o que e preciso para desenvolver uma politica de segurança da informação
Soluções para a tarefa
Resposta:
O que é uma boa política de segurança?
A norma ISO 27001 estabelece diretrizes gerais para a gestão de informações. E a segurança é uma parte fundamental desta gestão. Investir em proteção contra invasões, roubo, sequestro de informações e até espionagem corporativa, significa assegurar seus dados e a continuidade do negócio.
A política de segurança, nesse contexto, será o conjunto de regras que irá ditar o comportamento dos usuários e dos dispositivos. Ela deve ser um dos pilares principais da gestão e deverá seguir sendo modificada conforme o tempo. Contudo, não basta copiar uma política genérica, e acreditar que tudo ficará bem. O desenvolvimento das regras deve ser feito de acordo com o cenário e as necessidades atuais da empresa.
Quando feita de forma customizada, o investimento financeiro e de recursos pessoais é mais baixo do que eventuais prejuízos causados por cibercrimes. Além disso, desse modo, não há gastos com obtenção de equipamentos, licenças, ferramentas e treinamentos redundantes e/ou desnecessários.
Para uma boa política, garantir a implantação plena dos controles dos procedimentos também é necessário. Depois que as regras de acesso, armazenamento, controle e transmissão das informações forem devidamente documentadas, pode-se iniciar o processo de implementação e treinamento.
Lembrando que este não é um documento imutável e fixo. As atualizações serão feitas conforme o cenário e as necessidades da companhia vão se alterando. Vale reforçar também que é responsabilidade de todos na companhia assegurar que a política está sendo seguida e melhorada, idealmente com revisões periódicas.
Como criar uma política de segurança que reduza suas vulnerabilidades?
Eliminar a subjetividade e criar processos claros ajuda os colaboradores a lidar com informações sensíveis – sem criar brechas para possíveis riscos, já que as ações deverão seguir um modelo pré-definido.
Cientes disso, abaixo elencamos alguns pontos principais, que poderão variar de acordo com a sua empresa, para se atentar na hora de criar ou revisar a sua política de segurança da informação.
Regras para senhas
Senhas deverão ser fortes, contendo um tamanho mínimo, incluindo caracteres especiais. A troca periódica delas, por via de regra, também ajuda a blindar os acessos em caso de vazamento de senhas.
Estabelecer graus de acessibilidade para diferentes times e profissionais
Diferentes equipes e profissionais, de acordo com o departamento e hierarquia, precisarão de acessos diferentes de documentos. Afinal, não são todas as pessoas da companhia que necessitam ou devem visualizar e editar documentos sensíveis.
Planos de contingência e gerenciamento de riscos
Quais são os maiores riscos que a empresa pode enfrentar? Em meio a um ataque, quais informações e setores precisarão mais de atenção? Ter um plano de contingência garante que nada seja perdido em um cenário adverso, principalmente dados que não podem cair nas mãos erradas.
Cronograma de backups
Cópias de segurança devem ser criadas periodicamente, por isso estabelecer uma rotina de backups pode automatizar esse esforço, aplicando regras de acordo com a categorização previamente feita das informações.
Na prática, também vale separar os dados por prioridade, visto que dependendo das informações que se quer preservar, não é necessário criar mais do que duas cópias, em armazenamentos diferentes.
Instalações e atualizações de softwares
Ao permitir a instalação de qualquer software, sem um controle rígido, toda a rede fica vulnerável. E, além das instalações indevidas, todos os programas devem se manter atualizados. Isso porque, as atualizações disponibilizadas pelos fabricantes diminuem as brechas que existiam em versões anteriores, utilizadas como porta de entrada por invasores.
Explicação: