Fluir Soluções em TI

Menu

Plano de Segurança

Em Gestão e Consultoria de TI, Infraestrutura, Segurança de Dados e InformaçõesPostou

Com os avanços da tecnologia nunca houve tantas informações sensíveis circulando dentro e fora das empresas. E junto veio a preocupação com ambientes de TI mais seguros.

Existe uma economia no mundo digital. As operações das empresas acontecem 100% online ou utilizando muito desse espaço, tornando os dados um ativo valioso e muito vulnerável.

O plano de segurança é um conjunto de regras documentadas para definir o acesso, o controle e a transmissão de informações em uma empresa. E conforme os três pilares da segurança da informação, trata-se de um documento que visa manter a integridade, assegurar a disponibilidade e garantir a confidencialidade dos dados das organizações.

O plano de segurança, ou seja, um documento que estabeleça as normas para gerenciar, controlar e proteger os dados corporativos, de maneira nenhuma é um plano inalterável, pois serve aos propósitos da empresa, as constantes atualizações e ajustes. Não existe um modelo padrão ou único, cada segmento de atuação tem suas especificidades, incluindo regulamentações e necessidades próprias. 

Como elaborar um plano de segurança?

A seguir mostraremos os 5 passos para a elaboração do plano.

  1. Defina os responsáveis

As pessoas ficarão responsáveis não apenas por elaborar o plano, mas também divulgá-la, monitorá-la e revisá-la quando necessário. Suas definições devem estar sintonizadas com as necessidades e objetivos do negócio como um todo.

  1. Faça um diagnóstico geral

Nessa etapa, será preciso identificar todos os ativos de informação do negócio, assim como os acessos, ameaças e vulnerabilidades, organizando-os dos menos críticos aos mais críticos. Aqui, o objetivo é saber com clareza quais são os dados e ativos que demandam proteção, analisando os riscos e as ações prévias que já foram realizadas para promover segurança.

Mapeie os riscos de segurança que a empresa possui. O mapeamento precisa ser muito bem executado, identificando os possíveis riscos para reduzir os impactos que eles poderão gerar. O processo precisa ser realizado por um profissional de tecnologia da informação que tenha conhecimento teórico na área, orientando-se pela Norma ABNT NBR ISO/ IEC27005:2008 (Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da Informação) que define as diretrizes para o processo de Gestão de Riscos de Segurança da Informação. A Norma 27005 apresenta vários conceitos importantes:

Risco: é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização.

Medida de risco: é a combinação da probabilidade de um evento indesejável e a sua consequência.

A norma recomenda um roteiro: contextualização, análise e avaliação do risco. E define em seus anexos algumas abordagens para o processo de tratamento de risco:

  • Avaliação considerando a probabilidade da ameaça e facilidade de exploração (fragilidade dos controles) e chegando ao nível (medida) de risco. Podemos ter uma visão dos riscos existentes.
  • Priorização de ações sobre o risco, considerando os impactos (consequências), esta maneira ficará coerente quando tratarmos de riscos operacionais onde primeiro será analisado o que impede a organização (ou área da organização) de atingir os seus objetivos e depois consideraremos o custo dessas ações. A norma indica um caminho estruturado, cada organização deve implantar da maneira que lhe seja mais conveniente, a norma é uma trilha e não é um trilho.
  1. Classifique as informações

Classifique os dados corporativos por tipos, separando-os entre os seguintes grupos, por exemplo: internos, públicos, secretos e confidenciais. A partir dessa classificação, será possível definir quais informações demandam maior controle e nível de proteção. Essa análise inicial permitirá estabelecer os níveis de acesso de cada colaborador da empresa aos diferentes dados, assim como estimar os possíveis impactos para a reputação do negócio caso haja incidentes.

  1. Estabeleça critérios para acesso aos dados

Defina critérios ou níveis de acesso às mesmas. Em outras palavras, quais colaboradores poderão acessar os dados empresariais? E de que forma?

Para tanto, será preciso fazer 3 questionamentos:

Quem acessa? Definição das funções que podem acessar determinados dados;

De que forma acessa? Definição dos dispositivos e sistemas pelos quais os dados poderão ser acessados e;

Quando acessa? Definição do período permitido para consulta dos dados, por exemplo: poderão ser acessados fora do horário de expediente?

  1. Defina os processos que serão impactados

Quais as rotinas de trabalho e processos corporativos serão modificados e aprimorados para garantir a segurança dos dados.

  • definição de regras para uso de credenciais e senhas de acesso;
  • formulação de planos de gerenciamento de riscos e de contingência;
  • elaboração de cronogramas de backup;
  • controle do acesso aos espaços físicos e;
  • definição de políticas de atualização de softwares.

Como implementar o plano de segurança com sucesso no seu negócio?

A jornada de implementação é essencial para o sucesso e a eficácia do plano de segurança na empresa, transitar da elaboração para a prática exige cumprir algumas etapas importantes, como:

  • Verificação do alinhamento do plano com as políticas do negócio, incluindo a sintonia dos valores, missão e visão;
  • Aprovação: o plano não vai longe sem a adesão do nível mais alto de gestão e demanda a aprovação do RH no que diz respeito às leis trabalhistas;
  • Documentação e divulgação: a formalização é essencial para o sucesso na implantação, assim como a comunicação do documento para todos os colaboradores da empresa. O plano deve conter as sanções a serem aplicadas caso haja descuidos e descumprimentos por parte da equipe;
  • Definição e aplicação de treinamento: todos s colaboradores (devem ser treinados para conhecer e aplicar as normas de segurança, capacitando-se acerca das medidas e metodologias de proteção de dados;
  • Programação de uma agenda de conscientização periódica da equipe: os colaboradores serão relembrados do que deve e não deve acontecer no ambiente interno. O objetivo, aqui, é reduzir riscos, erros e falhas de segurança nas rotinas de trabalho.

Quando bem elaborado, um plano de segurança pode garantir a proteção de empresas no ambiente digital. Embora exija esforços por parte dos gestores e de toda a equipe, a elaboração de um plano de segurança traz inúmeras vantagens para a minimização de riscos, à proteção de dados corporativos críticos, cuidando dos ativos mais valiosos e do alinhamento estratégico das corporações.

Fonte: ADDEE, GAT, CCM, Backup Garantido e Techoje.