Como criar uma política de segurança de informação na sua empresa

A proteção da informação das empresas é o tema do momento, devido à chegada do novo regulamento geral de proteção de dados. As empresas são cada vez mais digitais e sem a prevenção da perda dos dados, a segurança destes fica seriamente comprometida. A política de segurança nas empresas é uma ferramenta imprescindível para garantir que os seus dados permanecem seguros. No artigo de hoje, deixamos-lhe dicas importante para criar uma política de segurança de informação na sua empresa.

O que é uma política de segurança?

A política de segurança é um documento desenvolvido pela empresa onde se registam os princípios de segurança que a empresa adota e que devem ser seguidos pelos colaboradores. A política de segurança deve ser aplicada em todos os sistemas de informação, a nível de desktop e de mobile. Para que a política seja respeitada, é essencial que os gestores de topo participem na sai implementação.

Como criar uma boa política de segurança da informação

  • Defina a responsabilidade dos colaboradores: estabeleça coimas para a má utilização dos recursos de TI da empresa. Devem constar ainda regras sobre acesso a sites e recomendações sobre a utilização dos dispositivos eletrónicos fornecidos.
  • Dê formação: deve haver uma formação prática na apresentação da política de segurança da informação. A empresa deve recolher declarações individuais dos colaboradores, comprometendo-se a cumprir as regras que constam no documento. Este manual deve ser de fácil acesso para os colaboradores e deverá ser revista com frequência, para que se mantenha sempre atualizada.
  • Nomeie um responsável: a empresa deve nomear uma pessoa responsável para monitorizar o cumprimento da política de segurança da informação. Este colaborador deve ser o responsável por detetar incumprimentos e violações das regras.
  • Dê a conhecer a política de segurança: o documento deve ser aprovado pelo departamento de recursos humanos da empresa. As regras presentes neste documento devem estar de acordo as leis do trabalho e com o manual interno dos colaboradores. Após a aprovação por parte dos recursos humanos, os gestores de topo também devem fazer a sua aprovação.
  • Adote um plano de disaster recovery: os planos de disaster recovery são essenciais para planear ações que garantem que um desastre não interfere no desempenho da empresa. Além desta ação proativa, os planos de disaster recorvery têm também uma ação reativa, através da ação da execução de ações de emergência, planeadas previamente e que garantem a resolução imediata de problemas. O disaster recovery define-se ainda como o conjunto de procedimentos a executar em situações de crise. O objetivo final é saltar os dados da sua empresa para que a sua informação se mantenha sã e salva.

 

“Vale mais prevenir do que remediar” é uma verdade absoluta no que diz respeito à segurança da informação da sua empresa. Conheça as soluções da IT PEERS a nível da segurança e garanta a proteção dos seus dados!

 

Regulamento de Proteção de Dados: tudo o que precisa de saber

Para a Comissão Europeia, a proteção dos dados pessoais é um elemento-chave do Mercado Único Digital. Todo este cenário potenciou a criação do novo Regulamento Geral de Proteção de Dados (RGPD) para a União Europeia, que revoga a legislação atual sobre a proteção dos dados pessoais, publicada em 1995, época em que o acesso à Internet ainda não era generalizado. O novo Regulamento de proteção de dados entra em vigor em maio de 2018 e ainda existe muito desconhecimento relativamente à sua atuação e implicações. Neste artigo, abordaremos todos os aspetos que deve conhecer para receber o novo regulamento de proteção de dados em conformidade com a lei!

As mudanças mais significativas e impactantes deste novo regulamento são as seguintes:

Direito ao esquecimento

Os cidadãos vão poder exigir às empresas que eliminem os respetivos dados pessoais. O novo regulamento permite que os dados pessoais de cada cidadão sejam destruídos por sua solicitação.

Portabilidade dos dados

Os cidadãos podem exigir às empresas que lhes enviem os seus dados pessoais num formato que permita que sejam enviados para outra empresa, facilitando a sua migração e tornando mais simples a mudança de prestador de serviços de televisão, por exemplo.

 Direito de oposição ao profiling

Os sistemas informáticos das empresas deverão conseguir registar quem indicou recusa ao tratamento automatizado dos seus dados, como é habitualmente feito em processos de análise comportamental e criação de perfis de consumo.

Registos e prova de consentimento

Relativamente ao relacionamento online com clientes, os sistemas das empresas deverão expor as políticas de privacidade numa linguagem clara e objetiva. O consentimento para o tratamento de dados por parte dos utilizadores deve ser guardado de forma a ser apresentado caso seja necessário.

Privacidade por ‘defeito’ e design

Deverão ser tomadas medidas que assegurem a proteção dos dados desde o desenho de aplicações informáticas, minimização do tratamento de dados pessoais, mascaramento dos dados, encriptação, entre outros tópicos.

Obrigatoriedade de notificar

As empresas e as organizações têm o dever de notificar a Autoridade Nacional de supervisão para violações de dados para situações que coloquem os indivíduos em risco e comunicar ao cidadão em causa todas as violações de alto risco o mais rapidamente possível, de modo a que se possam tomar as medidas adequadas.

Como saber se a nova lei se aplica à minha empresa?

A nova lei de proteção de dados aplica-se a qualquer organização que faça negócios na União Europeia, independentemente de o processamento dos dados pessoais ocorrer na União Europeia ou não, e independentemente de serem dados pessoais sobre residentes da União Europeia ou apenas visitantes.

O que me acontece se não cumprir o novo regulamento de proteção de dados?

O regime de punição da nova lei é bastante exigente e engloba coimas que no caso de violações de menor gravidade poderão atingir 10 milhões de euros ou 2% do volume mundial de negócios a nível global. Nos casos mais graves as multas podem atingir os 20 milhões de euros ou 4% do volume de negócios total.

Pode conhecer melhor o novo regulamento de proteção de dados fazendo download deste e-book que explora a nova lei e o informa sobre tudo o que precisa de saber!