Semana passada, nós do Blog Agência CWS conversamos sobre a Lei Geral de Proteção de Dados (LGPD), um assunto de extrema importância para todos nós. Agora, vamos mostrar como a sua empresa pode criar uma Política de Segurança da Informação (PSI).
Caso você não tenha lido ao nosso artigo sobre a LGPD, clique no link abaixo:
https://agenciacws.com.br/o-que-e-a-lei-geral-de-protecao-de-dados-lgpd/
O que é uma PSI?
Trata-se de um documento composto por técnicas, diretrizes e boas práticas relacionadas à coleta, armazenamento, uso e descarte seguros de dados e informações de todos os seus clientes.
A finalidade da PSI é preservar os 3 princípios básicos da segurança corporativa:
- Confidencialidade: garante que os dados só podem ser acessados por pessoas autorizadas.
- Disponibilidade: garante que os dados estejam disponíveis para os autorizados.
- Integridade: garante que somente pessoas com autorização podem modificar os dados.
Em outras palavras, a PSI é como um manual composto por ações para garantir a total segurança e não violação do sistema. Muitas empresas já tem adotado uma PSI interna, mas a LGPD (Lei Geral de Proteção de Dados) está aí para obrigar a todas as empresas a organizar a sua própria PSI.
Vale sempre ressaltar que este artigo tem o intuito de auxiliar você a criar a estrutura essencial da sua própria PSI. Porém, recomendamos que você consulte um escritório de advocacia ou de TI (Tecnologia da Informação) para que a sua PSI fique robusta e se adeque à sua empresa.
Criando uma Política de Segurança da Informação
1. Escolha a equipe de responsáveis
Crie uma equipe de pessoas que serão as responsáveis pela criação, divulgação, revisão e monitoramento da PSI. A contratação de profissionais de TI (Tecnologia da Informação) é uma boa dica.
2. Faça um diagnóstico
O primeiro passo é realizar um levantamento completo de todas as informações da sua empresa que devem ser protegidas. Analise todos os atuais dispositivos de segurança utilizados em sua empresa e identifique todos os funcionários que tenham acesso às informações.
3. Categorize as informações
Com o diagnóstico pronto, categorize todas as informações que precisam ser protegidas. Com isso, será possível definir os níveis de acesso dos colaboradores, além de ferramentas de segurança a serem implementadas. Crie também um manual de emergência com ações a serem tomadas caso ocorra um vazamento dos dados.
Classificação que tem sido muito adotada:
– Internas
– Públicas
– Confidenciais
– Secretas
Essa categorização pode variar de empresa para empresa.
4. Níveis de acesso
Chegou a hora de definir os níveis de acesso. Considere 3 pontos essenciais:
- Quem acessa: os autorizados a acessarem os dados;
- Como acessa: sistemas e dispositivos utilizados pelos autorizados;
- Quando acessa: o horário em que será permitido o acesso aos dados. Como padrão, recomendamos apenas durante o horário normal de expediente.
5. Ferramentas e tecnologias contra ciberataques
Aqui, descreva em seu documento todas as ferramentas e tecnologias de segurança adotadas por sua empresa contra possíveis ciberataques:
– Backup
– Firewall
– Criptografia
– Controle de acesso
– Auditoria
– Monitoramento da rede
Caso você não tenha todos esses mecanismos, é interessante implementá-los.
6. Punições para caso as normas não sejam seguidas
Chegou a hora de descrever quais serão as consequências caso as normas de segurança não sejam seguidas. Elas podem variar desde uma advertência até uma demissão por justa causa.
É muito importante que este trecho do documento seja o mais claro possível para todos. Tenha em mente que as punições devem se basear em ações intencionais ou acidentais.
7. Treinamento e finalização do documento
Agora com a sua PSI devidamente estruturada e escrita, comunique o resultado do documento e faça treinamentos com todos os responsáveis. Essa parte é fundamental para fixar as informações na mente dos colaboradores, bem como deixar claro em relação a possíveis consequências no descumprimento das normas.
O treinamento serve também para evitar que os responsáveis não comentam erros por falta de prática. A sua PSI é um documento vital que passará a ser adotado pela sua empresa a partir de agora.
