Claudio Tadeu Lima Filho e Longinus Timochenco (*)

Em um mundo cada vez mais conectado, que leva à utilização de vários recursos digitais, as empresas têm a necessidade de lidar com crescente e variada estrutura de TI. Neste novo contexto, a Política de Segurança da Informação, PSI, deve se tornar prioritária para mitigar riscos e atuar de maneira preventiva.
Considerado um documento imprescindível para orientar e hierarquizar o acesso aos dados, essa política garante efetividade na hora de proteger informações. Portanto, saber elaborá-la é um fator que vai garantir a continuidade do negócio.
Afinal, o que é PSI?
A política de segurança da informação (PSI) é o conjunto de ações, técnicas e boas práticas relacionadas ao uso seguro de dados. Ou seja, é documento ou manual que determina as ações mais importantes para garantir a segurança da informação.
Para um melhor entendimento, vamos pensar em, por exemplo, um código de ética dentro de uma empresa. Ele estabelece como os funcionários devem agir, o que é ético e como atuar se eventualmente houver uma “quebra de confiança” por parte de algum colaborador. A PSI tem a mesma função e seu desenvolvimento e aplicação são fundamentais para o sucesso de uma empresa. Segundo algumas pesquisas de mercado, 73% dos funcionários afirmam que o motivo de vazamento de dados se deve a falhas em procedimentos internos, negligência e ações mal-intencionadas.
Nesse sentido, as Políticas de Segurança da Informação garantem que os dados sejam protegidos, especialmente de concorrentes e outras pessoas não autorizadas, sendo, portanto, uma forma de manter elementos estratégicos longe de vazamentos.
Esta política cria processos para homogeneizar a atuação dos colaboradores, de modo que todos saibam o que fazer e o que evitar. Também ajuda a administrar corretamente emergências, sempre que acontecerem. Com o desenvolvimento de um plano de contingência, é possível saber como agir para prevenir danos maiores nos dados.
Como elaborar uma PSI?
Para criação deste documento, é importante contemplar a elaboração de um diagnóstico prévio. Devemos elaborar um processo contendo um Assessment para que todos tenham um entendimento sobre quais são os ativos de informação do negócio. Sem saber quais dados devem ser protegidos, é impossível ter sucesso nesta jornada.
Portanto, faça uma análise de quais são os dispositivos utilizados, o comportamento, as informações protegidas e os níveis de acesso que serão empregados. Ao reconhecer as principais necessidades, a política se tornará mais efetiva. Além disso, oriente sua equipe sobre os três princípios básicos de segurança corporativa: confidencialidade, integridade e disponibilidade. O primeiro deles determina que os dados só podem ser acessados por pessoas autorizadas. A integridade reforça que só aqueles que têm permissão poderão alterar as informações. E, por último, a disponibilidade prevê que os dados estejam sempre disponíveis para aqueles que podem acessá-los.
Aposte na criação colaborativa
Embora a PSI deva incluir níveis de acesso à informação, hierarquização de permissões e controles de acesso, é importante que ela não seja definida de forma isolada.
O ideal é que a empresa contrate uma consultoria ou eleja um comitê interno para o tratamento desta questão. O comitê deve ter o engajamento de todos os setores e livre acesso aos colaboradores, sendo possível atender às necessidades e reconhecer padrões de atuação.
Quando a PSI for aprovada, o ideal é que seja comunicada aos colaboradores para engajá-los na proteção dos dados, com definições claras do que deve ser observado e evitado.
Para que o processo seja bem-sucedido, nada melhor do que desenvolver campanhas educativas, que envolvam palestras, workshops e treinamentos. Um fator importante que devemos considerar são as sanções e punições em caso de descumprimento da mesma. Sabendo da importância da PSI e como planejá-la, sua empresa terá todas as condições de maximizar a segurança da informação.

(*) Claudio Tadeu Lima Filho e Longinus Timochenco são, respectivamente, coordenador de Segurança da Informação e diretor de Cyber Defense da Stefanini Rafael na América Latina.