Uma política de segurança de dados especifica detalhes sobre como os dados do cliente, PII de funcionários, propriedade intelectual e outras informações sensíveis devem ser manuseadas. As vezes referida como “política de segurança de dados dos clientes”, mas o termo política de segurança de dados é mais preciso e amplo.
A política de segurança de dados deve incluir duas categorias amplas de elementos: Políticas que se aplicam a pessoa e políticas que se aplicam a tecnologia.
Conteúdo relacionado: [Ebook Gratuito] 10 questões para avaliar a segurança de dados na sua empresa
Elementos pessoais da política de segurança de dados
Aqui estão os principais elementos focados na pessoa para se ter em mente ao desenvolver ou revisar uma política de segurança de dados para uma companhia:
- Uso aceitável
Qualquer um que tenha logado na rede da corporação nos últimos 10-15 anos provavelmente foi recebido com um pop-up de aceitação de política de uso. A aceitação da política de uso define o comportamento próprio e improprio quando os usuários acessam os recursos de rede da companhia, incluindo restrições dos recursos da companhia para atividades não relacionadas ao negócio. Ele pode detalhar também qualquer monitoramento que a companhia faça para garantir a aceitação da política de uso.
- Senhas
Estabelecer uma política de senha é outra parte básica de uma política de segurança de dados. A política de senhas deve claramente mostrar os requisitos de tamanho e complexidade de senhas e qual a validade delas, assim como o procedimento de resetar senhas esquecidas.
- E-mail
Por conta dos serviços de e-mail serem críticos para os funcionários, fabricantes e clientes, sua política de segurança de dados deve especificar detalhes sobre como o e-mail deve ser usado, se as caixas de entrada são criptografadas e as técnicas usadas para combater phishing e outros vetores de ataque que utilizam o e-mail como alvo.
- Auditoria
Auditar tentativas de acesso, alterações nas configurações do sistema e atividade na rede é crítico tanto para a segurança quanto para as várias regulações de conformidade desenhadas para proteger dados sensíveis. As políticas de segurança de dados devem falar o nível de controle requisitado e os métodos para atingi-lo.
- Redes sociais
A maior parte das companhias não aprova o uso das redes sociais durante o expediente, mas é necessário dizer explicitamente exatamente qual, caso haja, rede social é aceitável.
- Relatórios de incidente de segurança
A política de segurança de dados deve endereçar os relatórios e resposta a incidentes, especificando como as brechas de segurança dos dados foi lidada e por quem, assim como os incidentes devem ser analisados e as “lições aprendidas” que devem ser aplicadas para a prevenção de incidentes futuros.
Elementos da tecnologia de uma política de segurança de dados
Aqui estão os elementos de segurança de dados focado na tecnologia para se ter em mente ao desenvolver ou revisar os procedimentos da política de segurança de dados:
- Segurança do sistema
Assegurar física e logicamente os servidores, roteadores, firewalls e outros ativos de TI é um requisito para a maior parte das políticas de segurança de dados. Garantir que você consiga realizar o backup, restaurar e gerenciar as configurações do servidor faz com que seja mais fácil de reconstruir ou substituir um servidor que travou ou foi comprometido.
- Gerenciamento de dispositivos moveis
A explosão da utilização dos dispositivos moveis em ambiente corporativos apresentou um desafio formidável a muitas companhias. Uma opção é segregar os dispositivos moveis em redes com pouco ou nenhum acesso as intranets da corporação, especialmente para dispositivos moveis dos funcionários e convidados.
- Criptografia
As melhores praticar requerem a política de segurança de dados criptografe os dados, tanto em repouso quanto em trânsito, para que eles se tornem ilegíveis por qualquer terceiro que consiga posse deles. O processo de classificação de dados pode ser usado para aplicar criptografia a certos tipos de dados, como dados protegidos por regulações.
- Scans de vulnerabilidade
Scan de vulnerabilidades nos softwares é bem sofisticado e é uma necessidade em todas as políticas de segurança de dados. Em particular, garantir que as portas do firewall sejam monitoradas contra invasores é um dos principais componentes da segurança de dados
- Gerenciamento e monitoramento de controle de acesso
Implementar mecanismos compreensíveis de controles de acesso para gerenciar o acesso aos dados pode ser atingido tanto por técnicas de hardware como de software. Por exemplo, o gerenciamento de acesso remoto e a autenticação de múltiplos fatores podem ajudar a proteger os dados.
- Inventário de software, gerenciamento de licença e gerenciamento de patch
Manter uma contagem precisa de todos os softwares adquiridos, instalados e em uso é crítico para a manutenção da conformidade com os termos de licença e controles de custo. Scanear tanto os computadores dos usuários finais quanto os servidores para softwares não autorizados ou sem licença e garantir o gerenciamento de patch apropriado também é crítico para a segurança de dados e a conformidade com os requisitos de política de privacidade de diversas regulações.
- Backup, recuperação e recuperação de desastre (DR)Os profissionais de TI devem garantir que todos os dados tenham backup e que esse backup esteja o mais protegido possível. A proteção destes dados devem incluir segurança física e lógica destes conjuntos de dados usando técnica como armazenamento fora de site e criptografia. Os backups devem ser testados e você deve ser capaz de recuperar os dados rapidamente. Também é sábio ter um ambiente dedicado para recuperação de desastre, idealmente um que você possa fazer failover quando necessário.
Conclusão
Como você pode ver, há muitos elementos a se considerar ao construir ou revisar a política de segurança de dados. Tenha certeza de incluir os elementos necessários para o seu ambiente de TI único, requisitos de segurança interna e regulações de aplicação externa, para que as políticas ofereçam um nível apropriado de segurança de dados.
