O desafio de muitos gestores da área é construir uma Política de Segurança da Informação eficaz na prevenção e na mitigação de incidentes e que adeque a empresa para normas do mercado e leis, como a ISO 27001 e a LGPD. Mas além disso, a Política ainda precisa estar atualizada, adequada à realidade do negócio e sem engessar processos. É possível?
Se te perguntassem qual é o ativo de maior valor do seu negócio hoje, o que responderia? É provável que assim como a maioria dos executivos, você tenha pensado na inteligência do negócio - suas estratégias, seus processos, seus contratos, recursos e clientes. Tudo isso (e muito mais) pode ser resumido em uma palavra: Dados. A alta demanda por Segurança da Informação ao redor do globo comprova o que o The Economist já alertou: "Dados são mais valiosos que petróleo".
Assegurar um ativo tão valioso como suas informações realmente não é uma tarefa simples. A Unxpose ajuda com os primeiros passos, tornando o produto seguro para o cliente final, mas precisamos também conversar sobre os processos internos. De acordo com um estudo da IBM, 95% das brechas de Segurança e incidentes são causados pelo chamado "erro humano". Descuidos de colaboradores e desconhecimento dos devidos protocolos, por assim dizer. Então, como deixar uma empresa segura, partindo de seus processos internos?
PSI: A Política de Segurança da Informação
É aqui que entra em cena a Política de Segurança da Informação, ou PSI. Assim como há um manual do funcionário, ou até mesmo um código de ética da empresa, a PSI é o importante documento que orientará os colaboradores e processos, estabelecendo as diretrizes do ambiente de trabalho, hierarquizando os ativos e acessos, além de conter as boas práticas de Segurança para o dia a dia da empresa. Sendo assim, a PSI é vital para evitar vazamentos e incidentes, protegendo os pilares do seu negócio - sua Integridade, sua Disponibilidade e sua Confidencialidade.
Entrando em conformidade com normas e leis
Além da Lei Geral de Proteção de Dados (LGPD), que obriga as empresas a terem treinamentos internos de Segurança e tem como sanções previstas multas de até 50 milhões de reais por infração, há também a ISO 27001, norma voltada especificamente para a Política de Segurança da Informação. De acordo com a norma, Segurança da Informação existe para proteger os ativos de ataques, vazamentos, incidentes, espionagem, sabotagem e até mesmo de forças da natureza, como desastres, entre outros.
Unindo ferramentas, colaboradores e a PSI
O primeiro passo, antes mesmo da PSI, é inventariar os ativos e processos já existentes na empresa. Afinal, não é possível definir diretrizes de proteção sem saber o que precisa ser protegido. Depois, o mais recomendado é classificar as informações de acordo com seu nível de risco em caso de exposição, desde as públicas até as confidenciais. E então, já é possível começar a desenhar a PSI a partir de quem deve ter acesso à que informação, suas formas de autenticação, de armazenamento, de comunicação, de descarte e por assim seguindo. A intenção é que a PSI seja o pilar de todos os processos que envolvem as informações da empresa e seu ciclo de vida.
Unida às ferramentas e colaboradores, a PSI é então um elemento essencial do pilar de processos internos, e por isso deve ser elaborada com a ajuda de todos os departamentos, ou até mesmo um comitê unindo as diferentes áreas de empresa.
"A primeira dica para uma boa Política de Segurança é a simplicidade, pois ela deve ser exequível. Como todos os colaboradores da organização devem ler e dar um aceite, faça ela pensando no colaborador comum". RODRIGO JORGE CISO da Neoway, empresa com a certificação ISO 27001.
Levando os processos em conta de forma realista
Um dos maiores desafios de construir uma PSI é acabar com um documento extenso, técnico demais e de pouca prática no dia a dia da empresa. Muitos acabam cometendo o erro de seguir pelo caminho mais rápido, copiando uma Política de Segurança já existente, como se fosse uma fórmula única e funcional para qualquer ambiente. Aí mora o perigo.
É preciso ter a cultura da empresa em mente, a todo momento, durante a criação de uma PSI. Isso evitará regras absurdas que não fazem sentido para o ambiente e sequer para os processos dos colaboradores. De nada adianta uma política complexa, com normas impossíveis e mirabolantes, se no fim das contas o colaborador preferir o "caminho mais fácil", ignorando as diretrizes e expondo todo o processo a incidentes.
Abrindo espaço para inovação
Uma PSI não deve existir para engessar processos. Dificultar demais a execução das tarefas cotidianas dos colaboradores irá inevitavelmente criar atrito entre as pessoas e os processos seguros, e atalhos inseguros serão os preferidos. Além disso, uma PSI que não converse com a cultura da empresa acabará atrasando a implementação de novas ferramentas, novos processos e tecnologias, enfraquecendo as chances de inovação no negócio. "A Segurança deve dar suporte ao negócio e jamais atrapalhar e por isso é necessário o bom senso e o trabalho feito a 4 mãos: segurança e áreas de negócios", pondera Rodrigo Jorge.
Considerar a cultura da empresa na criação da PSI também significa abrir espaço para atualizações e inclusão de novas tecnologias e processos, principalmente para startups e empresas ágeis. É importante destacar que a política precisa ser periodicamente revisada e atualizada, sendo inclusiva com os novos processos.
Treinando, testando e recompensando seus colaboradores
Se a PSI não for reforçada constantemente aos colaboradores, ela não será praticada. Segurança é um tema complexo, pouco ensinado no dia a dia das pessoas, e por isso pouco entendido e praticado. Uma dica de ouro para tornar a PSI parte do comportamento dos funcionários é incluir dicas práticas e exemplos de boas condutas de Segurança, usando situações ou dores do cotidiano da empresa. "A PSI deve ser levada ao conhecimento de todos os colaboradores da organização com empatia, mostrando o valor dela, a proteção que ela traz para o negócio, mostrando que ela não vem para frear, mas para somar", aponta Rodrigo Jorge.
Além de treinamentos de conscientização, reforço da PSI no onboarding e materiais educativos, também é recomendado recompensar os colaboradores que tiveram boas condutas. Esta é uma boa chance para transformar os mais engajados em "Security Champions" - porta-vozes da Segurança em seus respectivos times. Afinal, a Segurança das Informações da empresa precisa ser um dever de todos, e não apenas um documento.
Conte com a Unxpose para automatizar a proteção digital do seu negócio. Unxpose é uma solução de cibersegurança que monitora, identifica e corrige falhas de segurança e vazamento de dados de forma automatizada e contínua. A solução cuida da segurança da sua empresa enquanto você faz ela crescer.
Comments