Dez dicas para implementar uma política de segurança da informação em empresas

0

Problemas como fraudes, invasões, roubo de informação e ataques virtuais a servidores desprotegidos são alguns exemplos de desafios enfrentados nas empresas. De acordo com dados da pesquisa global de segurança promovida pela PwC em 2016, o número de ataques virtuais no Brasil aumentou cerca de 274%; a título de comparação, em nível global o aumento foi de apenas 38%.

Não há fórmulas simples para resolver problemas dessa natureza. Porém, algumas diretrizes básicas podem ser levadas em conta quando a internet é utilizada para a condução dos negócios. Uma política de segurança da informação pode preservar as partes envolvidas, além de antecipar soluções para problemas.

Como, então, estruturar uma política de segurança da informação? O primeiro passo é refletir sobre como a empresa enxerga e trata do assunto. Veja dez dicas que podem contribuir neste processo:

  1. Tipos de informações gerenciadas pela empresa: se são públicas, privadas, confidenciais e como é feito o seu armazenamento. É preciso definir, ainda, as pessoas que podem acessá-las;
  1. Riscos em potencial da exposição dos dados: para cada tipo de informação, identifique os riscos envolvidos em caso de vazamento e como podem ser roubadas ou vazadas. Este ponto será fundamental para definir o que deve ser protegido e o nível de proteção aplicado;
  1. Ativos tecnológicos mais importantes: faça uma lista com os softwares, banco de dados e outras soluções importantes para o negócio. Esta atividade facilita o desenvolvimento de estratégias de uso e defesa para cada um deles;
  1. Internet como ferramenta de trabalho: descrever como a internet deve ser utilizada pelos colaboradores e setores, o que é permitido e proibido/limitado, mesmo quando já são usadas ferramentas para controle dos acessos. No caso das redes sem fio para visitantes e colaboradores, pensar nos critérios de uso e quais as regras aplicáveis, diferenciando o uso público (fornecedores, clientes, dispositivos pessoas de colaboradores) do corporativo;
  1. Dispositivos móveis e removíveis: se o uso de dispositivos pessoais (smartphones, notebooks, tablets, pendrives, etc.) forem permitidos, especialmente nos casos em que estes estão conectados à rede corporativa, é aconselhado o estabelecimento de regras para o acesso na empresa, incluindo aplicação de soluções para controle dos mesmos;
  1. Serviço de e-mail e comunicadores instantâneos: indicar as boas práticas para o uso do e-mail corporativo, os tipos de arquivos que podem ser anexados e quais os conteúdos tratados, incluindo comunicadores instantâneos;
  1. Impressoras, copiadoras, servidores de arquivos e similares: quem pode ou não ter acesso aos equipamentos. No caso da estrutura digital, centralize os arquivos em um único local, com cópias, auditoria e outras facilidades de segurança;
  1. Acesso remoto à empresa para colaboradores externos: a medida vale para usuários em trânsito ou home office. Que tipo e limitações de acesso podem ser concedidas?
  1. Instalação e uso de softwares: preze pelo uso de softwares originais, pela potencial redução de riscos de vírus e derivados. Pensar, ainda, como será o controle de quem pode instalar ou utilizar estes aplicativos?
  1. Resposta e tratamento de incidentes de segurança: em caso de ataques virtuais, é preciso ter um passo a passo detalhado e padronizado respeitando as boas práticas. Evite tomar decisões por impulso.

Uma das regras principais é não usar recursos que você não consiga gerenciar e controlar. Por fim, em conjunto com o setor de recursos humanos, pensar em uma estratégia de divulgação adequada para os usuários, a fim de implementar ou relembrar a política de segurança da informação adotada na empresa. A importância da segurança virtual deve fazer parte da cultura do negócio, sendo atualizada e praticada de forma constante.

Cassio Brodbeck, CEO da OSTEC Business Security.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.