A política de segurança é um documento desenvolvido pela empresa onde se registam os princípios de segurança que a empresa adota e que devem ser seguidos pelos colaboradores. A política de segurança deve ser aplicada em todos os sistemas de informação, a nível de desktop e de mobile. Para que a política seja respeitada, é essencial que os gestores de topo participem na sua implementação, pois isso irá criar um maior engagement dos colaboradores. No artigo de hoje, deixamos-lhe algumas dicas para criar uma política de segurança de informação eficaz!
A política de segurança de informação deve impor limites de uso e penalizações no caso de haver má utilização dos recursos de TI da empresa. Neste ponto devem estar presentes regras sobre proibição do uso de dispositivos externos em equipamentos da organização, informações sobre websites de acesso restrito e recomendações sobre a preservação do equipamento.
Neste ponto devem estar presentes as regras sobre logística de TI da organização, regras de configuração de equipamentos e softwares e implementação de controlo necessário para cumprir requisitos de segurança estabelecidos. Só após a definição destes fatores é que a política de segurança da informação consegue ter um impacto significativo na dinâmica da empresa.
É importante que tenha uma postura pró-ativa e defina formas de combate a eventuais ataques. Estabeleça regras relativas a uso de firewall, criptografia, mascaramento de dados, backups, auditorias e monitorização de rede. É muito importante que este ponto esteja presente na política de segurança pois deste modo a empresa saberá como agir em caso de ataque e será capaz de retomar as operações normais com a máxima brevidade.
Deve haver uma formação prática na apresentação da política de segurança da informação. A empresa deve recolher declarações individuais dos colaboradores, comprometendo-se a cumprir as regras que constam no documento. Este manual deve ser de fácil acesso para os colaboradores e deverá ser revista com frequência, para que se mantenha sempre atualizada.
A empresa deve nomear uma pessoa responsável para monitorizar o cumprimento da política de segurança da informação. Este colaborador deve ser o responsável por detetar incumprimentos e violações das regras.
Sobre o autor