Para existência da política de segurança da informação!

A partir dos objetivos de negócio, são definidos os objetivos da segurança da informação, que tem como destaque: possibilitar a realização do negócio no que depende do uso do recurso informação.

A política e demais regulamentos definem estratégias, regras, padrões e procedimentos que direcionarão todas as ações para atingirmos os objetivos de segurança da informação. Essas ações podem ser atividades técnicas ou atividades de usuários. Sem uma política ficamos sem saber para onde queremos ir e qual o nível de proteção desejado para a organização.

Para se ter uma estrutura adequada, recomendo que deva existir uma política principal, descrita em um documento curto e simples de forma que todos os usuários entendam facilmente como a organização deseja que a informação seja tratada e quais são as principais responsabilidades dos usuários.

Todo esse conjunto de regulamentos deve:

* declarar e clarificar as regras;

* definir obrigações, responsabilidades e autoridade

* formalizar processos e procedimentos;

* documentar a boa cultura empresarial;

* evitar o crescimento da parte do folclore organizacional que impede as boas práticas de proteção;

* possibilitar seu uso em questões legais, em contratos, no relacionamento com as pessoas que participam do negócio e nas relações com o mercado;

* estabelecer padrões;

* ajudar a educar as pessoas; e

* ser a base para uma efetiva arquitetura de segurança da informação.

Para que a política e o conjunto dos demais regulamentos tenha uma existência efetiva (eficiência e eficácia ao longo do tempo) é necessário considerar três aspectos:

a) Apoio e patrocínio explícito do nível executivo da organização

Preferencialmente a política principal deve ser assinada pelo presidente da organização. Desta forma fica explícito que o conjunto dos requisitos de segurança descritos é resultado de uma decisão estratégica e não uma simples adoção de melhores práticas de segurança. Não só o presidente, mas, os demais executivos devem apoiar e assegurar o cumprimento da política. Eles devem estar lembrados que o melhor apoio é o exemplo.

Os processos e procedimentos que são implementados por causa da política trazem questões de poder entre pessoas, de educação corporativa e de gasto (ou investimento) de recursos financeiros e de tempo. Quanto maior apoio, mais chances de sucesso a política terá.

b) Representar a verdade da organização

O que for escrito na política e nos demais regulamentos deve exprimir a verdade e os valores da cultura (ou do que se quer como cultura) da organização. Uma certeza para o fracasso é: escrever uma coisa e executar outra.

c) Ser possível de implementação e de execução pelos usuários

Não podemos especificar requisitos que não podem ser implementados ou são impossíveis de serem cumpridos pelos usuários. As regras devem ser adequadas ao nível atual de proteção e ao nível desejado de proteção. Atenção: não devemos confundir com situações momentâneas em que não se pode cumprir. Por exemplo: uma organização não possui identificação individual de usuário. Todas as identificações são departamentais. Quando a política for publicada e exigir que as identificações devem ser individuais, naquele momento os usuários não vão poder cumprir. Mas, nesse caso é obrigação da área técnica implementar a identificação individual. É um padrão estabelecido que deve ser buscado.

Após a elaboração da política devemos ter algumas ações para que a política seja de conhecimento e de uso pelos usuários. É necessário que:

* exista uma divulgação ampla geral e irrestrita para os usuários;

* o acesso à essa política pelos usuários seja fácil; e

* exista um processo de garantia de que essa política e os demais regulamentos de segurança estejam sempre atualizados.

A gestão da segurança da informação exige a execução e manutenção de um conjunto de processos. A existência atualizada da política e demais regulamentos é uma delas. É um processo básico porque permite direcionar, validar e definir o nível de proteção do que vamos implementar em segurança. No processo de elaboração da política devemos envolver as áreas de recursos humanos, jurídico, administração e alguma outra que você julgue necessário. A construção coletiva, o conhecimento multidisciplinar e consequentemente o comprometimento dos construtores é algo que dará uma consistência verdadeira à política. Pode ser um processo mais demorado, porém, é mais forte e consistente.

Você está com dúvida do que escrever na política principal? Procure (re)ler os Dez Mandamentos. É um conjunto simples, objetivo, está válido há muitos anos e possível de ser cumprido (não quer dizer que é fácil, muito pelo contrário). Está certo que teve uma ajuda Divina. Mas, olhe para dentro de você: sinta o sopro Divino na sua vida.! Se sua organização não têm política: elabore. Se têm: revise. Vale à pena investir tempo em política e demais regulamentos de segurança!