Segurança da informação é um dos temas do momento, caso você ainda não conheça ela, deveria, porque ela é um pilar essencial para adequação à Lei Geral de Proteção de dados, porque é a partir dela que será protegido esses dados.
A política de segurança da informação (PSI) é uma ferramenta da Gestão de Segurança da Informação, que é um programa de ações que visam a implementação e manutenção da segurança da informação e seus controles.
Como ferramenta, ela serve para estruturar um código de conduta em boas práticas que devem serem seguidos por todos os colaboradores da organização, incluindo o c-level.
Porém, ela vai muito além de ser apenas um Código de Conduta, a Política de Segurança da Informação, servindo para definir padrões, estabelecendo diretrizes a nível estratégico do negócio da empresa, e também definir normas que estabeleçam de acordo com o nível tático do negócio, além de estabelecer procedimentos e instruções para o nível operacional.
Para que a política de segurança da informação seja efetiva e seja possível fazer um acompanhamento das boas práticas, essas padronizações deverão estar em consonância dos pilares da cultura, recursos e administração da empresa.
Aparentemente parece ser um assunto extremamente técnico da Tecnologia da Informação, por que o acompanhamento jurídico seria importante para implementação de uma política de segurança da informação?
A resposta pode ser relativamente simples, envolve pessoas e relacionamentos. O principal documento que demonstra a existência de uma Política de Segurança da Informação, é justamente a consolidação dessa Política com as diretrizes e procedimentos de boas práticas. Esse documento se torna lei dentro da organização empresarial e deverá, dentre outras ações, definir responsabilidades e punições para eventuais infrações.
Alguns elementos que acompanham a Política de Segurança da Informação, dentre outros, conforme a ISO 27002, são as definições de escopo dos requisitos legais que a empresa deve seguir, por exemplo:
- Proteção de Dados e Privacidade de Informações Pessoais
- Proteção de Registros Operacionais
- Direito de propriedade Intelectual e Industrial
Todos os três envolvem questões jurídicas importantes que devem se estar em conformidade jurídica com a legislação, devendo ter o acompanhamento jurídico nas definições dessas políticas. O Direito à propriedade industrial ou intelectual, por exemplo, pode resultar numa multa à empresa bem alta, em função de um download de torrent de programa ou produto não autêntico, pondo em risco além da segurança da informação de toda infraestrutura de T.I da empresa, também violação de direito de imagens, marcas, patentes, entre outros.
Ainda, a PSI também estabelecerá as melhores práticas que os colaboradores deverão se assegurar em cumprir, como por exemplo:
- Documento de política de segurança da informação
- Atribuição de Responsabilidades para a Segurança da Informação
- Conscientização, educação e treinamento em segurança da Informação
- Processamento correto nas aplicações
- Gestão de Vulnerabilidades Técnicas
- Gestão de Continuidade de negócios
- Gestão de incidentes e melhorias
Todos estes, destaco que a confecção do documento da política deve conter informações claras, precisas e não podem ter textos dúbios. É essencial que na construção das atribuição de responsabilidades e também no processamento correto das aplicações, o setor jurídico da empresa esteja presente na construção, para que essas normas estejam de acordo com a legislação trabalhista, para que não venha um incidente de segurança da informação gerar um passivo trabalhista, ou direito de propriedade intelectual ou autoral, por exemplo.
Se você preencher o campo abaixo, terá acesso a 3 dicas sobre o Política de Segurança da Informação que podem auxiliar na implementação da LGPD.
