A governança da segurança da informação estabelece a estrutura e os processos para proteger os ativos de uma organização, garantindo o alinhamento com os objetivos de negócio. Requer comunicação clara, revisão periódica e o compromisso de todos os colaboradores, com treinamentos e definição de responsabilidades. Essencial para uma cultura de segurança proativa.
A gestão de ativos protege o património físico e intangível da organização, estabelecendo regras de uso aceitável para recursos como equipamentos, e-mail e internet. Colaboradores são responsáveis pela salvaguarda desses ativos, utilizando-os primariamente para fins profissionais e com bom senso no uso pessoal. O monitoramento é essencial para garantir a segurança e a conformidade, evitando usos indevidos que possam prejudicar a empresa. A Esri Portugal exemplifica com políticas claras de uso de e-mail e internet.
A Segurança Física e Ambiental protege ativos tangíveis e intangíveis através de barreiras físicas, controlo de acesso e sistemas de vigilância. Instalações e sistemas críticos são protegidos contra acesso não autorizado e danos. A política de 'Secretária e Ecrã Limpo' reforça essa proteção, exigindo que informações confidenciais e dispositivos sejam guardados com segurança. A Esri Portugal garante a proteção de suas instalações e a adesão à política de 'Secretária e Ecrã Limpo'.
A cibersegurança e proteção de dados envolvem práticas e tecnologias para defender sistemas e informações de ameaças cibernéticas. Abrange gestão de vulnerabilidades, controlo de acesso rigoroso com políticas de senhas e cofres seguros, proteção contra malwares com antivírus atualizados, e rastreabilidade para auditorias. A confidencialidade é assegurada por treinamentos e proibições de divulgação, com responsabilidade contínua dos colaboradores. A Esri Portugal implementa essas medidas para proteger seus dados e sistemas.
A Continuidade de Negócios e Resposta a Incidentes garantem que uma organização se recupere rapidamente de interrupções, minimizando impactos. Isso envolve gestão de riscos, planos de mitigação e procedimentos para responder a incidentes de segurança de forma eficaz. O Plano de Recuperação de Desastres (DRP) e o Plano de Continuidade de Negócio (PCN) são cruciais, com testes e atualizações regulares. A Esri Portugal aplica estas estratégias para assegurar resiliência operacional.
A conscientização dos colaboradores é vital para a segurança da informação, educando sobre políticas, proteção de dados confidenciais e riscos. Essencialmente, proíbe o uso não autorizado de software e materiais protegidos por direitos autorais, exigindo permissão explícita e compreensão de licenças. Adicionalmente, restringe o uso de imagens com marca registrada ou inadequadas. Programas contínuos de conscientização reforçam a responsabilidade individual. A Esri Portugal foca na sensibilização sobre sigilo e propriedade intelectual.
A gestão de redes sociais e comunicações define como a organização e colaboradores interagem digitalmente para proteger a imagem e garantir conformidade. A comunicação oficial é centralizada na liderança. Colaboradores devem usar a comunicação com ética, evitando conteúdos ofensivos e usos pessoais conflitantes. Uso da internet é permitido com moderação, proibindo P2P e downloads ilegais. A Esri Portugal centraliza comunicações e orienta sobre uso consciente das ferramentas digitais.
A Política de Segurança da Informação (PSI) é um documento estratégico que orienta e sustenta a segurança dos dados em empresas. Ela garante confidencialidade, integridade e disponibilidade das informações, mitigando riscos e fortalecendo a segurança digital. Essencial para a continuidade dos negócios, a PSI define responsabilidades e padroniza práticas, sendo um pilar para a proteção de ativos e conformidade regulatória. Sua implementação eficaz depende do comprometimento de pessoas, processos e sistemas robustos, fundamentada em normas como a NBR ISO/IEC 27.001.
A proteção de ativos digitais abrange a gestão rigorosa de senhas e a conformidade no uso de softwares. A "Política de Senhas" exige configurações de complexidade e troca periódica em todos os sistemas. Softwares piratas devem ser removidos e substituídos por licenciados para evitar riscos legais e cibernéticos. Inventários de software e ferramentas de gerenciamento são essenciais para manter a segurança e a conformidade, protegendo a empresa contra vulnerabilidades e multas.
A proteção de dados é vital, focando na organização de pastas e gerenciamento de acessos para minimizar vulnerabilidades. O princípio do privilégio mínimo garante que cada usuário acesse apenas o necessário. A ferramenta "Perfil de Usuário" centraliza e documenta as necessidades de acesso, permitindo que a TI defina permissões de forma precisa e auditável, otimizando a comunicação e reduzindo retrabalhos. Isso garante que dados sensíveis sejam acessíveis apenas por pessoal autorizado, fortalecendo a segurança geral da empresa.
A Política de Privacidade complementa a PSI, detalhando como a empresa coleta, usa e protege dados pessoais sensíveis, essencial para conformidade legal (LGPD/GDPR) e confiança. Ela descreve direitos dos titulares e medidas de segurança específicas. A conformidade é guiada por normas como a ISO 27.701, que fornece uma estrutura para um Sistema de Gestão de Informações de Privacidade (PIMS), demonstrando compromisso com a privacidade e evitando penalidades. Exige processos claros, treinamento e tecnologias de proteção de dados.
A política de Acesso e Autenticação define quem pode acessar o quê e como, garantindo a segurança de sistemas e dados. Inclui controle de acesso baseado em funções, uso de MFA e auditoria contínua. Minimiza riscos e previne acessos indevidos.