O QUE É UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PSI

o olá mundo no vídeo de hoje vamos falar sobre política de segurança da informação a política de segurança da informação normalmente é chamada de PSI então eu vou usar esse termo daqui para frente para não ficar repetindo e o que que é uma PS é um conjunto de regras e melhores práticas que definem um papel da segurança da informação dentro da organização ela tem como objetivo a proteção das informações corporativas contra eventuais ameaças que podem prejudicar a operação é uma declaração formal geral da alta direção da organização ela também pode servir para organização durante ações

trabalhistas cíveis ou criminais ou da estrutura da PSI é registrado em vários documentos é importante que ela seja criada utilizando uma linguagem informal justamente por ser um documento de orientações e regras e qual o principal objetivo de um aparece aparece Visa proteger três princípios de segurança da informação na organização esses três princípios são confidencialidade integridade e disponibilidade e o que que é cada um deles a confidencialidade assegura que as informações sejam acessadas apenas por quem a relação de acesso a integridade assegura que as informações sejam íntegras garante que elas sejam confiáveis e não possam ser

alteradas ou apagadas indevidamente EA disponibilidade assegura que as informações estejam disponíveis para uso sempre que solicitados por alguém possui permissão de acesso todas as partes que compõem uma prece devem se relacionar com um ou mais desses três princípios e qual a importância da PSI na organização é uma ajuda a atingir a conformidade com leis regulamentações e certificações como por exemplo a LGP de Oficiais o a ISO 27001 e entre outras é importante também para o cumprimento de contratos por exemplo se algum cliente exige que o sistema esteja disponível 95% do tempo a psi ajuda para

que isso seja alcançado também é importante para a estratégia e objetivos da empresa para onde ela quer ir quais metas Ela Quer alcançar Quais os objetivos estão no radar se tiver algum ataque de hum ser isso pode prejudicar as metas da empresa é preciso de rosas de colaborador como por exemplo salário acabar ficando exposto para todo mundo isso pode causar algum problema interno aqui a psi vem alinhada com o propósito de tirar as pedras do meio do caminho assim facilitando para a organização atingir as suas metas é importante também para questão de prevenção de fraudes

um treinamento e orientação diminui as chances de fraude ocorreu em colaboradores ficam ligados eles percebem o problema já de início e fraudes trazem muita dor de cabeça e cursos para a organização isso é importante identificar rápido e mitigar o problema Logo no início aparece também ajuda a reduzir os erros ou não colaboradores sabe o que precisa ser feito as chances de erro diminuir erros geram custos para a organização um procedimento bem documentado de um e muita chance de um erro consequentemente menos custos para empresa e menos problemas para os colaboradores resolverem eles ficam felizes focando

seus esforços no que realmente é importante não ficam apenas apagando incêndios e por último ela ajuda na rede é nóis erros acontecem eles precisam ser reportados o mais rápido possível apontar culpados vamos fazer com que os outros colaboradores tem um medo em reportar um possível problema então o incentivo certo precisa ser dado informar a área responsável o mais rápido possível e procurar corrigir o problema outros problemas não são devidamente tratados eles ganham força e tamanho isso multiplicam o impacto e prejuízo na organização agora vamos falar sobre os tipos de documentos da ps normalmente os tipos

de documentos uma perseguição aparece normas procedimentos e termos quando aparece aparece é o porquê Porque deve seguir as regras de segurança da organização ela dá uma noção base da estrutura de segurança da empresa ela definiu os responsáveis o escopo os papéis e ações sobre os responsáveis ela informa Quais são os responsáveis e sobre o que por exemplo um comitê de proteção e privacidade de dados ele ficará responsável por gerenciar os dados pessoais na organização e fica quais os colaboradores que podem ser contratados para esse caso definir o escopo no caso quem ela é direcionada normalmente

ela é direcionada para todos organização Mas você pode criar uma prece para os colaboradores e outra para terceiros por exemplo aparece também definir os papéis dentro da organização como administrador gestor usuário encarregado etc e ela esclarece alguns pontos sobre as punições sanções caso tente cumprimento em vai avaliar isso quem vai aplicar e etc agora vamos falar sobre as normas as normas são um o que dá PS são as regras ou leis definidos pela organização sobre o que pode e o que não pode fazer dentro da empresa por exemplo uma academia ela possui normas como não

pode jogar o peso no chão guardar o peso no lugar certo não pode ficar tirando sarro dos frangos e etc a diferença nesse caso é que as normas podem ser alteradas de acordo com a aceitação da empresa por exemplo aqui às vezes mais que os pesos sejam guardados no lugar certo porque eles contrataram uma pessoa para fazer isso ou a empresa antes não permite a instalação de jogos no computador da empresa agora ela permite a instalação de um voo e específico Essa é a definição de normas e ela existe em vários lugares inclusive na sua

casa principalmente se você tiver filhos é a mesma ideia assim como qualquer lei se houveram de cumprimento pela uma punição e esse descumprimento será avaliado pela direção ela que vai decidir se haverá penalidades ou não E essas penalidades quem define é a diretoria o responsável pela segurança normalmente um analista vai apenas coletar as informações e as evidências para a diretoria e ela que vai decidir alguma coisa agora vamos falar sobre procedimentos procedimentos é o como da PSI são instruções de trabalho ele orienta como determinado A coisa deve ser feita quase com um tutorial um passo

a passo a vender da Necessidade e do contexto você queria quantos procedimentos forem necessários Quanto mais melhor isso ajuda a evitar problemas na saída de colaboradores da organização hoje o conhecimento fica documentado e ficar na empresa ele não vai embora com o colaborador por exemplo um colaborador está com suspeita de vírus no computador dele como proceder e não procedimento explicando o que deve Eo que não deve fazer vai orientar o colaborador para que ele tome a melhor decisão e não agrave a situação Caso for realmente o vírus no computador dele outro exemplo um titular de

dados pessoais fez a solicitação de acesso aos dados para empresa o que deve ser feito nesse caso Quem fará o atendimento como que será entregue isso ao efetuar todas as orientações precisam ser documentados em procedimentos bem detalhados E como que esses três documentos se relaciona a estrutura desses três documentos fica dessa forma aparece fica em primeiro lugar dando base para os demais homem seguida vêm as normas e das normas ser e os procedimentos e agora vamos falar sobre o documento de termo o termo ele não fica no meio da hierarquia dos outros documentos porque ele

é mais comum contrato mas com certeza ele tem relação com toda a segurança da empresa ele possui condições impostas pela organização não tem margem de negociação aqui é ler entender e aceitar eles plano as regras da organização quer que sejam seguidas ele delimita e exclui a responsabilidade de colaborador e da organização também ele resguarda o colaborador e organização contra riscos legais e por fim formalizou aceite de ambas as partes um exemplo de termo é a utilização correta de um computador da empresa é especificado que não autorizado a utilizar o computador da empresa para minerar criptomoedas

por exemplo ou não é permitido a divulgação de dados sigilosos para terceiros beleza montei a psi as normas procedimentos e termos tá tudo pronto como é que eu faço para avisar isso os colaboradores a forma de comunicação precisa levar em consideração a cultura da empresa não há regra para o melhor jeito para comunicar isso o analista precisa entender o que melhor funciona para que a empresa ou se por vídeo workshop treinamento palestra vídeo aula etc o importante é assegurar que todos os colaboradores tenham acesso facilitado ao documentos sempre disponibilize em todos os meses poníveis como

por exemplo digital físico a nuvem aplicativo de acesso levar em consideração também as pessoas que possuem algum tipo de deficiência como visual ou auditiva procurar fornecer isso documentos da melhor forma possível o acesso facilitado aos documentos precisa ser levado seriamente em consideração pois isso pode ser um fator chave em determinadas situações onde o colaborador precisa consultar para saber o que fazer ou com quem falar outro ponto importante a se considerar é a rotativa é de colaboradores na empresa precisa ter certeza de que quem for entrando precisa estar ciente da estrutura e existe dentro da organização

onde ela pode ser acessada e como em alguns casos pode ser importante informar essa PS para terceiros também você pode fazer isso disponibilizando acesso total ou parcial aos documentos talvez precise de treinamento e conscientização dentro daquilo que se aplica para ele algumas definições de requisitos de segurança da informação podem ser usados em contratos e claro o acompanhamento precisa ser feito por algum responsável da empresa sobre o programa de conscientização todas as pessoas precisam compreender aparece o que ela vale literalmente para todas as pessoas sem exceção todos da empresa tem a responsabilidade de fazer dar certo

por isso um caminho é fazer aparece parte integral do dia-a-dia da organização um programa de conscientização vai te ajudar nisso isso pode ser feito adaptando processo de existentes e criando o trem e você pode aplicar isso com vídeo aulas o exemplos reais um e-mail no palestras workshops comunicados oficiais cartilha material de conscientização banner etc Existem várias opções e você pode criar várias ações de conscientização Por exemplo quando colaboradora contratado ele pode fazer um treinamento para nivelar o seu conhecimento um nível de segurança da informação que a empresa Já possui ou você pode criar um treinamento

depois de algum incidente de segurança mais sério que ocorreu você pode aprender um problema e o que que tava errado corrigir e passar esse conhecimento para os demais aqui isso não venha acontecer novamente ou também criaram plano anual um ações semanais abordando vários assuntos forma rápida e objetiva para lembrar sempre da segurança dentro da empresa sobre a revisão da ps é importante que ela seja realizada pelo menos uma vez a cada seis meses os objetivos da empresa podem mudar então a pecinha precisa ser alterada me acompanhar os novos objetivos da empresa é importante manter um

histórico de revisão com o nome dos responsáveis versão e data em a sempre evidências dessas revisões porque elas serão usadas em editorias dependendo do tamanho da organização Talvez seja importante mais de uma pessoa fazer a revisão dessa PS isso vai aumentar a assertividade da PSI com os objetivos da empresa e como que eu posso criar uma PS Não dá para pegar uma peça em de uma empresa e aplicar diretamente em outra empresa vai participar até partindo template se procurar na internet você vai achar várias opções para ele mas é importante salientar que ela precisa ser

adaptada para a empresa uma das coisas que vai te ajudar a criar uma prece são as normas da família 27.000 todos os aspectos da empresa que você precisa como será você vai encontrar na ISO 27000 Você pode ler a documentação extrair os requisitos fazem sentido para sua empresa ela é um ótimo ponto de partida e com o passar do tempo surgiram novos requisitos de segurança para a organização então é importante que você saiba criar eu tento explicar e detalhar o que que empresa precisa colocar isso no documentos além de ser um amontoado de documentos que

o colaborador dormem enquanto lê aparece definir as regras e oriente a toda a organização em direção aos seus objetivos ela não é imutável e precisa ser revisada periodicamente Unindo a estratégia EA direção da empresa fica mais fácil assegurar a segurança da informação em todos os níveis da organização e por esse vídeo seria isso se eu te ajudei a ficar mais seguro se inscreve no canal e deixa o like e segue lá no Instagram e te vejo na próxima E aí E aí