Por Guilherme Guidi* e Rodrigo Pôssas**
Segurança da Informação certamente é um tema que causa preocupação na maioria dos empreendedores. Por vezes, isso reflete a preocupação real (e muito adequada) quanto à manutenção da segurança dos ativos da empresa – informação estratégica, invenções e outros tipos de propriedade intelectual, além dos dados dos seus clientes e fornecedores, entre outros.
Em outros casos, no entanto, a preocupação é na verdade receio de ter que lidar com um tema complexo que usaria recursos relevantes que poderiam dedicados a ganhar clientes, melhorar o código-fonte ou criar um novo produto. A boa notícia? Segurança da Informação não precisa ser tão complicada.
Nesse artigo vamos repassar as principais regras que devem constar de uma Política de Segurança da Informação. Como sempre, nosso foco será em medidas simples, mas eficazes. Afinal, especialmente quando falamos de empresas em estágio inicial, o objetivo principal é garantir continuidade, construindo resiliência suficiente para que a empresa cresça e se desenvolva até ter recursos para investir adequadamente em temas como segurança da informação, proteção de dados e compliance.
O que é uma Política de Segurança da Informação?
Já destacamos antes (aqui e aqui) que as estratégias ou medidas de segurança – frequentemente denominadas “controles” – são normalmente organizadas em três grupos: medidas técnicas, medidas administrativas e medidas físicas. Caso implementadas conjuntamente e de forma eficaz, elas representam os pilares de qualquer programa de segurança da informação.
Os controles administrativos, também chamadas de “organizacionais”, visam moldar a conduta dos colaboradores para que seja garantida a proteção desses ativos. E é nesse contexto que a Política de Segurança da Informação (ou, simplesmente, “PSI”) entra em cena. Isso porque a PSI geralmente é o elemento central dos esforços de segurança da informação de qualquer empresa, buscando estabelecer regras básicas sobre (i) como os ativos, as informações e os sistemas devem ser protegidos e (ii) as pessoas responsáveis por isso.
Caso elaborada e implementada de maneira transparente, eficaz e, sobretudo, adaptada à realidade de cada empresa (sentimos em falar, mas o famoso “modelão” não serve), a PSI pode direcionar os esforços e definir os padrões de conduta dos seus colaboradores para proteger os ativos da empresa não só de hackers, concorrentes e outros terceiros, mas também de si mesma, como no caso de acidentes ou problemas decorrentes de negligência.
O que tem na Política de Segurança da Informação?
Uma política interna nada mais é do que um documento contendo regras de conduta. Uma vez que esse documento é aprovado pela diretoria da empresa e divulgados aos colaboradores, é possível cobrar seu cumprimento. No que importa, políticas de segurança da informação geralmente incluem:
- Diretrizes Gerais e Regras de Conduta: a definição das regras, processos, diretrizes gerais e demais instruções relativas à Segurança da Informação é o ponto central de qualquer PSI. É aqui que se define, concretamente, “o que é permitido e o que não é”. Nesse sentido, aqui se define como os ativos deverão ser manuseados, quais controles os colaboradores devem observar, como suas credenciais de acesso devem ser geridas, dentre tantos outros aspectos. A depender do contexto de cada organização, é comum que algumas regras sejam incluídas em documentos apartados, como procedimentos de descarte seguro de equipamentos, gestão de acesso e criptografia. Porém, caso isso não seja viável, a instituição diretamente na própria PSI pode ser importante.
- Governança e Responsabilidades: nesse ponto, define-se qual o papel de cada integrante da organização no contexto de Segurança da Informação. Perguntas úteis para começar incluem: qual a nossa estrutura societária? A partir disso, quem fica responsável pelo quê? Teremos um comitê responsável por Segurança da Informação? Quem é responsável por aprovar as medidas? E se o nosso T.I. for terceirizado, como fazemos? São perguntas que serão respondidas nessa seção e que atribuem coerência e efetividade ao programa de segurança da informação.
- Controles Técnicos: em conjunto com as medidas administrativas, os controles técnicos necessários são registrados aqui. É aqui, por exemplo, que se define a obrigatoriedade (ou não) de softwares de segurança, como antivírus, firewalls, software de prevenção de intrusões (intrusion prevention systems) ou detecção de intrusões (intrusion detection systems), obrigatoriedade de duplo fator de autenticação para se conectar aos sistemas da empresa, a possibilidade de usar equipamentos pessoais para trabalhar, entre outros.
Notícias Relacionadas
Artigo
Baixo LTV é um red flag? Sim, e sua startup devia se preocupar agora!
Se o LTV da sua startup early stage é baixo, o problema não é só agora – é que ele tende a ficar ainda pior
Artigo
A revolução da Computação Quântica: o que startups precisam saber em 2025
A computação quântica está se tornando um divisor de águas para startups que buscam escalar, otimizar e inovar mais rápido do que nunca
- Controles Físicos: caso a empresa possua ativos físicos (como uma sala de arquivo físico, ou um centro de processamento de dados), pode ser importante definir as regras de acesso, quais são as condutas proibidas, dentre outros pontos.
- Gestão de Riscos: é possível que as regras relativas à gestão de riscos sejam descritas em outras políticas. Porém, caso não seja possível, pode ser interessante se definir o apetite de risco da organização, a matriz de risco a ser utilizada, a forma de mapeamento dos riscos, além de outras questões relevantes.
- Treinamento e Conscientização: muitas vezes, os destinatários da PSI não têm qualquer familiaridade com o tema, mesmo sendo os próprios responsáveis por garantir o seu cumprimento. Dessa forma, a melhor maneira de garantir o cumprimento não só da PSI, mas também de todos os outros controles, é por meio de programas de treinamentos recorrentes, permitindo ao colaborador a oportunidade de esclarecer dúvidas e entender na prática o que o documento exige. Além disso, os treinamentos também servem como importante prova do comprometimento da organização no tema e ajudam a reduzir a chance de vazamentos de dados.
- Penalidades: a definição prévia e transparente de possíveis penalidades por descumprimento pode ser requisito relevante para garantir a aplicação de sanções, especialmente para empregados no regime CLT. Naturalmente, isso pode não ser tudo, mas certamente auxiliará a empresa nesse sentido.
A cereja do bolo: expectativa de privacidade
Todas as regras acima são muito úteis para a maioria dos casos, seguindo uma lógica clara: estabelecer regras de conduta, treinar os colaboradores nessas condutas, gerar responsabilidade e penalizar desvios. Esse jogo, entretanto, exige uma última peça essencial. A defesa dos ativos de qualquer empresa, especialmente dos ativos de T.I., pressupõe no mínimo a possibilidade de monitoramento contínuo dos sistemas contra vulnerabilidades e ameaças… mas também o monitoramento dos próprios colaboradores.
A PSI tem a função não só de orientar os colaboradores, mas também garantir rastreabilidade e responsabilidade (accountability). Isso quer dizer que a empresa precisa ter condições de rastrear as suas informações confidenciais e estratégicas, seus ativos e o que acontece nos seus sistemas. Isso também significa que, que no caso de violações das regras de segurança da empresa, seja por negligência ou intenção, a empresa precisa ser capaz de identificar e responsabilizar o colaborador infrator.
Isso tem relevância tanto do ponto de vista de governança em segurança da informação, mas também do ponto de vista trabalhista: o monitoramento do comportamento do colaborador nos ambientes da empresa, incluindo sistemas e dispositivos da empresa, geralmente só é considerado válido pela Justiça do Trabalho quando a empresa deixa claro que, naqueles ambientes de trabalho, o empregado não tem qualquer expectativa de privacidade. E a Política de Segurança da Informação é o documento perfeito para deixar isso claro.
Segurança da Informação certamente não se resume a uma política, algumas folhas de papel com ordens e diretrizes. No entanto, a PSI é ferramenta básica e essencial para qualquer empresa que queira proteger seus ativos, seja de terceiros ou de si mesmo. Um Sistema de Gestão de Segurança da Informação, ou SGSI na sigla utilizada nas normas técnicas da família ISO 27.000, certamente demanda outras medidas e controles. No entanto, prezando pelo ditado de que “o simples bem-feito geralmente funciona”, esse certamente é um passo importante para começar a construir as paredes do seu castelo.
Para saber mais sobre o Freitas Ferraz Advogados, consulte nosso site e não deixe de nos acompanhar no LinkedIn e no Instagram!
* Guilherme Guidi é head de Direito Digital do Freitas Ferraz Advogados, Doutor e Mestre em Direito pela USP e Professor da PUC-Minas.
** Rodrigo Pôssas é advogado associado de Direito Digital do Freitas Ferraz Advogados, bacharel em Direito pela Faculdade de Direito Milton Campos e pós-graduado em Direito Digital, Proteção de Dados e Cibersegurança pela PUC-PR.
O Freitas Ferraz nasceu com o propósito de combinar excelência técnica, experiência e dinamismo na assessoria jurídica empresarial. Atendemos organizações nacionais e internacionais de diferentes setores de mercado, atuando nas áreas mais importantes do ambiente de negócios. Com uma equipe de profissionais altamente qualificada, prezamos por um ambiente de trabalho de intensa colaboração, o que contribui para a retenção de nossas pessoas e atração de novos talentos, multiplicando a cultura de meritocracia do Freitas Ferraz. Visamos uma parceria de longo prazo com nossos clientes, baseada na confiança de uma atuação ética, estratégica e eficiente, contribuindo para a viabilização dos negócios e do crescimento das empresas e instituições que atendemos
