Antes de falarmos sobre as politicas de segurança da informação, vamos entender o que é segurança da informação e como esse tema pode afetar drasticamente a vida da sua empresa.
Segurança da informação é um conjunto de práticas que uma organização implementa em sua gestão para garantir a integridade, disponibilidade e confidencialidade das informações, não importando em que meio essas informações se encontram.
Por que as empresas estão tão preocupas com a segurança de suas informações? E por que nunca se falou tanto sobre esse tema como está se falando agora? Simplesmente porque as informações se tornaram um dos ativos mais preciosos de uma empresa, os riscos das penalidades legais por perda ou exposições das informações aumentaram, necessidade do conhecimento e dos controles dos riscos que a empresa está exposta, podendo pôr em risco a continuidade de negócio, esses são alguns dos motivos que estão levando as organizações a colocar em seu radar a implantação de um sistema de gestão da segurança da informação bem estruturado e eficaz.
Para implementar um SGSI a organização precisa definir estratégias, políticas, objetivos, planos, controles, procedimentos, conhecer seus riscos, seus ativos e pessoal engajado. A estruturação do sistema de gestão de segurança de informação pode ser baseado na ISO 27001.
Podemos dizer que existem dois níveis de política de segurança da informação, sendo eles: a política de alto nível, que é definida pela alta direção, onde fornece as diretrizes do sistema de gestão da segurança da informação.
A política de alto nível é definida e aprovada pela alta direção, ela deve demonstrar o seu comprometimento com a segurança da informação, atendimento aos requistos legais aplicáveis e com a melhoria continua do SGSI.
Então como criar uma politica de segurança da informação de alto nivel? Para criar a politica a organização deve conhecer o seu contexto, ou seja o ambiente que ela esta inserida, os ambientes externo e interno, seus riscos e oportunidades, pontos fortes e pontos fracos, entender os requisitos das suas partes interessadas relevantes ao seu negócio, ter o escopo do sistema bem definido, com seus limites e justificativas. Com essas questões todas estabelecidas e conhecidas é possivel criar a politica do sistema de gestão de segurança da informação e planejar os seus objetivos. Essa politica deve ser comunicada, entendida internamente e disponibilizada as partes interessadas como apropriada.
No nível mais baixo, a política de segurança da informação deve ser apoiada por políticas específicas que exigem a implementação de controles, que são as politicas de controles, especificadas no anexo A da ISO 27001.
Essas politicas estabelecem os controles e devem estar associadas aos riscos identificados nos processos e atividades que compõe o escopo do sistema e também cobrir temas como: controle de acesso, classificação e tratamento da informação, segurança física e do ambiente, gestão de ativos, mesa limpa e tela limpa, transferência de informações, dispositivos móveis e trabalho remoto, restrições sobre o uso e instalação de software, backup, transferência da informação, proteção contra códigos maliciosos, gerenciamento de vulnerabilidades técnicas, criptografia, segurança nas comunicações, proteção e privacidade da informação de identificação pessoal, relacionamento na cadeia de suprimento, conformidade(compliance), essas políticas devem ser aprovadas, implementadas, comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis aos usuários pertinentes.