A tecnologia é elemento-chave para qualquer negócio e atualmente as empresas operam seus
principais sistemas em computadores e com grande dependência da conectividade, motivo
pelo qual a necessidade da elaboração de uma política de segurança da informação.
Além do aumento da quantidade de informações sensíveis circulando dentro da organização, o
aumento do uso de dispositivos móveis e dos serviços de cloud computing vêm impulsionando
os investimentos em ambientes de TI seguros.
Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), no Brasil, e a GDPR, na
Europa, entre outras leis que regulam o tratamento de dados, a segurança da informação
tornou-se item obrigatório para empresas de todos os tamanhos. Pois, além das multas que
possuem impacto financeiro direto, a falta de compliance com essas legislações também pode
resultar em prejuízos à imagem da empresa e outras sanções.
De acordo com a definição da norma ISO 27001: “segurança da informação” é o ato de
proteger os dados da empresa (especialmente os confidenciais) contra diversos tipos de
ameaças e riscos — espionagens, sabotagens, incidentes com vírus ou códigos maliciosos e até
acidentes, como incêndio e inundação.
Vale destacar que a norma ABNT NBR ISO/IEC 27001:2005, reconhecida em todo o mundo, é
um referencial quanto à gestão da segurança da informação, servindo para orientar na
elaboração da Política de Segurança da Informação.
Assim, para se obter a segurança da informação é necessária a implantação de uma gama de
controles que incluem procedimentos de rotina (como verificações de antivírus), infraestrutura
de hardware e software (como assinatura eletrônica de documentos), além da criação de uma
política devidamente documentada.
Desta forma, a política de segurança da informação, é um documento que vai estabelecer as
regras que ditam o acesso, o controle e a transmissão da informação em uma organização,
sendo que é um documento que requer atualização constante.
A política de segurança da informação estabelece princípios, orientações e regras para
proteger os dados que estão sob posse da empresa. Além de atender aos processos e objetivos
internos da organização, busca garantir aderência às leis que tratam do assunto, como a Lei
Geral da Proteção de Dados.
O conteúdo da Política de Segurança da Informação pode variar de acordo com a empresa. O
estágio de maturidade, grau de informatização, área de atuação, cultura organizacional,
requisitos de segurança e outros aspectos vão influenciar diretamente no conteúdo que estará
representado no documento.
A formalização do documento é essencial para o sucesso na implantação da segurança da
informação na empresa, assim como a comunicação do documento para todos os
colaboradores. A política deve conter as sanções a serem aplicadas caso haja descuidos e
descumprimentos por parte dos colaboradores, dessa forma a equipe se sentirá engajada no
objetivo de preservar a segurança e a privacidade de dados, entendendo melhor também o
impacto que seu trabalho tem nisso. E a preocupação com cibersegurança deve estar presente
em todos os processos na empresa — inclusive na escolha dos fornecedores.
Uma vez implantada a política de segurança da informação, a elevação da eficiência do
negócio e o aumento da transparência surgem como consequências naturais, sendo que o
setor de TI deve estar sempre atento ao surgimento de novas tecnologias no mercado que
podem impactar na segurança da informação da empresa.
Texto elaborado pela advogada Juliana Clarissa Karing Costa, graduada pela Universidade
Regional de Blumenau-FURB, com especializações em Direito Processual Civil, Direito
Tributário, Direito Previdenciário e Direito Público, atuante na Mattos, Mayer, Dalcanale &
Advogados Associados.