Os dados corporativos são atualmente os ativos mais valiosos de uma
companhia e, não surpreendentemente, tornaram-se os maiores alvos de ataques e
ameaças, na maioria das vezes de origem interna.
O sucesso das políticas de segurança da informação depende de diversos
fatores, que vão desde a liberação dos investimentos necessários até a criação
de regras voltadas à proteção de dados e à prevenção de incidentes.
Estabelecer e implementar políticas de proteção de informações críticas
e confidenciais requer algumas etapas obrigatórias.
Confira:
1. Defina o
problema
A empresa precisa definir minuciosamente o escopo do problema para,
então, mitigar seus efeitos. Uma auditoria de dados sigilosos – a qual inclui
passos semelhantes aos percorridos em qualquer auditoria de segurança – é uma
ferramenta importante para mapear quais são as informações secretas que a
organização possui.
Como os dados podem ser de formatos e tamanhos diferentes, é indicado
que a auditoria siga as seguintes etapas:
- determine quais informações precisam ser protegidas
- reveja os processos já implementados para proteger tais dados
- analise a solidez dessas informações, identificando lacunas de
proteção.
A necessidade de proteção de cada informação deve ser avaliada de acordo
com o valor do dado, seus usos práticos e o custo para mantê-la segura.
2. Desenvolva as
regras de proteção
O programa de proteção inclui um conjunto de políticas, processos,
contratos e infraestrutura para suportar tudo isso. É importante lembrar que
cada companhia tem particularidades que influenciarão a aplicação da estratégia
de segurança. Entre elas estão segmento de atuação, valor das informações
confidenciais, cultura corporativa, disponibilidade de recursos financeiros,
processo de seleção de funcionários e clima organizacional.
De forma geral, um programa de proteção envolve:
a. Mecanismos
de controle de acesso e gestão de identidades;
b. Regras para a utilização de dispositivos como drives USB, cartões de
memória e smartphones, e acesso a sites não relacionados ao trabalho e redes
sociais;
c. Restrições e protocolos que garantam que só os usuários selecionados
tenham acesso aos dados sigilosos e que qualquer movimentação dessas
informações será registrada;
d. Políticas expressas para regulamentar o acesso e a preservação dos
dados corporativos;
e. Protocolos para bloquear o acesso de funcionários tão logo sejam
desligados da companhia;
f. Revisões periódicas para
a busca de possíveis brechas de segurança.
Enquanto essas políticas são voltadas aos funcionários, o programa
completo de segurança corporativa inclui exigências a prestadores de serviços,
fornecedores, candidatos a fusão ou joint-ventures.
Embora muitas questões de proteção e privacidade envolvam o departamento
de TI, é importante que o CIO conte com o apoio das áreas jurídica, de recursos
humanos, financeira e também do conselho deliberativo. Só assim há a
possibilidade de desenvolver um projeto coeso e que abranja todos os níveis da
companhia.
3. Siga as
regras
As etapas descritas são de extrema importância para o sucesso do
programa de segurança. No entanto, se houver qualquer falha na implementação
das políticas, todo o esforço anterior torna-se nulo. E se isso acontecer, não
adianta culpar o orçamento disponibilizado para o projeto, as pessoas
envolvidas ou os recursos tecnológicos utilizados.
No cenário atual, os profissionais de TI e os advogados são, em
conjunto, a entidade que tem como principal missão proteger os dados
confideciais da organização. Por isso, é importante que o CIO trabalhe junto
com o responsável pela área jurídica desde o início do projeto.
Fonte: Site
ITBoard
Nenhum comentário:
Postar um comentário