Como criar uma Política de Segurança da Informação

A grande duvida é como criar uma política de segurança da informação para a organização que seja aderente a cultura e aborde de forma prática as principais dores da organização em relação aos riscos à que ela está exposta.

A política de segurança da informação é o documento mais importante na implementação e mitigação de riscos associados a segurança da informação, por isso o cuidado deve ser maior na sua elaboração para satisfazer a todos os principais interessados.

Riscos da organização devem ser mapeados, para isso uma boa parcela do tempo deverá ser destinada a identificação dos riscos associados a essa organização em especifico, e tratar com “board” da organização sobre o que deve ser prioridade da segurança da informação.

A PSI  ou Política de Segurança da Informação é um documento vivo, deve ser revisado constantemente, sendo assim não se preocupe caso esqueça alguma coisa, pode ser incluído na próxima versão do documento.

A PSI será um documento essencial para condução de certas atividades, como por exemplo auditoria, assim faça menção a processos de auditoria em sua política, pois será necessário para evolução do processo.

O treinamento e conscientização em segurança da informação é crucial para a evolução da maturidade da organização no assunto, a menção a esse processo se faz necessário.

Um dos pontos mais importantes em qualquer PSI é o objetivo.

O objetivo irá limitar a abrangência de atuação da Segurança da Informação e não deve ser esquecido as obrigações da área junto a organização.

A PSI não deve ser visto como um documento técnico, muitas Políticas de Segurança da Informação se desdobram em detalhes técnicos, se atenha a mencionar o que será feito, o como será feito deixe para os demais documentos que suportaram a PSI.

A PSI deve ser clara e objetiva, assim procure não se estender muito sobre detalhes, assim o documento não precisa conter muitas paginas, peça para pessoas de áreas distintas como marketing, jurídico e RH lerem também, contribuições positivas podem vir dessas áreas.

Leia também em https://portalgsi.com.br/2015/07/20/como-implantar-um-sistema-de-gestao-de-seguranca-da-informacao-sgsi-parte-1/

 

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *