A definição da Política de Segurança das Informações na empresa é uma questão estratégica.
A falta dela propicia que informações da empresa, de clientes e de parceiros comerciais fiquem expostos, inclusive a concorrentes, podendo causar sérios prejuízos financeiros e até o fechamento da empresa.
A área de segurança da informação é baseada em um conjunto de normas internacionais, as normas ISO.
No Brasil, essas normas são traduzidas pela ABNT.
A família de normas para Segurança da Informação é a 27000.
A principal é a 27001, que estabelece como deve funcionar o Sistema de Gestão de Segurança da Informação, apoiada em outras como a 27002, um código de prática dos controles que a 27001, a 27005, entre outras.
A definição de Segurança da Informação, de acordo com a 27001, diz que ela deve ser a proteção contra qualquer tipo de ameaça a informação de uma organização, garantindo dessa forma, a continuidade dos negócios e operações.
Além da proteção, a norma ainda define um ousado objetivo de diminuição de possíveis prejuízos e perdas e, ainda, maximizando retornos sobre investimentos. Ou seja, tudo é pensado para o benefício das atividades de negócio da empresa.
O foco da proteção é centralizado em 3 principais atributos, também especificados pela norma.
Vamos a eles:
Basicamente a confidencialidade deverá garantir para a organização que suas informações e dados serão acessados somente por aqueles que estiverem autorizados para tal.
A integridade, por sua vez, é a encarregada por manter a informação a mesma durante todo o seu ciclo de vida: desde a criação até o seu descarte. Ou seja, evitar modificações indevidas ao longo do tempo.
Então, por último, vem a disponibilidade. Esse atributo deverá garantir que a informação estará acessível no momento em que ela for necessária. Este atributo está fortemente relacionado a outros conceitos como o de gestão de continuidade de negócios e planos de disaster recovery.
Vivemos em mundo muito dinâmico e imediatista, onde um cliente pode simplesmente abandonar sua empresa porque seu site não está disponível, mesmo que seja uma consulta simples, como o endereço ou o horário de atendimento.
Portanto, este é o atributo que mais está ligado a questões como infraestrutura física confiável da organização.
Temos então que, para manter a segurança das informações da empresa, devemos pensar em 5 considerações ou passos:
Tudo na segurança da informação é pensado de acordo com os processos e atividades de negócios, antes de tudo, as conheça, faça um mapeamento completo, de passo a passo, para que fique claro como elas devem acontecer.
Importantíssimo também, é mapear quais ativos sustentam as atividades ou processos do negócio
Conhecendo seus ativos, agora é possível calcular ou qualificar os riscos aos quais eles estão expostos. Conhecendo os riscos você irá conhecer também os impactos ao negócio.
A Política de Segurança da Informação é o conjunto de normas e procedimentos, que deverão ser seguidos para que de fato a proteção da informação seja efetiva.
Planeje, Faça (em inglês Do), Cheque e Aja. Com esse ciclo utilizado em diversas áreas do conhecimento, é possível estabelecer uma melhoria continua nos controles de segurança das informações da empresa.
Com o PDCA rodando, chegamos a fase de estabelecer algumas ferramentas que nos ajudaram a manter exatamente esses controles rodando.
Podemos citar alguns como:
Mecanismos de criptografia – utilizando algoritmo matemáticos já automatizados em alguma ferramenta, as informações ficaram em um formato ininteligível para quem não estiver autorizado a acessa-las.
Senhas complexas – Quanto mais complexa a senha mais difícil se torna alguém “adivinha-la”.
Senhas complexas normalmente utilizam-se de letras maiúsculas mescladas com letras minúsculas, números e símbolos.
Autenticação de dois passos – minimiza a possibilidade de acesso não autorizado à rede.
Assinatura digital – garante e atesta a identidade de quem está acessando ou provendo a informação.
Mecanismo de controle de acesso – Sistemas biométricos, firewalls cartões, tokens, catracas, enfim, tudo aquilo que verifica se uma pessoa deve realmente acessar a informação, de acordo com os padrões estabelecidos.
Poderíamos citar diversos outros mecanismos de controle, mas o importante é que fique claro a importância de investimento em segurança das informações da empresa, começando com o estabelecimento de boas práticas, chegando até a manutenção de uma infraestrutura física confiável e de alta disponibilidade.
Ainda tem alguma dúvida? Deixe um comentário!
This website uses cookies.