A política de segurança da informação corporativa representa os fundamentos pelos quais se baseia a implementação de controles e mecanismos de proteção. No processo de criação e manutenção de uma política de segurança da informação, existem alguns erros crassos, porém bastante comuns, que podem prejudicar severamente os objetivos para os quais ela se propõe. Para não cair nessas armadilhas, vejamos algumas dicas:
1) Integração com o negócio
Parece clichê, mas essa precisava ser a primeira dica. Desconsiderar os objetivos de negócio na construção ou revisão de uma política de segurança é um problema tão grave quanto não possuir uma política. É preciso que todas as diretrizes e normas de segurança tenham aderência aos objetivos estratégicos da organização. Isso significa, por exemplo, considerar as normas e padrões regulatórios aos quais a empresa está submetida. Uma empresa que deseja comercializar suas ações na bolsa de Nova York precisa levar em conta na sua política de segurança a criticidade de seus sistemas contábeis e dos processos relacionadas às suas demonstrações financeiras. Se uma empresa deseja alavancar negócios incentivando a utilização livre de recursos da Internet por seus colaboradores, é necessário que sua política contemple medidas de proteção e mecanismos de rastreabilidade extremamente efetivos e eficazes. Por isso, a integração com o negócio, que possui estratégias dinâmicas, é um dos motivos pelos quais se faz uma revisão freqüente na política de segurança da informação.
2) Estrutura documental
É relevante entender as diferenças entre políticas, normas, procedimentos, instruções de trabalho e assim por diante. Pode parecer básico, mas é muito comum encontrar empresas que confundem esses diferentes tipos de documentos e acabam se perdendo no estabelecimento de suas regras. Esse entendimento é necessário para separar as definições estratégicas, as táticas e as operacionais. Em outras palavras, não misture diretrizes gerais, com normas específicas e com procedimentos da operação. Uma dica interessante é estabelecer primeiro os "o quês" de mais alto nível até os mais específicos, para depois entrar nos "comos" e em seus detalhes.
3) Cenário em conformidade com a política VS Política em conformidade com o cenário
Uma política estabelece normas que podem apoiar na elevação do nível de segurança de uma empresa. Para tanto, é importante que o cenário corporativo esteja em conformidade com a política. Entretanto, em muitos casos se vê uma inversão disso, ou seja, a política é forçada a entrar num estado de conformidade com o que está implementado. Adaptar a política de segurança ao cenário corporativo existente é o mesmo que baixar a barra para o atleta de salto em alturas, quando na verdade ele precisa saltar a altura determinada.
4) Política Proibitiva VS Política Permissiva
Toda política possui um modelo que pode ser proibitivo, onde tudo que não é expressamente permitido é proibido, ou permissivo, onde tudo que não é expressamente proibido é permitido. O segundo modelo é um tanto quanto traiçoeiro. Isso porque quase sempre o universo de coisas a se proibir é muito maior do que o grupo de itens a se permitir. Por isso, para a segurança da informação, na grande maioria dos casos vale a pena ser proibitivo, ou seja, descreva o que se quer permitir e o resto está vedado! É como num firewall: "deny all" por padrão e as "permit rules" devidamente documentadas.
5) Envolvimento da alta direção: Indispensável!
Na criação ou manutenção de qualquer política sem a plena participação e aprovação do alto nível executivo da empresa, nada feito! O comprometimento da alta direção durante todo o processo é essencial para não só garantir que a política seja elaborada de maneira a contemplar as estratégias de negócio, mas também para garantir o seu efetivo cumprimento em toda a cadeia operacional. Para isso, é importante instituir um comitê multi-disciplinar formado por membros estratégicos (de áreas de negócio, RH, Jurídico, entre outras) para participar das discussões de criação, revisão e aprovação das diretrizes e normas estabelecidas.
6) Publique, Divulgue e Conscientize
Elaborar a política de segurança e não fazer com que todos tenham o conhecimento com o devido aceite formal é quase o mesmo que não ter política. O aceite formal aliado a uma campanha de divulgação e conscientização sobre a política dá respaldo, por exemplo, para que a organização possa monitorar os acessos dos empregados sem gerar expectativa de privacidade. Portanto, faz-se necessário publicar, divulgar e conscientizar a organização por meio de programas contínuos de sensibilização, educação e treinamento. A integração da política ao contrato de trabalho também é indispensável, assim como garantir que a cada mudança, a política seja aceita formalmente e cumprida por todos.
Para terminar, dois lembretes importantes:
i) É preciso muita cautela na política de segurança da informação para que não sejam criadas regras impossíveis de serem cumpridas.
ii) Acreditar que se tem segurança apenas por estar em conformidade a política definitivamente não é uma boa idéia.