A Política de Segurança da Informação é um documento estratégico.

Trata de questões relativas à segurança de dados e informações da empresa. Sendo assim, deve estabelecer as regras e padrões para proteção destes. 

Para elaborar uma Política de Segurança da Informação para uma empresa, alguns requisitos são essenciais:

 

1. Classifique os tipos de informações da empresa

 

Na Política de Segurança da Informação, todos os tipos de informações e dados tratados pela empresa podem ser descritos.

 

2. Identifique os principais riscos (internos e externos) às informações e sistemas da empresa que precisam de proteção

 

É muito importante que na Política de Segurança da Informação conste todos os riscos envolvidos na operação da empresa, relativos aos dados e informações.

Por exemplo, possibilidade de ataques por vírus e malware, etc.

 

3. Ações de proteção e prevenção que serão adotadas

 

Descreva as ações de proteção e prevenção que serão adotadas e seguidas para proteger os sistemas e informações, por exemplo: 

Regras de Conduta para Colaboradores:

Descrever as regras sobre cópias de documentos através de:

  • pendrive
  • impressões
  • armazenamento físico de documentos
  • compartilhamento de informações e documentos com terceiros
  • acesso à internet e redes sociais, etc.

Acesso Escalonado ao Sistema:

Em regra, um colaborador só pode acessar pastas e documentos que ele necessariamente precise para executar seu trabalho.

Dessa forma, a empresa deve adotar níveis de acesso a pastas e arquivos eletrônicos. Isso porque, os níveis de acesso vão limitar a vulnerabilidade das informações.

Essas regras de níveis de acesso devem estar descritas na Política de Segurança da Informação.

Senha e Login:

Descrever as regras para criação e alteração periódica de senhas, além de alertar sobre a proibição de compartilhar a senha com terceiros.

Uso de Sistemas e Equipamentos:

Descrever as regras sobre a utilização de dispositivos eletrônicos, tais como:

  • computadores, celulares e tablets
  • além de telefones, internet, e-mail, impressoras, etc.

Acesso Remoto:

Detalhar as instruções para utilização do computador enquanto o colaborador estiver com acesso remoto à rede da empresa.

Monitoramento:

O monitoramento dos sistemas e rede é importante para detectar potenciais violações e acessos não autorizados.

As medidas de monitoramento devem ser descritas de forma detalhada na Política de Segurança da Informação.

Backup:

Detalhar as formas de backup dos sistemas e informações.

Por exemplo, comunicar imediatamente o DPO/Encarregado de Proteção de Dados.

 

4. Ações em caso de suspeitas de comprometimento da Rede ou violações

 

Descrever na Política de Segurança da Informação as ações (passo a passo) a serem tomadas ao identificar uma suspeita de violação de sistema e/ou vazamento de dados.

Por exemplo, comunicar imediatamente o DPO/Encarregado de Proteção de Dados.

 

5. Armazenamento e descarte de informações

 

O armazenamento de informações deve observar as regras da LGPD.

Neste sentido, o tratamento de dados (armazenamento) pode ser realizado desde que seja para o atendimento da finalidade específica pretendida, estando de acordo com uma das bases legais da lei.

O método de descarte das informações deve ser seguro.

 

6. Treinamento dos Colaboradores

 

De nada adianta a empresa estar adequada documental e sistematicamente com a LGPD se seus colaboradores não possuem uma cultura de proteção de dados, né?

Os treinamentos são de extrema importância e devem ser realizados periodicamente. A periodicidade pode constar na Política de Segurança da Informação.

 

Cuidado: observe sempre se existem regras específicas para a área em que sua empresa atua. Por exemplo: para instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil, observar a Circular nº 3.909, do Bacen. O ideal é sempre procurar o auxílio de um advogado especializado para elaborar documentos importantes ou revisá-los, caso eles já tenham sido elaborados pela sua empresa.