Atualmente, são muitas as empresas que disponibilizam aos seus recursos humanos, equipamentos informáticos e acesso à rede local e Internet para a realização do seu trabalho. Mas a sua organização já tem em vigor uma Política de Segurança de Informação (PSI)?
Uma PSI é um conjunto de diretrizes e regras que uma organização estabelece para proteger as suas informações contra ameaças e vulnerabilidades, garantindo a confidencialidade, integridade e disponibilidade dos dados
O que deve constar de uma Política de Segurança de Informação
- Aprovação e Entrada em Vigor
- Preâmbulo e introdução
- Princípios básicos e objetivos da segurança da informação
- Destinatários
- Segurança da Informação
- Responsabilidades
- Medidas
- Políticas e processos associados
- Manutenção e atualização do documento
Além da definição de regras e procedimentos, esse documento deve também incluir procedimentos disciplinares no caso da violação das regras definidas na política de segurança informática da empresa.
De acordo com o Decreto-Lei n.º 65/2021, de 30 de julho:
- 1 – As entidades devem elaborar e manter atualizado um plano de segurança, devidamente documentado e assinado pelo responsável de segurança, que contenha:
- a) A política de segurança, incluindo a descrição das medidas organizativas e a formação de recursos humanos;
- b) A descrição de todas as medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes;
- c) A identificação do responsável de segurança;
- d) A identificação do ponto de contacto permanente.
- 2 – Para efeitos do cumprimento do disposto no número anterior, os operadores de infraestruturas críticas podem utilizar o plano previsto no artigo 10.º do Decreto-Lei n.º 62/2011, de 9 de maio, desde que o mesmo inclua medidas relativas à segurança das redes e da informação.
Segundo dados recentes, 43% das empresas nacionais têm uma política de segurança. A média europeia situa-se nos 32%.
Tendo em conta a importância de uma política de segurança informática em qualquer empresa, gostaríamos de saber:
A sua organização tem uma política de segurança informática? Há regras que punem os prevaricadores?