Políticas de segurança da informação escritas são essenciais para a segurança da informação organizacional. Isto é válido tanto para grandes como para pequenas empresas, pois padrões de segurança frouxos podem causar perda ou roubo de dados e informações pessoais. Políticas escritas dão garantias aos funcionários, visitantes, contratantes ou clientes de que a sua empresa leva a sério a segurança das suas informações.
As políticas de segurança da informação são instruções escritas para manter a informação segura. As políticas devem incluir orientações sobre senhas, uso de dispositivos, uso da Internet, classificação das informações, segurança física – como na segurança física das informações – e requisitos de relatórios.
Política de senha/PIN
Desenvolver uma senha e uma política de número de identificação pessoal ajuda a garantir que os funcionários estejam criando suas credenciais de login ou acesso de maneira segura. Orientação comum é não usar aniversários, nomes ou outras informações facilmente alcançáveis.
Controles de dispositivos
Métodos de acesso a computadores, tablets e smartphones devem ser estabelecidos para controlar o acesso à informação. Os métodos podem incluir leitores de cartões de acesso, senhas e PINs.
Os dispositivos devem ser bloqueados quando o usuário se afasta. Cartões de acesso devem ser removidos, e senhas e PINs não devem ser anotados ou armazenados onde possam ser acessados.
Avalie se os funcionários devem ter permissão para trazer e acessar seus próprios dispositivos no local de trabalho ou durante o horário comercial. Dispositivos pessoais têm o potencial de distrair os funcionários de suas funções, bem como criar violações acidentais da segurança da informação.
Ao elaborar políticas para uso de dispositivos pessoais, leve em consideração o bem-estar dos funcionários. Famílias e entes queridos precisam de contacto com os funcionários se houver uma situação em casa que exija a sua atenção. Isto pode significar fornecer uma forma de as famílias receberem mensagens aos seus entes queridos.
Devem ser desenvolvidos procedimentos para reportar perdas e danos de dispositivos relacionados com o negócio. Você pode querer incluir métodos de investigação para determinar a falha e a extensão da perda de informação.
Uso da Internet/Web Não só o uso pessoal da web amarra recursos, mas também introduz os riscos de vírus e pode dar aos hackers acesso à informação.
O e-mail deve ser conduzido através de servidores de e-mail empresarial e clientes apenas, a menos que o seu negócio seja construído em torno de um modelo que não o permita.
Muitos esquemas e tentativas de infiltração nos negócios são iniciados através de e-mail. Orientação para lidar com links, tentativas aparentes de phishing, ou e-mails de fontes desconhecidas é recomendada.
Desenvolva acordos com funcionários que minimizem o risco de exposição de informações no local de trabalho através de redes sociais ou outros sites de rede pessoal, a menos que seja relacionado a negócios.
Criptografia e Segurança Física
Você pode querer desenvolver procedimentos de criptografia para suas informações. Se a sua empresa tem informações como números de cartões de crédito de clientes armazenados em um banco de dados, a criptografia dos arquivos adiciona uma medida extra de proteção.
Procedimentos de controle de chaves e cartões-chave, como registros de emissão de chaves ou chaves separadas para diferentes áreas podem ajudar a controlar o acesso às áreas de armazenamento de informações.
Se a identificação for necessária, desenvolva um método de emissão, registro, exibição e inspeção periódica da identificação.
Estabeleça um procedimento para visitantes. O check-in de visitantes, crachás de acesso e logs manterão as visitas desnecessárias em cheque.
Requisitos de Relatório de Política de Segurança
Os funcionários precisam entender o que precisam reportar, como precisam reportar e a quem reportar. Instruções claras devem ser publicadas. O treinamento deve ser implementado na política e ser conduzido para garantir que todos os funcionários entendam os procedimentos de geração de relatórios.
Empower Your Team
Uma chave para criar políticas eficazes é garantir que as políticas sejam claras, fáceis de serem cumpridas e realistas. Políticas que são excessivamente complicadas ou de controle irão encorajar as pessoas a contornar o sistema. Se você comunicar a necessidade de segurança da informação e capacitar seus funcionários a agir se eles descobrirem um problema de segurança, você desenvolverá um ambiente seguro onde a informação é segura.