Três etapas obrigatórias para a criação de políticas de proteção de dados

Os dados corporativos são atualmente os ativos mais valiosos de uma companhia e, não surpreendentemente, tornaram-se os maiores alvos de ataques e ameaças, na maioria das vezes de origem interna.

O sucesso das políticas de segurança da informação depende de diversos fatores, que vão desde a liberação dos investimentos necessários até a criação de regras voltadas à proteção de dados e à prevenção de incidentes.

Estabelecer e implementar políticas de proteção de informações críticas e confidenciais requer algumas etapas obrigatórias: a definição do problema, o desenvolvimento das regras e, principalmente, o cumprimento das normas.

1 – Defina o problema
A empresa precisa definir minuciosamente o escopo do problema para, então, mitigar seus efeitos. Uma “auditoria de dados sigilosos” – a qual inclui passos semelhantes aos percorridos em qualquer auditoria de segurança – é uma ferramenta importante para mapear quais são as informações secretas que a organização possui.

Como os dados podem ser de formatos e tamanhos diferentes, é indicado que a auditoria siga as seguintes etapas:
a. Determinar quais informações precisam ser protegidas
b. Rever os processos já implementados para proteger tais dados
c. Analisar a solidez dessas informações, identificando lacunas de proteção

A necessidade de proteção de cada informação deve ser avaliada de acordo com o valor do dado, seus usos práticos e o custo para mantê-la segura.

2 – Desenvolva as regras de proteção
O programa de proteção inclui um conjunto de políticas, processos, contratos e infraestrutura de TI para suportar tudo isso. É importante lembrar de que cada companhia tem particularidades que influenciarão a aplicação da estratégia de segurança.

Entre as particularidades estão: segmento de atuação, valor das informações confidenciais, cultura corporativa, disponibilidade de recursos financeiros, processo de seleção de funcionários, clima organizacional, entre outros.

De forma geral, um programa de proteção envolve:
a. Mecanismos de controle de acesso e gestão de identidades;
b. Regras para a utilização de dispositivos como drives USB, cartões de memória e smartphones, e acesso a sites não relacionados ao trabalho e redes sociais;
c. Restrições e protocolos que garantam o que só os usuários selecionados terão acesso aos dados sigilosos e que qualquer movimentação dessas informações será registrada;
d. Políticas expressas para regulamentar o acesso e a preservação dos dados corporativos;
e. Protocolos para bloquear o acesso de funcionários tão logo sejam desligados da companhia;
f. Revisões periódicas para a busca de possíveis brechas de segurança.

Enquanto essas políticas são voltadas aos funcionários, o programa completo de segurança corporativa inclui exigências a prestadores de serviços, fornecedores, candidatos a fusão ou joint-ventures.

Embora muitas questões de proteção e privacidade envolvam o departamento de TI, é importante que o CIO conte com o apoio das áreas jurídica, de recursos humanos, financeira e também do conselho deliberativo. Só assim há a possibilidade de desenvolver um projeto coeso e que abranja todos os níveis da companhia.

3 -Siga as regras
As etapas descritas são de extrema importância para o sucesso do programa de segurança. No entanto, se houver qualquer falha na implementação das políticas, todo o esforço anterior torna-se nulo. E se isso acontecer, não adianta culpar o orçamento disponibilizado para o projeto, as pessoas envolvidas ou os recursos tecnológicos utilizados.

No cenário atual, os profissionais de TI e os advogados são, em conjunto, a entidade que tem como principal missão proteger os dados confidenciais da organização. Por isso, é importante que o CIO trabalhe junto com o responsável pela área jurídica desde o início do projeto.

(8) Russell Beck é advogado e fundador do escritório de advocacia norte-americano Beck Reed Riden

via Três etapas obrigatórias para a criação de políticas de proteção de dados

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado.