As empresas estão investindo cada vez mais em segurança da informação, porém a grande parte do investimento é direcionado à parte tecnológica, seja na implementação de UTM, solução unificada de segurança com vários serviços, entre eles, firewall, antivírus, IPS, filtros de conteúdo, AntiSpam, entre outros, cuja a finalidade é de reduzir os riscos de infecção por pragas virtuais (trojan, vírus, worm, phishing, ransomware etc.), vazamento de informações, indisponibilidade nas operações e consequentemente aumentar a produtividade dos colaboradores, limitando o acesso somente as atividades pertinentes aos cargos.
Esta realidade é necessária para manter o ambiente seguro, em funcionamento e com desempenho favorável. Mas, somente recursos tecnológicos não terão sucesso nesta estratégia. É necessário um programa estruturado em relação a Segurança da Informação contemplando a parte Tecnológica, Física, Humana e de Processos.
A Política de Segurança da Informação (PSI) está sendo adotada pelas organizações também para situações em que a tecnologia não consegue atender, visto que, muitos incidentes estão relacionados aos comportamentos humanos (falhas humanas). A PSI é um documento formal, com validade jurídica, com foco nas pessoas e é utilizada como um complemento da Segurança da Informação, o qual irá nortear os colaboradores das diretrizes e normas criadas pela organização e que precisam ser seguidas e respeitadas.
Outro ponto muito importante da PSI é a parte de conscientização dos colaboradores, sendo realizado através de cartilhas, workshops, campanhas de conscientização. Os bancos têm prejuízos bilionários por ataques por engenharia social todos os anos, o qual evidencia um baixo nível de maturidade das pessoas em relação a ter um comportamento seguro quando utilizam os recursos tecnológicos. Kevin D. Mitinick apresenta em seu livro que 40% do investimento em Segurança da Informação deveria ser destinado a trabalhos de treinamento e conscientização dos colaboradores.
A elaboração de uma PSI tem o intuito de criar um ambiente homogêneo perante às situações tecnológicas e comportamentais. É comum empresas adotarem dois pesos e duas medidas para tratarem a mesma situação. Exemplo:
Para um determinado funcionário ou grupo de funcionários as redes sociais e sites estão liberadas para uso pessoal, enquanto para outros não.
O uso de e-mail particular está liberado para determinado setor e para outros não.
Está realidade gera insatisfação para maioria dos colaboradores pelo fato de não existir critérios para o que é permitido e de que forma é permitido. Com o desenvolvimento de uma PSI, os controles são estabelecidos e devem ser respeitados por todos os colaboradores da organização, sem distinção de cargo ou setor. Como exemplo: Se a área de Marketing precisa das redes sociais para efetuar os trabalhos, na PSI deve constar a exceção de uso das redes sociais pela área de Marketing, ou seja, todas as exceções podem estar descritas na PSI de forma clara e objetiva.
Dentro do modelo ideal de segurança, a PSI aliada aos dispositivos de segurança tecnológicos são fundamentais, não só para proteger a informação, mas para evitar paralisações e maiores prejuízos as empresas.
Podemos auxiliar na confecção de um modelo sob medida para sua empresa, pois existem modelos, conceitos, mas o mais importante é que ela atenda as necessidades reais e produtiva da empresa, aliada a segurança da informação, logo, a mesma deve ser única e personalizada.
Orientamos no processo de criação, treinamos e implantamos. Consulte-nos