IMAGINE que você vive em um país habitado por milhares de pessoas. É um lugar bonito e cercado por beleza natural em tudo que é canto. No entanto, não possui um governo que implemente leis e regulamentos para reger a vida em sociedade.
Todos vivem a sua própria maneira, com comportamentos que ferem outros e tornam a vida na comunidade mais difícil e o caos toma conta daquele lugar.
Esta situação hipotética ilustra muito bem como uma organização sem uma política de segurança corporativa se coloca na rota do caos, acabando até mesmo a não cumprir com os regulamentos da indústria onde opera, com consequências castastróficas.
Mas, o que é uma política de segurança corporativa?
Em termos simples, uma política de segurança é um documento que define regras e processos que uma pessoa deve seguir sempre que utilizar os ativos e recursos da instituição. O objetivo desta norma é monitorar, identificar, responder à incidentes de segurança e desenvolver estratégias para mitigá-los.
Estas políticas devem também servir de orientação sobre o que os colaboradores devem ou não devem fazer, quem pode ter acesso à determinados recursos e as penalidades que podem resultar do seu incumprimento.
Uma política de segurança corporativa pode ser comparada à constituição, cujo conteúdo deve reger na sua inteireza a organização e as pessoas de que fazem parte. Toda e qualquer política subsequente dependerá desta primeira.
É importante lembrar, porém, que os objetivos gerais de qualquer política de segurança, deve assentar sobre os três pilares básicos da segurança da informação, a saber:
- Confidencialidade
- Integridade
- Disponibilidade
Independentemente do tamanho da organização, políticas de segurança de TI devem ser documentados para a proteção dos dados e recursos críticos da mesma.
Agora, surge a pergunta: Quais políticas de segurança devem ser documentadas e veiculadas dentro da organização?
Pelo menos as seguintes políticas (sem qualquer ordem de importância) devem fazer parte deste documento para regulamentar o uso dos ativos críticos pelos colaboradores e entidades externas:
Política de Uso Aceitável
Esta política deve especificar as boas práticas de segurança que um colaborador tem de seguir quando este usa os recursos computacionais da organização, tais como computadores, dispositivos móveis e outros periféricos. Além disso, devem ser claras as orientações sobre o uso da internet, serviços de e-mail e comportamentos inaceitáveis no manuseio de informações da organização.
Política de Controlo de Acesso
Controlos de acesso especificam mecanismos para o acesso autorizado de usuários aos recursos da organização. Isso pode incluir, redes de computadores, sistemas ou até mesmo às instalações físicas.
Política de Segurança de Rede
Esta política deve garantir que os sistemas de informação tenham hardware e software adequados e mecanismos de auditoria. Garante igualmente a confidencialidade, integridade e disponibilidade por seguir certos procedimentos aquando da instalação e configuração destes ativos de infraestrutura.
Política de Criação e Gerenciamento de Palavra-Passe
O objetivo desta política é educar os colaboradores sobre a importância do uso de palavras-passe fortes, originais, como criá-los e com que frequência estas devem ser alteradas.
Esta política deve incluir regras sobre a complexidade da palavra-passe, incluindo riscos associados com o uso de palavras fáceis de encontrar em dicionários.
Política de Resposta à Incidentes
O objetivo desta política é estabelecer processos para resposta à incidentes e visa reduzir os danos ás operações de negócio, clientes e minimizar os tempos de resposta e custos envolvidos.
Ela também inclui informações sobre a equipe de resposta à incidentes, seus papéis e responsabilidades e recursos que serão usados para identificar e mitigar as ocorrências na organização que podem comprometer os ativos críticos.
Um outro aspeto vital nesta política é educar os colaboradores sobre a quem reportar em caso de incidentes, tais como brechas de dados.
Política de Treinamento e Conscientização de Segurança
Uma equipe dotada de conhecimento e bem treinada é um dos fatores chaves para o sucesso de qualquer estratégia de segurança da informação.
Assim, é importante que se ministre em base regular um treinamento de conscientização aos funcionários ou colaboradores para que estes saibam suas responsabilidades e os impactos de suas ações sobre a segurança e privacidade dos dados.
Política de Acesso Remoto
Esta política é de suma importância e ainda mais devido à flexibilidade ao trabalho remoto movido pelo contexto atual e impulsionado pela pandemia da Covid-19.
O acesso remoto envolve conectar-se a partir de qualquer dispositivo e acessar os recursos da organização. Esta política é desenvolvida para abordar a questão da exposição que os dispositivos pessoais podem trazer aos ativos da organização.
Também se estabelecem regras sobre o uso de VPNs, encriptação e acesso a certos recursos da organização pelos colaboradores que atuam remotamente.
Política de Gerenciamento de Mudança
Esta política refere-se ao processo de fazer mudanças na infraestrutura de TI e as operações de segurança da organização. O propósito desta política é assegurar que toda e qualquer mudança seja gerenciada, registada e aprovada antes de ser executada.
Sistemas e softwares estão em constante mudança ou são atualizados em virtude de diversas razões. Sem uma política de gerenciamento de mudança, incidentes inesperados podem acontecer quando mudanças ou atualizações ocorrem.
Todas as mudanças na infraestrutura de TI devem seguir procedimentos e processos bem estruturados para garantir o correto planejamento e execução das atividades. Esta política também assegura que todas as partes interessadas tenham conhecimento das atividades programadas e se minimizem os impactos negativos sobre os serviços ou aos ambientes do cliente.
Por conseguinte, é vital que as organizações estabeleçam urgentemente políticas de segurança para proteger seus ativos, assegurar a operacionalidade e continuidade de negócio, bem como cumprir com as normas e regulamentos do setor em que atuam.
Precisa de ajuda para estabelecer uma política de segurança corporativa? Nossa equipe de segurança pode ajudar sua empresa nessa árdua e recompensadora tarefa. Contacte-nos hoje e vamos ajudá-lo a atualizar qualquer política de segurança existente na sua organização ou a estabelecer uma nova.