Atualmente é cada vez mais comum termos notícias de vazamento de dados e incidentes relacionados a segurança da informação em grandes companhias. Porém, também é comum associarmos incidentes com dados a cibersegurança.
Entretanto, cibersegurança é apenas uma área da segurança da informação, que abrange mais áreas, como boas práticas no ambiente corporativo.
A segurança da informação possui 3 pilares que a compõem e são eles: confidencialidade, integridade e disponibilidade.
A confidencialidade está ligada a não divulgação da informação para partes não autorizadas, nas quais essas partes não são apenas pessoas, mas também entidades ou processos.
Uma falha na confidencialidade dos dados aconteceu em 2014 com a Sony, que teve dados vazados por cibercriminosos. Como resultado, processos foram abertos por funcionários, que tiveram informações divulgadas na internet.
A integridade é a propriedade da informação em ser completa e exata, o que traz confiabilidade e a disponibilidade procura tornar os dados acessíveis e utilizáveis pelas partes autorizadas, sempre que solicitados.
Políticas de Segurança da Informação
Afim de minimizar ao máximo o risco de vazamento de informações, corporações criam normas também chamadas de PSI (Política de Segurança da Informação). Tendo o propósito de orientar seus colaboradores a terem condutas que minimizem os riscos de falhas.
Contudo, essas PSI’s devem seguir as orientações prescritas na norma ISO 27001, que é a responsável por normatizar a criação de políticas de segurança da informação nos ambientes corporativos.
Criada em 2005 pela ISO (International Organization for Standardization) em conjunto com IEC (International Electrotechnical Comission), a norma busca garantir uma série referências para boas práticas visando a segurança da informação.
Portanto, para uma empresa criar sua PSI, deve consultar a norma para ser referência de construção.
Uma PSI antes de ser divulgada em um ambiente corporativo, é aprovada pela alta direção da empresa. Nela é estabelecida a abordagem da organização acerca do gerenciamento dos objetivos de segurança da informação.
Após essa aprovação deve ser divulgada a todos os colaboradores e também para partes externas relevantes a empresa.
Responsabilidades
Quando falamos em SI (Segurança da Informação), existem diversos atores que figuram uma estrutura organizacional e cada um tem suas responsabilidades nos processos envolvidos na SI.
Iniciando pela alta direção, que tem como responsabilidade, garantir os recursos necessários para implementação da PSI no ambiente corporativo. Também, garantir a compatibilidade da política com a estratégia corporativa.
O CGSI (Comitê Gestor de Segurança da Informação), é formado por colaboradores chaves de diversos setores da organização. Direcionam planejamento e ações referentes a SI, reunindo periodicamente para tomadas de decisão acerca do tema.
Contudo, ainda em um ambiente corporativo, existem outros personagens envolvidos, como o gestor da informação, o usuário da informação e a equipe de SI.
O gestor da informação tem como função identificar e classificar a informação, mediante critérios da PSI e as condutas presentes na empresa. Também é de sua responsabilidade gerenciar o ciclo de vida da informação, desde a criação até o descarte.
O usuário da informação, grupo mais amplo em uma organização, este formado por todos os empregados e terceiros usuários das informações da empresa, devem conhecer e seguir a PSI integralmente, conforme suas regras.
E encerrando os grupos envolvidos, temos a equipe de SI, que fica responsável pelo operacional. Atualizam as regras presentes na PSI, auxiliam o CGSI em suas deliberações e fazem a gestão de incidentes de SI, solucionando os problemas.
O processo de criação de uma PSI é bastante detalhado e minucioso, devendo observar a rotina do ambiente corporativo e suas particularidades. Entretanto, o conteúdo presente nesse artigo é apenas o pontapé inicial para conhecer essa área tão importante em uma organização.