Como criar uma política de segurança da informação na sua empresa

Política de segurança da informação é um assunto diretamente ligado às mudanças que a tecnologia trouxe à dinâmica corporativa.

Os produtos e serviços são cada vez mais semelhantes, o acesso à informação é facilitado pelos instrumentos digitais e a área de TI se tornou preponderante no ganho de vantagem competitiva nas organizações, a forma com que os dados empresariais são manipulados, armazenados e tratados se torna fundamental para decidir quem vai sobreviver diante desse cenário.

O crescimento da digitalização do acervo empresarial/governamental e sua importância nas decisões estratégicas das organizações explicam porque o mundo tem assistido a um crescimento brutal na quantidade de ataques hackers nos últimos anos.

São invasões cada vez mais versáteis e arrojadas, que colocam em risco não somente o capital, mas também a própria imagem das empresas atacadas.

Nesse aspecto, vale a pena lembrar que, só em 2015, a Symantec descobriu mais de 431 milhões de novas instâncias de malware, um aumento de 35% em relação ao ano anterior.

Isso significa que foram criados 1 milhão e 179 mil malwares por dia.

Essas ameaças, aliadas à necessidade de conscientizar os colaboradores a utilizarem com responsabilidade os recursos de TI (bem como a importância de organizar a infraestrutura de tecnologia para que ela se torne mais durável, não comprometa os ativos intelectuais da empresa e seja canalizada à sua competitividade), fundamentam a importância da criação de uma política de segurança da informação dentro das organizações.

O que é política de segurança da informação?

A política de segurança da informação é o documento que orienta e estabelece as diretrizes organizacionais no que diz respeito à proteção de ativos de informação, devendo, portanto, ser aplicado a todas as esferas de uma instituição.

A PSI, como é chamada, deve ser solidificada com base nas recomendações propostas pela norma ABNT NBR ISO/IEC 27001:2005 (reconhecida em todas as partes do mundo como um referencial à gestão da segurança da informação), bem como estar em sintonia com a legislação do país.

Uma boa PSI deve conter regras e diretrizes que orientem os colaboradores, clientes e fornecedores (bem como a própria TI da organização) com relação aos padrões de comportamento ligados à segurança da informação, condições de instalações de equipamentos, restrições de acesso, mecanismos de proteção, monitoramento e controle, entre outros cuidados imprescindíveis aos processos de negócio.

O objetivo é preservar as informações quanto à integridade, confidencialidade e disponibilidade.

O que deve estar presente em uma PSI

Um bom documento que trate de política da segurança da informação deve conter, além dos objetivos, princípios e requisitos do documento, as seguintes normatizações:

Responsabilidades dos colaboradores

Diz respeito à imposição dos limites de uso, bem como às responsabilizações em caso de má utilização dos recursos de TI da empresa.

Nesse trecho, poderão ser inseridos regramentos com relação à impossibilidade de uso de dispositivos externos em equipamentos corporativos, informações sobre websites de acesso proibido, recomendações de preservação do maquinário da empresa, etc.

Responsabilidades da área de TI

Organizar a logística da TI da organização, configurar os equipamentos, instalar softwares e implementar os controles necessários para cumprir os requerimentos de segurança estabelecidos pela política de segurança da informação são fundamentais para que o documento elaborado tenha vida e funcionalidade na dinâmica da organização.

Informações ligadas à logística da implementação da TI na organização

Refrigeração de data centers, gestão de aplicações, organização física dos ativos de rede, recomendações de procedimentos, etc. Tudo o que for relacionado à implementação da infraestrutura de TI na organização pode ser descrito nesse capítulo, o qual servirá como norte nessa seara.

Tecnologias de defesa contra ciberataques

Big Data Analytics contra crackers, firewall, criptografia, controles de acesso, backups, auditorias, monitoramento de rede: esses são apenas alguns mecanismos de defesa utilizados nas empresas de sucesso para controle de dados sigilosos e que devem ser descritos em um documento de segurança da informação.

Política de treinamento aos colaboradores

Não basta implementar uma infinidade de sistemas de monitoramento de rede, recursos de Big Data Analytics para verificação algorítmica de ameaças em potencial, firewalls e serviços de Cloud Security:

A IBM’s X-Force 2016 Cyber Security Intelligence Index reportou “Em 2015,  60% de todos os ataques foram realizados por insiders, seja com intenções maliciosas ou aqueles que serviram como atores inadvertidos”. Em outras  palavras, os ataques foram instigados por pessoas que você provavelmente  confia.

Baixe nosso eBook sobre Insider Threats clicando aqui ou na imagem abaixo.

É necessário, portanto, treinamento constante e conscientização de equipes, que podem ser previstos na política de segurança da informação.

Um plano de treinamentos de longo prazo pode ser definido através da PSI, tendo como objetivo principal auxiliar cada funcionário a extrair de sistemas o melhor para aumentar sua produtividade dentro da empresa (além de despertar sua ciência sobre os riscos de fazer downloads por fontes desconhecidas, clicar em links não confiáveis, visualizar o conteúdo de spams, etc.).

6 passos para uma campanha de conscientização bem-sucedida

Segundo o Gartner, 95% das ameaças digitais começam por phishing.

Pensando nisso, listamos algumas dicas para ajudá-lo a preparar o programa de campanha de conscientização contra phishing da sua empresa, que é uma excelente forma de reduzir riscos de ataques bem sucedidos.

  1. Consiga aprovação

Como todo bom projeto, conseguir a aprovação e apoio de pessoas chave ajuda a obter o sucesso da campanha. Mesmo com uma comunicação prévia, a simulação e treinamento de ataques de phishing podem surpreender as pessoas.

O time executivo deve saber da campanha para não serem pegos desavisados quando algum colaborador perguntar sobre o phishing.

  1. Defina uma agenda

Nossa experiência comprova que realizar pelo menos uma campanha por ciclo mensal contribui significativamente para atingir os resultados e menos incidência de Phishings ao longo do ano.

Nós também recomendamos que cada campanha tenha um agendamento e duração diferenciados para evitar a identificação de padrões, como todo primeiro dia do mês, por exemplo. 

  1. Notifique as Pessoas Chave

Existem várias pessoas chave que você deveria notificar antes de começar sua campanha. Esta lista pode variar conforme a sua empresa, mas listamos alguns exemplos a seguir:

  • Time de Suporte – Os usuários podem contatar o time de suporte sobre os e-mails simulados. Nós recomendados que o time de suporte receba uma breve descrição do objetivo da campanha e tenha um discurso preparado para responder os usuários.
  • Time de Segurança – O time de segurança pode identificar os e-mails como Phishings e acidentalmente bloqueá-los como um ataque real. Coordene as campanhas com o time de segurança para evitar quaisquer confusões.
  • Líderes da Organização – Os gerentes podem ser o primeiro contato após os colaboradores caírem na simulação de Phishing. Um gerente informado pode explicar os benefícios da campanha e reduzir impactos negativos.
  • Administradores de TI – Os administradores podem identificar aumento do recebimento de e-mails e acesso ao site de treinamentos da campanha de conscientização. Recomendamos informa-los sobre os objetivos da campanha.
  1. Anuncie a Campanha

A comunicação prévia sobre a campanha de conscientização ajuda a obter os seguintes resultados:

  • Ao notificar as pessoas, você gerencia a expectativa e garante que a campanha foi aprovada pela organização. Isto ajuda a aliviar a surpresa e atenuar reações negativas.
  • Reduz o sentimento que as pessoas foram enganadas ou que se criou uma armadilha ao simular um Phishing. Ao informar dos riscos associados ao Phishing e como novas medidas devem ser tomadas, as pessoas compreendem que a simulação não é um ataque pessoal.
  • O anúncio insere um novo item nas discussões da organização e aumenta a conscientização sobre o tema. Os colaboradores começam a interagir entre si sobre Phishings.
  1. Customize sua Campanha

O PhishX possui diversos modelos de campanhas e treinamentos para você escolher e customizar. Cada modelo possui um nível de sofisticação que pode ser adequado a um momento ou a algum grupo da organização.

Recomendamos que as primeiras campanhas sejam mais simples e que conforme o aumento da maturidade e conhecimento sobre Phishings, aumenta-se o nível das campanhas para continuar a evolução do treinamento.

  1. Acompanhe os Resultados

Os painéis e indicadores do PhishX permitem o acompanhamento dos resultados das campanhas e treinamentos, com detalhamento e segmentação dos dados em diversos níveis, para analisar e identificar riscos e comportamentos da empresa, dos departamentos e das pessoas.

Como garantir que a política de segurança da informação funcione na prática

  • Planejamento: fundamental para que seja definido o perfil da empresa, suas peculiaridades, vulnerabilidades potenciais e necessidades específicas de proteção, que irão circundar o documento a ser elaborado;
  • Levantamento minucioso dos sistemas de proteção da empresa e seus ativos críticos, listando quais os principais fatores de riscos e possíveis deficiências;
  • Integração de toda a equipe: desenvolva um trabalho de endomarketing para ajudar na conscientização de que segurança da informação é responsabilidade de todos. Da alta cúpula aos estagiários, todos na empresa devem ter ciência de suas responsabilidades para evitar a violação de dados;
  • Revisão e monitoramento constante acerca da implementação efetiva das normas previstas.

A propósito, sua empresa possui uma política de segurança da informação bem desenhada?

Independente do porte da empresa, ter definido um conjunto de normas e orientações para uso dos recursos de TI como base para ganho de vantagem competitiva pode ser o diferencial entre as empresas de sucesso e as estagnadas, já que tecnologia, quando bem utilizada, garante três pontos principais: 

  • Economia de Recursos

  • Aumento de Produtividade

  • Maior Poder de Mercado

PRODUÇÃO DE CONTEÚDO

Quer saber um pouco mais de como a PROOF funciona? Conferindo nosso Institucional, você vai reparar que somos grandes produtores de conteúdo relevante de segurança da informação. Você pode conferir alguns dos nossos materiais ricos aqui embaixo ou clicando neste link 😉

Os principais relatórios de segurança em um só lugar: INSECURE – Information Security Curation Report. 

CONFIRA NOSSO BLOG 😉

1 responder

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *