Logotipo da Trellix
Por que escolher a Trellix?
Plataforma
Serviços
Parceiros
Recursos
Sobre
Comece agora
Passou por uma violação?
Suporte
Fale conosco
Menu principal
POR QUE ESCOLHER A TRELLIX?
Por que escolher a Trellix? Trellix x Concorrência A vantagem da Trellix Platform Certificações e conformidade
INTELIGÊNCIA SOBRE AMEAÇAS
Advanced Research Center Trellix Insights Relatórios sobre ameaças Blogs de pesquisa mais recentes
Menu principal
RECURSOS DA PLATAFORMA
Sobre a nossa plataforma Trellix Wise Mecanismo
CATEGORIAS DE PRODUTO
Endpoint Security Data Security Network Security Threat Intelligence Email Security Security Operations View All Products
SOLUÇÕES
Operational Technology Ransomware Detection and Response Zero Trust Strategy AI and Security Operations CISO Government
Menu principal
SERVIÇOS PROFISSIONAIS
Trellix Thrive Detecção e resposta gerenciadas Serviços de soluções Serviços de consultoria cibernética
EDUCAÇÃO E TREINAMENTO
Serviços de educação Cursos de treinamento
Menu principal
NOSSA REDE
Visão geral dos parceiros Security Innovation Alliance OEM & Embedded Alliances Serviços fornecidos por parceiros
PORTAL DO PARCEIRO
Login no Portal do parceiro da Trellix Seja um parceiro
PARTNER LOCATOR
Search for a Trellix Partner
PARCEIROS ESTRATÉGICOS
Amazon Web Services (AWS) Google Cloud Telefónica Tech
Menu principal
CENTRO DE RECURSOS
Biblioteca de recursos Histórias de clientes Tópicos de conscientização sobre a segurança
APRENDA
Webinars Série semanal Tech Talk Tours pelos produtos
FAZER LOGIN
Login da Trellix Trellix Hive Developer Portal Marketplace
Menu principal
EMPRESA
Sobre nós Liderança Reconhecimento do setor Casos de clientes Carreiras
MÍDIA
Comunicados à imprensa Últimas notícias Blogs Ver sala de notícias
CONECTE-SE
Eventos Fale conosco

Políticas e procedimentos

Definição Política Propriedade de políticas Auditando políticas Solicite uma demonstração

A segurança cibernética é uma questão importante para os departamentos de TI e para os executivos de diretoria. No entanto, a segurança deve ser uma preocupação de todos os funcionários de uma organização, não apenas dos profissionais de TI e dos principais gerentes. Uma maneira eficaz de educar os funcionários sobre a importância da segurança é criar uma política de segurança cibernética que explique as responsabilidades de cada pessoa na proteção de dados e sistemas de TI. Uma política de segurança cibernética define os padrões de comportamento para atividades como criptografia de anexos de e-mail e restrições ao uso de mídias sociais.

As políticas de segurança cibernética são importantes porque os ataques cibernéticos e as violações de dados são potencialmente caros. Ao mesmo tempo, os funcionários geralmente são o elo mais fraco na segurança de uma organização. Os funcionários compartilham senhas, clicam em URLs e anexos maliciosos, usam aplicativos na nuvem não aprovados e não criptografam arquivos confidenciais.

Esses tipos de políticas são especialmente críticos em empresas ou organizações de capital aberto que operam em setores regulamentados, como assistência médica, finanças ou seguros. Essas organizações correm o risco de sofrer grandes penalidades se os procedimentos de segurança forem considerados inadequados.

Mesmo as pequenas empresas não sujeitas a requisitos federais devem atender aos padrões mínimos de segurança de TI e podem ser processadas por um ataque cibernético que resulta em perda de dados do consumidor se a organização for considerada negligente. Alguns estados, como Califórnia e Nova York, instituíram requisitos de segurança da informação para organizações que realizam negócios em seus estados.

As políticas de segurança cibernética também são essenciais para a imagem pública e a credibilidade de uma organização. Clientes, parceiros, acionistas e possíveis funcionários querem evidências de que a organização pode proteger seus dados confidenciais. Sem uma política de segurança cibernética, a organização pode não conseguir fornecer essas evidências.

Definindo uma política de segurança cibernética

Os procedimentos de segurança cibernética explicam as regras de como funcionários, consultores, parceiros, membros da diretoria e outros usuários finais acessam aplicativos on-line e recursos da Internet, enviam dados por redes e praticam segurança responsável. Normalmente, a primeira parte de uma política de segurança cibernética descreve as expectativas, funções e responsabilidades gerais de segurança na organização. As partes interessadas incluem consultores externos, equipe de TI, equipe financeira, etc. Essa é a seção “funções e responsabilidades” ou “responsabilidade pelas informações” da política.

A política pode incluir seções para várias áreas de segurança cibernética, como requisitos de software antivírus ou uso de aplicativos na nuvem. O SANS Institute fornece exemplos de vários tipos de políticas de segurança cibernética. Esses modelos do SANS incluem uma política de acesso remoto, uma política de comunicação sem fio, uma política de proteção de senha, uma política de e-mail e uma política de assinatura digital.

As organizações de setores regulamentados podem consultar recursos on-line que atendem a requisitos legais específicos, como a lista de verificação de conformidade da HIPAA do HIPAA Journal ou o artigo da IT Governance sobre como redigir uma política em conformidade com o RGPD.

Para grandes organizações ou aquelas em setores regulamentados, uma política de segurança cibernética geralmente tem dezenas de páginas. No entanto, para pequenas organizações, uma política de segurança pode conter apenas algumas páginas e abranger práticas básicas de segurança. Essas práticas podem incluir:

  • Regras para usar criptografia de e-mail
  • Etapas para acessar aplicativos de trabalho remotamente
  • Diretrizes para criar e proteger senhas
  • Regras de uso de mídias sociais

Independentemente da extensão da política, ela deve priorizar as áreas de maior importância para a organização. Isso pode incluir segurança para os dados mais confidenciais ou regulamentados ou segurança para solucionar as causas de violações de dados anteriores. Uma análise de risco pode destacar áreas a serem priorizadas na política.

A política também deve ser simples e fácil de ler. Inclua informações técnicas nos documentos referenciados, especialmente se essas informações exigirem atualizações frequentes. Por exemplo, a política pode especificar que os funcionários devem criptografar todas as informações de identificação pessoal (PII). No entanto, a política não precisa especificar o software de criptografia a ser usado ou as etapas para criptografar os dados

Quem deve redigir as políticas de segurança cibernética?

O departamento de TI, geralmente o CIO ou CISO, é o principal responsável por todas as políticas de segurança da informação. No entanto, outras partes interessadas geralmente contribuem para a política, dependendo de seus conhecimentos e funções na organização. Veja abaixo as principais partes interessadas que provavelmente participarão da criação de políticas e suas funções:

  • Os executivos de diretoria definem as principais necessidades de segurança dos negócios, bem como os recursos disponíveis para oferecer suporte a uma política de segurança cibernética. Redigir uma política que não pode ser implementada devido a recursos inadequados é desperdício de tempo da equipe.
  • O departamento jurídico garante que a política atenda aos requisitos legais e às regulamentações governamentais.
  • O departamento de recursos humanos (RH) é responsável por explicar e impor as políticas dos funcionários. A equipe de RH garante que os funcionários tenham lido a política e disciplina aqueles que a violarem.
  • Os departamentos de compras são responsáveis por verificar fornecedores de serviços na nuvem, gerenciar contratos de serviços na nuvem e verificar outros provedores de serviços relevantes. A equipe de compras pode verificar se a segurança de um provedor de nuvem está em conformidade com as políticas de segurança cibernética da organização e verifica a eficácia de outros serviços relevantes terceirizados.
  • Os membros do conselho de empresas e associações de capital aberto revisam e aprovam políticas como parte de suas responsabilidades. Eles podem estar mais ou menos envolvidos na criação de políticas, dependendo das necessidades da organização.

Ao convidar funcionários para participar do desenvolvimento de políticas, considere quem é mais crítico para o êxito da política. Por exemplo, o gerente de departamento ou o executivo de negócios que imporá a política ou fornecerá recursos para ajudar a implementá-la seria um participante ideal.

Atualizando e auditando procedimentos de segurança cibernética

A tecnologia está em constante mudança. Atualize os procedimentos de segurança cibernética regularmente, de preferência uma vez por ano. Estabeleça um processo anual de revisão e atualização e envolva os principais interessados.

Ao revisar uma política de segurança da informação, compare as diretrizes da política com as práticas reais da organização. Uma auditoria ou revisão de política pode identificar regras que não tratam mais dos processos de trabalho atuais. Uma auditoria também pode ajudar a identificar onde é necessária uma melhor imposição da política de segurança cibernética.

O InfoSec Institute, uma empresa de consultoria e treinamento em segurança de TI, sugere estas três metas de auditoria de política:

  • Comparar a política de segurança cibernética da organização com as práticas reais
  • Determinar a exposição da organização a ameaças internas
  • Avaliar o risco de ameaças à segurança de origem externa

Uma política de segurança cibernética atualizada é um recurso de segurança essencial para todas as organizações. Sem ela, os usuários finais podem cometer erros e causar violações de dados. Uma abordagem descuidada pode ter custos substanciais a uma organização em termos de multas, honorários advocatícios, acordos, perda de confiança do público e degradação da marca. Criar e manter uma política pode ajudar a evitar esses resultados adversos.

Explore more Security Awareness topics

View Cybersecurity Topics View All Security Awareness