Política de senha/PIN
O desenvolvimento de uma política de senha e número de identificação pessoal ajuda a garantir que os funcionários criem suas credenciais de login ou acesso de maneira segura. A orientação comum é não usar aniversários, nomes ou outras informações que sejam facilmente alcançáveis.
Controles de dispositivo
Métodos adequados de acesso a computadores, tablets e smartphones devem ser estabelecidos para controlar o acesso à informação. Os métodos podem incluir leitores de cartão de acesso, senhas e PINs.
Os dispositivos devem ser bloqueados quando o usuário se afastar. Os cartões de acesso devem ser removidos e as senhas e PINs não devem ser anotados ou armazenados onde possam ser acessados.
Avalie se os funcionários devem ter permissão para trazer e acessar seus próprios dispositivos no local de trabalho ou durante o horário comercial. Os dispositivos pessoais têm o potencial de distrair os funcionários de suas funções, bem como criar violações acidentais da segurança da informação.
Ao criar políticas para uso de dispositivos pessoais, leve em consideração o bem-estar dos funcionários. Familiares e entes queridos precisam de contato com os funcionários se houver alguma situação em casa que exija sua atenção. Isso pode significar fornecer uma maneira para as famílias receberem mensagens para seus entes queridos.
Devem ser desenvolvidos procedimentos para comunicar perdas e danos de dispositivos relacionados com as empresas. Você pode incluir um método de investigação para determinar a falha e a extensão da perda de informações.
Uso da Internet/Web
O acesso à Internet no local de trabalho deve ser restrito apenas às necessidades da empresa. Não só o uso pessoal da web amarra recursos, mas também introduz os riscos de vírus e pode dar aos hackers acesso a informações.
O e-mail deve ser conduzido por meio de servidores e clientes de e-mail corporativo somente a menos que sua empresa seja construída em torno de um modelo que não o permita.
Muitos golpes e tentativas de se infiltrar em empresas são iniciados por e-mail. Recomenda-se orientação para lidar com links, tentativas aparentes de phishing ou e-mails de fontes desconhecidas.
Desenvolver acordos com os funcionários que minimizem o risco de exposição de informações no local de trabalho por meio de mídias sociais ou outros sites de redes pessoais, a menos que estejam relacionados aos negócios.
Criptografia e Segurança Física
Talvez você queira desenvolver procedimentos de criptografia para suas informações. Se sua empresa tiver informações como números de cartão de crédito de clientes armazenadas em um banco de dados, criptografar os arquivos adicionará uma medida extra de proteção.
Os procedimentos de controle de chaves e cartões de chave, como registros de problemas de chave ou chaves separadas para diferentes áreas, podem ajudar a controlar o acesso às áreas de armazenamento de informações.
Se a identificação for necessária, desenvolva um método de emissão, registro, exibição e inspeção periódica da identificação.
Estabeleça um procedimento de visitação. O check-in de visitantes, crachás de acesso e registros manterão as visitações desnecessárias sob controle.
Requisitos de relatório de política de segurança
Os funcionários precisam entender o que precisam relatar, como precisam relatar e a quem denunciar. Instruções claras devem ser publicadas. O treinamento deve ser implementado na política e ser conduzido para garantir que todos os funcionários entendam os procedimentos de relatório.
Capacite sua equipe
Uma chave para criar políticas eficazes é garantir que as políticas sejam claras, fáceis de cumprir e realistas. Políticas excessivamente complicadas ou controladoras incentivarão as pessoas a contornar o sistema. Se você comunicar a necessidade de segurança da informação e capacitar seus funcionários a agir se descobrirem um problema de segurança, você desenvolverá um ambiente seguro onde as informações estarão seguras.
Password/PIN Policy
Developing a password and personal identification number policy helps ensure employees are creating their login or access credentials in a secure manner. Common guidance is to not use birthdays, names, or other information that is easily attainable.
Device Controls
Proper methods of access to computers, tablets, and smartphones should be established to control access to information. Methods can include access card readers, passwords, and PINs.
Devices should be locked when the user steps away. Access cards should be removed, and passwords and PINs should not be written down or stored where they might be accessed.
Assess whether employees should be allowed to bring and access their own devices in the workplace or during business hours. Personal devices have the potential to distract employees from their duties, as well as create accidental breaches of information security.
As you design policies for personal device use, take employee welfare into consideration. Families and loved ones need contact with employees if there is a situation at home that requires their attention. This may mean providing a way for families to get messages to their loved ones.
Procedures for reporting loss and damage of business-related devices should be developed. You may want to include an investigation method to determine fault and the extent of information loss.
Internet/Web Usage
Internet access in the workplace should be restricted to business needs only. Not only does personal web use tie up resources, but it also introduces the risks of viruses and can give hackers access to information.
Email should be conducted through business email servers and clients only unless your business is built around a model that doesn't allow for it.
Many scams and attempts to infiltrate businesses are initiated through email. Guidance for dealing with links, apparent phishing attempts, or emails from unknown sources is recommended.
Develop agreements with employees that will minimize the risk of workplace information exposure through social media or other personal networking sites, unless it is business-related.
Encryption and Physical Security
You may want to develop encryption procedures for your information. If your business has information such as client credit card numbers stored in a database, encrypting the files adds an extra measure of protection.
Key and key card control procedures such as key issue logs or separate keys for different areas can help control access to information storage areas.
If identification is needed, develop a method of issuing, logging, displaying, and periodically inspecting identification.
Establish a visitor procedure. Visitor check-in, access badges, and logs will keep unnecessary visitations in check.
Security Policy Reporting Requirements
Employees need to understand what they need to report, how they need to report it, and who to report it to. Clear instructions should be published. Training should be implemented into the policy and be conducted to ensure all employees understand reporting procedures.
Empower Your Team
One key to creating effective policies is to make sure that the policies are clear, easy to comply with, and realistic. Policies that are overly complicated or controlling will encourage people to bypass the system. If you communicate the need for information security and empower your employees to act if they discover a security issue, you will develop a secure environment where information is safe.