Discutir sobre políticas corporativas sempre é um assunto polêmico, que geralmente envolve vários interlocutores e interesses. Com o tema política de segurança da informação não é diferente, principalmente quando as iniciativas são muito incipientes. Mas aviso desde já: se sua política de segurança é baseada em segurança de redes, leia este texto até o fim !
A política de segurança da informação na maioria das empresas brasileiras tem sido tratada de maneira muito superficial e com foco extremo em Internet, E-mail e Redes de Computadores. Isso se dá devido segurança da informação ter nascido dentro da TI, principalmente sob o aspecto de segurança de redes, mas isso remonta a década de 1990 e já evoluímos muito nas organizações para continuar a pensar assim.
Existem vários aspectos de segurança da informação que precisam ser adequadamente tratados dentro das organizações, como por exemplo: dispositivos móveis, acesso a sistemas e ambientes computacionais, segregação de perfis de acesso, armazenamento das informações e recursos humanos. Muitos dos ataques realizados contra grandes corporações tem se baseado em fragilidades que vão muito além da tecnologia e que permeiam o fator humano (senhas fracas e compartilhadas, não seguimento de rotinas simples como backup e seus testes, procedimentos operacionais falhos e desatualizados).
O primeiro passo para formar uma boa segurança da informação é a elaboração de uma boa política, com forte comprometimento da alta gestão, trabalhos de conscientização e treinamento adequado dos recursos humanos. A política pode ser facilmente baseada ou referenciada na norma ISO/IEC 27002, que através da descrição de seus controles, forma um bom contexto de segurança.
Outro ponto importante é que a política deve ser simples, objetiva e representar uma diretriz forte e permanente na organização. Assuntos mais específicos devem ser detalhados em normas anexas as políticas, como as tão frequentes questões de acesso a Internet e do uso do E-mail. Outras normas como armazenamento adequado de informações, cópias de segurança e termos de confidencialidade também precisam ser detalhadas.
Por fim existe a necessidade de elaborar um conjunto de instruções, conhecidas como Instruções Operacionais, que apoiem de maneira definitiva todos os colaboradores na execução das normas. Estas instruções devem possuir um grau de detalhamento que não deixe dúvidas sobre como e quando realizar ações.
Nesta visão desenvolvemos um conjunto de três documentos de vital importância para o sucesso da Segurança da Informação dentro da organização:
- Política de Segurança da Informação
- Normas Internas de Segurança da Informação
- Procedimentos Operacionais de segurança da Informação
Pense bem sobre a política de segurança da sua empresa, é com base nela que motivamos (ou não) nossos colaboradores a atuarem como agentes de segurança, reforçando a mais fraca de todas as pontas da segurança, o fator humano.