bases que permitem o uso e tratamento de dados pessoais na empresa.

Orientações a respeito do tratamento de dados que possam levar à discriminação de uma pessoa.

Quais são os direitos previstos por lei das pessoas que detém a titularidade dos dados os quais sua empresa opera, trata ou armazena.

Quais são os deveres previstos por lei, separados por nível de acesso à informação, em relação ao uso, tratamento e armazenamento de dados pessoais na sua empresa.

Especificidades sobre contratos e tratamento de dados por terceiros à empresa.

Quais são as ações da instituição para fomentar uma cultura organizacional de zelo pela privacidade e segurança de dados pessoais.

Diretrizes para o uso, tratamento e armazenamento de dados pessoais fora do país, quando aplicável.

Quais são as ações de monitoramento de aplicação das Políticas na empresa.

Estabelece as diretrizes, princípios e responsabilidades para o Gerenciamento de Riscos Corporativos das empresas, bem como conceitua, define e formaliza as atividades dos responsáveis por esta política, aplicando-se a todos os níveis organizacionais da Companhia que participam do processo de Gestão de Riscos, direta ou indiretamente.

Para construir esse documento, é necessário identificar e definir quais são os princípios orientadores da atividade de gestão de riscos na empresa, as diretrizes que devem ser seguidas pelas pessoas envolvidas, bem como as responsabilidades de cada nível hierárquico da cadeia organizacional.

Agora que você já conheceu as principais Políticas e procedimentos de segurança da informação do mercado, que tal conferir algumas dicas sobre como se preparar para as principais auditorias de tecnologia da informação neste artigo?