Já parou para pensar em quantas ameaças, riscos e vulnerabilidades podem expôr o seu banco de dados? São muitas possibilidades que vão além do ambiente digital, inclusive, com os ciberataques. Por isso, é importante que você saiba como fazer uma política de segurança da informação.

Neste artigo, eu vou te explicar o que é isso e mostrar os primeiros passos para implementar na sua organização. Continue lendo!

O que é uma política de segurança da informação?

Uma política de segurança da informação, que a gente também chama de PSI, é um conjunto de diretrizes, normas, procedimentos e processos que são estabelecidos para proteger as informações dentro de uma empresa.

Por que adotar a PSI na sua organização?

Quando você tem uma política de segurança da informação na sua organização, você passa a depender menos de pessoas e mais de processos. Isso é o que garante a proteção de dados, já que os procedimentos farão parte da rotina de trabalho. Dessa forma, há uma redução na possibilidade de incidentes.

Mas, além disso, para alguns nichos comerciais, a PSI é obrigatória, por conta da imposição legal de aderir a algumas normas específicas, como é o caso do mercado financeiro, por exemplo.

Mas, agora, com a LGPD, adotar uma política dessa se tornou importante para qualquer segmento e organização, não importando o tamanho.

Como fazer uma política de segurança da informação?

A PSI é um dos itens principais da norma internacional NBR ISO/IEC 27002, que estabelece boas práticas para a gestão da informação. Segundo ela, uma política dessa deve estruturar formas de controle para a prevenção de vazamentos.

Mas como fazer isso? Seguindo esse passo a passo:

1. Faça um mapeamento geral

O primeiro passo de como fazer uma política de segurança da informação é entender o que precisa ser protegido. Por isso, antes de qualquer coisa, faça um levantamento de quais são os ativos de informação da sua empresa, quem tem acesso a eles e até mesmo como os seus colaboradores se comportam em relação a esses dados.

2. Classifique os tipos de informação

Depois que tiver o diagnóstico inicial, é hora de entender qual é a real necessidade de proteção desses dados. Para isso, as informações devem ser classificadas em quatro tipos:

• pública;
• interna;
• confidencial;
• secreta.

Essa divisão é importante para você conseguir balancear os custos de proteção desses dados com o valor dele. Por exemplo, em caso de vazamento, o prejuízo será menor do que o investimento feito para garantir a segurança? Então pode ser que ele não necessite de tanta atenção.

3. Defina os níveis de acesso

Após entender o nível de proteção que cada dado precisa, estabeleça quem são os usuários que podem acessá-lo. Aqui, vale a pena pensar também em como ele terá acesso (a partir de um sistema PAM, por exemplo) e quando (somente durante o horário do expediente?).

4. Utilize os princípios básicos da segurança da informação

Ao realizar todas essas etapas, tenha em mente os princípios básicos da segurança da informação:

• confidencialidade: é referente ao acesso somente por pessoas autorizadas;
• disponibilidade: as informações devem estar disponíveis para as pessoas autorizadas sempre que necessário;
• integridade: somente usuários autorizados podem modificar informações.

Pensando nesse sentido, é interessante considerar implementar estratégias de segregação de função dentro da sua organização.

5. Escolha tecnologias para a proteção

E, para fazer tudo isso, é óbvio que você precisa de ferramentas. Imagina realizar tudo isso manualmente? Seria humanamente impossível e, portanto, falho. Além do mais, fazer uma política de segurança da informação deve ser um processo contínuo, constantemente revisado e aprimorado, especialmente em um mundo que está cada vez mais híbrido.

Neste outro artigo, falamos sobre a tendência do Bring Your Own Device e como garantir a segurança nesse cenário. Vale a pena ler!