A Política de Segurança da Informação é um documento estratégico.
Trata de questões relativas à segurança de dados e informações da empresa. Sendo assim, deve estabelecer as regras e padrões para proteção destes.
Para elaborar uma Política de Segurança da Informação para uma empresa, alguns requisitos são essenciais:
1. Classifique os tipos de informações da empresa
Na Política de Segurança da Informação, todos os tipos de informações e dados tratados pela empresa podem ser descritos.
2. Identifique os principais riscos (internos e externos) às informações e sistemas da empresa que precisam de proteção
É muito importante que na Política de Segurança da Informação conste todos os riscos envolvidos na operação da empresa, relativos aos dados e informações.
Por exemplo, possibilidade de ataques por vírus e malware, etc.
3. Ações de proteção e prevenção que serão adotadas
Descreva as ações de proteção e prevenção que serão adotadas e seguidas para proteger os sistemas e informações, por exemplo:
Regras de Conduta para Colaboradores:
Descrever as regras sobre cópias de documentos através de:
- pendrive
- impressões
- armazenamento físico de documentos
- compartilhamento de informações e documentos com terceiros
- acesso à internet e redes sociais, etc.
Acesso Escalonado ao Sistema:
Em regra, um colaborador só pode acessar pastas e documentos que ele necessariamente precise para executar seu trabalho.
Dessa forma, a empresa deve adotar níveis de acesso a pastas e arquivos eletrônicos. Isso porque, os níveis de acesso vão limitar a vulnerabilidade das informações.
Essas regras de níveis de acesso devem estar descritas na Política de Segurança da Informação.
Senha e Login:
Descrever as regras para criação e alteração periódica de senhas, além de alertar sobre a proibição de compartilhar a senha com terceiros.
Uso de Sistemas e Equipamentos:
Descrever as regras sobre a utilização de dispositivos eletrônicos, tais como:
- computadores, celulares e tablets
- além de telefones, internet, e-mail, impressoras, etc.
Acesso Remoto:
Detalhar as instruções para utilização do computador enquanto o colaborador estiver com acesso remoto à rede da empresa.
Monitoramento:
O monitoramento dos sistemas e rede é importante para detectar potenciais violações e acessos não autorizados.
As medidas de monitoramento devem ser descritas de forma detalhada na Política de Segurança da Informação.
Backup:
Detalhar as formas de backup dos sistemas e informações.
Por exemplo, comunicar imediatamente o DPO/Encarregado de Proteção de Dados.
4. Ações em caso de suspeitas de comprometimento da Rede ou violações
Descrever na Política de Segurança da Informação as ações (passo a passo) a serem tomadas ao identificar uma suspeita de violação de sistema e/ou vazamento de dados.
Por exemplo, comunicar imediatamente o DPO/Encarregado de Proteção de Dados.
5. Armazenamento e descarte de informações
O armazenamento de informações deve observar as regras da LGPD.
Neste sentido, o tratamento de dados (armazenamento) pode ser realizado desde que seja para o atendimento da finalidade específica pretendida, estando de acordo com uma das bases legais da lei.
O método de descarte das informações deve ser seguro.
6. Treinamento dos Colaboradores
De nada adianta a empresa estar adequada documental e sistematicamente com a LGPD se seus colaboradores não possuem uma cultura de proteção de dados, né?
Os treinamentos são de extrema importância e devem ser realizados periodicamente. A periodicidade pode constar na Política de Segurança da Informação.
Cuidado: observe sempre se existem regras específicas para a área em que sua empresa atua. Por exemplo: para instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil, observar a Circular nº 3.909, do Bacen. O ideal é sempre procurar o auxílio de um advogado especializado para elaborar documentos importantes ou revisá-los, caso eles já tenham sido elaborados pela sua empresa.