Diante da informatização dos processos empresariais, proteger a informação é algo vital. Tudo começa com a elaboração de uma Política de Segurança da Informação!
Com o aumento da importância da tecnologia da informação (TI) nos negócios, cresceu também a necessidade das empresas, independentemente do tamanho, desenvolverem uma Política de Segurança da Informação. Atualmente, grande parte das informações geradas por negócios estão em formato digital, arquivos de textos, planilhas ou armazenadas em banco de dados de sistemas integrados. Zelar por essas informações significa preservar a continuidade da empresa
Uma Política de Segurança da Informação tem por objetivo garantir o máximo de privacidade e integridade. Além de disponibilizar dados da empresa, colaboradores, clientes e parceiros. Quando é corretamente aplicada, ela acaba melhorando a produtividade dos colaboradores, em virtude do melhor uso das ferramentas disponíveis.
Nesse post iremos abordar alguns itens imprescindíveis que devem estar presentes em toda Política de Segurança da Informação. Vamos nessa?
1. Planejamento
Antes de elaborar a Política de Segurança da Informação, é necessário fazer um levantamento preliminar ou assessment. Esse processo consiste em analisar todo tipo de informações produzidas pela empresa e seus colaboradores. Assim, é possível determinar, dentre outras coisas, onde a empresa deve concentrar maior atenção e quais são suas maiores vulnerabilidades.
2. Elaboração da Política de Segurança da Informação
Uma vez feito o levantamento, o próximo passo é elaborar a política de segurança em si. Esta deve ser direcionada pelos pontos identificados no planejamento. Apesar de haver diferentes itens que podem ser incorporados à política de cada empresa, existem alguns que são imprescindíveis:
2.1. Política de Backup
A função do backup é garantir a disponibilidade de cópias de segurança a serem utilizadas quando surgir alguma necessidade.
Para elaborar a melhor política de backup, algumas perguntas precisam ser respondidas:
· Quais dados precisam ser copiados?
Nem todos os dados são relevantes para serem copiados. Fazer o backup somente do necessário torna o processo mais ágil, simples e barato.
· Onde esses dados serão copiados?
O backup pode ser feito em diferentes meios: na nuvem, em HD externo, em fita ou disco local do servidor. Cada empresa deve avaliar qual meio atende melhor às suas necessidades, dentro do seu orçamento. O mais recomendável é contar com um sistema de backup em nuvem, uma vez que em HD externo ou fita, por exemplo, pode haver danificações físicas. Além de outros aspectos, como roubo e vazamento de informações confidenciais, por exemplo.
· Qual a rotina de backup?
A rotina determina o agendamento de backup, ou seja, quando o processo deve rodar. Isso envolve definir os dias da semana, horário de início e de limite para execução. Afinal, uma vez que o processo de backup em si consome muito do servidor. Assim, pode causar lentidão na rede se entrar no horário de produção (horário comercial da empresa).
· Qual tipo de backup devo utilizar?
Existem diversas configurações possíveis – conhecidas como Full, Copy, Incremental, entre outras. Isso porque cada uma delas tem um propósito diferente e uma utilidade.
Muitas vezes é utilizada uma combinação desses tipos de backup. Por exemplo, um Full semanal – em um sábado à noite, por exemplo, já que esse tipo leva mais tempo para concluir. E este, juntamente com um incremental diário.
Desta forma, é feita uma cópia diária somente dos arquivos que sofreram alteração desde o último backup Full, somada a um backup semanal completo. Porém, cada empresa deve avaliar qual sua verdadeira necessidade. Em caso de dúvidas, conte conosco.
· Quem executa os backups?
Essa função exige um responsável específico, pois o processo tem de ser acompanhado e testado com frequência. Em empresas especializadas, como a Constantec Tecnologia, profissionais de TI automatizam este processo por meio de softwares e garantem a qualidade do backup. Saiba que pode contar com o seu backup quando necessário! Por isso, todo cuidado com este processo é fundamental.
2.2 Permissões e Senhas
O uso de senha é a forma mais convencional de evitar que pessoas não autorizadas tenham acesso às informações. Geralmente, os usuários têm acesso somente aos diretórios da rede que são pertinentes ao seu departamento e à sua função.
Portanto, a empresa deve elaborar uma política para que seus usuários utilizem senhas “fortes”. Assim, impedirão que pessoas não-autorizadas consigam acessar dados. Algumas recomendações são:
- Estabelecer um prazo de validade da senha (recomendado: 45 ou 60 dias);
- Proibir repetição das últimas senhas anteriores (últimas 4 senhas);
- Obrigar o uso de letras maiúsculas, minúsculas, números e caracteres especiais (3 dos 4 formatos, por exemplo: Exemplo123 ou exemplo1#);
- Tamanho mínimo de 8 caracteres;
- Impedir o uso do nome do usuário ou datas de nascimento.
Além disso, o usuário deve ser orientado a:
- Não fornecer a senha a terceiros;
- Não deixar a senha anotada em locais visíveis;
- Não utilizar a senha em equipamentos de terceiros, etc.
2.3. Utilização da Internet e de Correio Eletrônico
A utilização da internet e do serviço de e-mail de forma incorreta atrapalha a produtividade dos colaboradores. Além de apresentar um risco à informação. Por isso, é muito importante que a Política de Segurança da Informação aborde essa questão.
Quanto ao uso da internet, a empresa pode adotar uma política permissiva ou restritiva. Na permissiva, todos os sites ficam liberados, exceto aqueles elencados na “lista negra”.
Já na restritiva, os sites de categorias como “Perda de produtividade”, “Redes Sociais” ou “Áudio e Vídeo Online” ficam bloqueados. Assim, são liberados somente aqueles considerados necessários para execução da atividade de cada departamento ou usuário específico.
Portanto, é importante que a empresa comunique aos colaboradores:
- O que pode e o que não pode ser acessado utilizando a rede da empresa;
- Os critérios de uso do e-mail corporativo;
- Quais aplicações e softwares podem ser utilizados e instalados no computador da empresa;
- Que sua atividade poderá ser monitorada;
- Quais as punições ao descumprimento da política de segurança.
3. Implementação
Elaborada a Política de Segurança da Informação, é preciso que todos os colaboradores a conheçam e a sigam.
Muitas empresas costumam entregar a política impressa aos funcionários, geralmente no momento da admissão. E solicita-se que eles assinem um termo no qual afirmam ter a recebido, que aceitam ser monitorados e que estão cientes das punições em caso de descumprimento.
Além disso, a empresa pode organizar palestras, treinamentos e enviar constantemente e-mails corporativos alertando seus usuários da importância do cumprimento da política e ressaltando as punições às quais eles estão sujeitos.
Com a Constantec, sua empresa pode ter o estudo e aplicação das técnicas mencionadas neste post para implementar as boas práticas de segurança da informação alinhados ao seu negócio. Conheça as soluções de segurança da Constantec e reduza os riscos e a vulnerabilidade do ambiente de sua TI.
Entre em contato conosco!