As organizações de todas as dimensões necessitam de desenvolver políticas abrangentes de privacidade e segurança para garantir a segurança e protecção dos seus dados, sistemas e pessoal. As políticas corporativas de privacidade e segurança fornecem o enquadramento para a forma como as empresas devem tratar a informação sensível, proteger as suas redes e gerir o acesso dos seus funcionários. Este guia fornece uma visão geral dos componentes essenciais das políticas empresariais de privacidade e segurança, bem como exemplos de elementos de políticas comuns.
As políticas corporativas de privacidade e segurança dividem-se geralmente em duas categorias: políticas internas e políticas externas. As políticas internas aplicam-se aos empregados, contratantes e outro pessoal que tem acesso às redes e sistemas da empresa, enquanto que as políticas externas se aplicam a clientes, vendedores e outros terceiros. Dependendo da dimensão e natureza da organização, outros tipos de apólices podem também ser necessários.
Independentemente do tipo de política, há vários elementos essenciais que devem ser incluídos em todas as políticas de privacidade e segurança da empresa. Estas incluem normalmente disposições sobre a forma como os dados devem ser armazenados e acedidos, como o acesso a redes e sistemas deve ser gerido, e como os empregados devem tratar a informação confidencial. Podem ser necessários elementos adicionais, dependendo do tipo de dados e sistemas que a empresa esteja a gerir.
As políticas de protecção de dados descrevem os procedimentos e orientações para a protecção de dados confidenciais e sensíveis. Estas políticas incluem normalmente disposições sobre como os dados devem ser encriptados e armazenados, como o acesso aos dados deve ser gerido, e como as cópias de segurança devem ser tratadas. As políticas de protecção de dados podem também incluir disposições sobre a forma como os dados devem ser transferidos e partilhados com partes externas.
As políticas de controlo de acesso especificam os procedimentos e orientações para a gestão do acesso dos funcionários aos sistemas e redes. Estas políticas incluem normalmente disposições sobre como o acesso deve ser concedido e revogado, como as senhas devem ser geridas, e como as contas dos utilizadores devem ser monitorizadas. As políticas de controlo de acesso podem também incluir disposições sobre como o acesso deve ser limitado com base no papel e responsabilidades do utilizador.
As políticas de segurança da informação dos funcionários descrevem os procedimentos e directrizes para o tratamento de informação confidencial e sensível. Estas políticas incluem normalmente disposições sobre a forma como os funcionários devem tratar a informação confidencial, como devem dispor de documentos sensíveis, e como devem proteger os seus computadores e dispositivos contra o acesso não autorizado. As políticas de segurança da informação dos funcionários podem também incluir disposições sobre a forma como os funcionários devem utilizar as redes e sistemas da empresa.
As políticas de notificação de violação descrevem os procedimentos e directrizes para responder a uma violação de dados. Estas políticas incluem normalmente disposições sobre a forma como uma violação deve ser comunicada, como as partes afectadas devem ser notificadas, e como a violação deve ser documentada. As políticas de notificação de violação podem também incluir disposições sobre a forma como a violação deve ser investigada e como a empresa deve responder.
As políticas de acesso de terceiros especificam os procedimentos e orientações para a concessão de acesso a informações e sistemas sensíveis a partes externas, tais como vendedores e clientes. Estas políticas incluem tipicamente disposições sobre como o acesso deve ser concedido, como o acesso deve ser controlado, e como o acesso deve ser revogado. As políticas de acesso de terceiros podem também incluir disposições sobre a forma como os dados devem ser partilhados e transferidos.
Ao seguir estas orientações, as organizações podem garantir a segurança e protecção dos seus dados, sistemas e pessoal. O desenvolvimento de políticas abrangentes de privacidade e segurança é essencial para proteger os bens da empresa e manter a confiança dos seus clientes e empregados.
1. Política de controlo de acesso: Esta política define quem é autorizado a aceder a que recursos, e em que condições.
2. Política de autenticação: Esta política define a forma como os utilizadores são autenticados, ou seja, como provam a sua identidade.
3. política de autorização: Esta política define quais as acções que os utilizadores estão autorizados a realizar em que recursos.
1. A política de segurança da informação deve proteger a confidencialidade, integridade, e disponibilidade dos dados.
2. implementar controlos de segurança para proteger os recursos de informação.
3. estabelecer um programa de sensibilização e formação em matéria de segurança.
4. responder a incidentes de segurança de forma atempada.
5. Rever e actualizar a política de segurança numa base regular.
Uma boa política corporativa de protecção de dados e privacidade deve incluir:
Uma declaração clara e concisa do compromisso da empresa em proteger a privacidade dos seus empregados, clientes e outros interessados;
Uma descrição dos tipos de dados que a empresa recolhe e como são utilizados;
Uma descrição das medidas de protecção de dados e segurança da empresa;
Uma descrição dos procedimentos da empresa para o tratamento de violações de dados;
Uma descrição dos procedimentos da empresa para o tratamento de reclamações sobre protecção de dados e privacidade;
Uma descrição das informações de contacto da empresa para perguntas ou preocupações sobre protecção de dados e privacidade.