A Política de Segurança da Informação é um documento essencial para as empresas que buscam proteger seus dados e a garantir a continuidade de seus negócios em casos de ciberataques ou outros imprevistos em seus sistemas e servidores.

Ela estabelece as diretrizes da empresa no tratamento da informação em todo seu ciclo de vida, com foco na Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade das informações.

Tenha em mente três pontos importantes

  • A política deve ser aprovada e incentivada pela alta direção e divulgada para todos os colaboradores;
  • Suas principais diretrizes devem ser compartilhadas com parceiros e fornecedores. Visto que a política é um documento interno da empresa, recomendamos o desenvolvimento de um documento específico para este público, que pode ser chamado de Caderno ou Anexo de Segurança;
  • A política deve ser revisada anualmente ou sempre que houver alguma alteração significativa. Todas as normas de Segurança da Informação e Continuidade de Negócio devem possuir controle de versão do arquivo, contemplando no mínimo data, descrição macro do que foi alterado, responsável pela alteração e aprovador.

Os principais temas que devem ser considerados na elaboração da política de Segurança da Informação são:

Diretrizes e Responsabilidades

  • Gestão de Acessos Lógico
  • Política de senhas
  • Uso de MFA – Múltiplo fator de Autenticação
  • Gestores de informação (Information Owner)
  • Gestor do sistema (System Owner)
  • Classificação da Informação
  • Gestão de Vulnerabilidade – Servidores e estações de trabalho
  • Proteção e Combate a vírus, códigos maliciosos e Ransomware
  • Licenciamento de softwares e softwares não autorizados
  • Uso e controle de equipamentos
  • Uso de internet e correio eletrônico
  • Redes Sociais
  • Programa Mesa Limpa
  • Logs e Trilhas de Auditoria
  • Monitoramento de Segurança
  • Plano de Backup
    • Cópias de Segurança
    • Segurança do ambiente de backup
    • Segurança no armazenamento dos backups
  • Gestão de Incidentes de Segurança
  • Gestão de Continuidade de Negócios
    • Plano de Continuidade de Negócio
    • Plano de Continuidade Operacional
    • Plano de Gestão de Crise e Processo de Mesa de Crise
    • Plano de Recuperação de Desastres
    • Lista de contatos (colaboradores vitais, fornecedores, clientes)
  • Segurança Física
    • Gestão de Acessos Físico – áreas críticas
    • Comitê de Segurança da Informação e Continuidade de Negócios
    • Programa de Conscientização e treinamentos
    • Recomendação de uso de cofre de senhas para os colaboradores
  • Parceiros e Prestadores de Serviço
    • Avaliação de parceiros e fornecedores críticos
  • Exceções

Legislação e referências

  • NBR ISO/IEC 27001:2005 – Sistemas de Gerência da Segurança da Informação;
  • NBR ISO/IEC 27002:2005 – Código de Prática para a Gestão da Segurança da Informação;
  • NBR ISO 22301:2013 – Sistema de Gestão de Continuidade de Negócios;
  • NIST – National Institute of Standard and Technology;
  • Estatuto da Criança (Lei nº 8.069);
  • Marco Civil da Internet (Lei nº 12.965).