A Política de Segurança da Informação é um documento essencial para as empresas que buscam proteger seus dados e a garantir a continuidade de seus negócios em casos de ciberataques ou outros imprevistos em seus sistemas e servidores.
Ela estabelece as diretrizes da empresa no tratamento da informação em todo seu ciclo de vida, com foco na Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade das informações.
Tenha em mente três pontos importantes
- A política deve ser aprovada e incentivada pela alta direção e divulgada para todos os colaboradores;
- Suas principais diretrizes devem ser compartilhadas com parceiros e fornecedores. Visto que a política é um documento interno da empresa, recomendamos o desenvolvimento de um documento específico para este público, que pode ser chamado de Caderno ou Anexo de Segurança;
- A política deve ser revisada anualmente ou sempre que houver alguma alteração significativa. Todas as normas de Segurança da Informação e Continuidade de Negócio devem possuir controle de versão do arquivo, contemplando no mínimo data, descrição macro do que foi alterado, responsável pela alteração e aprovador.
Os principais temas que devem ser considerados na elaboração da política de Segurança da Informação são: 1. Diretrizes e Responsabilidades - Gestão de Acessos Lógico - Política de senhas - Uso de MFA – Múltiplo fator de Autenticação - Gestores de informação (Information Owner) - Gestor do sistema (System Owner) - Classificação da Informação - Gestão de Vulnerabilidade – Servidores e estações de trabalho - Proteção e Combate a vírus, códigos maliciosos e Ransomware - Licenciamento de softwares e softwares não autorizados - Uso e controle de equipamentos - Uso de internet e correio eletrônico - Redes Sociais - Programa Mesa Limpa - Logs e Trilhas de Auditoria - Monitoramento de Segurança - Plano de Backup 1. Cópias de Segurança 2. Segurança do ambiente de backup 3. Segurança no armazenamento dos backups - Gestão de Incidentes de Segurança - Gestão de Continuidade de Negócios - Plano de Continuidade de Negócio - Plano de Continuidade Operacional - Plano de Gestão de Crise e Processo de Mesa de Crise - Plano de Recuperação de Desastres - Lista de contatos (colaboradores vitais, fornecedores, clientes) - Segurança Física - Gestão de Acessos Físico – áreas críticas - Comitê de Segurança da Informação e Continuidade de Negócios - Programa de Conscientização e treinamentos - Recomendação de uso de cofre de senhas para os colaboradores - Parceiros e Prestadores de Serviço - Avaliação de parceiros e fornecedores críticos - Exceções 2. Legislação e referências - NBR ISO/IEC 27001:2005 – Sistemas de Gerência da Segurança da Informação; - NBR ISO/IEC 27002:2005 – Código de Prática para a Gestão da Segurança da Informação; - NBR ISO 22301:2013 – Sistema de Gestão de Continuidade de Negócios; - NIST – National Institute of Standard and Technology; - Estatuto da Criança (Lei nº 8.069); - Marco Civil da Internet (Lei nº 12.965).