1) Integração com o negócio
Parece clichê, mas essa precisava ser a primeira dica. Desconsiderar os objetivos de negócio na construção ou revisão de uma política de segurança é um problema tão grave quanto não possuir uma política. É preciso que todas as diretrizes e normas de segurança tenham aderência aos objetivos estratégicos da organização. Isso significa, por exemplo, considerar as normas e padrões regulatórios aos quais a empresa está submetida. Uma empresa que deseja comercializar suas ações na bolsa de Nova York precisa levar em conta na sua política de segurança a criticidade de seus sistemas contábeis e dos processos relacionadas às suas demonstrações financeiras. Se uma empresa deseja alavancar negócios incentivando a utilização livre de recursos da Internet por seus colaboradores, é necessário que sua política contemple medidas de proteção e mecanismos de rastreabilidade extremamente efetivos e eficazes. Por isso, a integração com o negócio, que possui estratégias dinâmicas, é um dos motivos pelos quais se faz uma revisão freqüente na política de segurança da informação.
2) Estrutura documental
É relevante entender as diferenças entre políticas, normas, procedimentos, instruções de trabalho e assim por diante. Pode parecer básico, mas é muito comum encontrar empresas que confundem esses diferentes tipos de documentos e acabam se perdendo no estabelecimento de suas regras. Esse entendimento é necessário para separar as definições estratégicas, as táticas e as operacionais. Em outras palavras, não misture diretrizes gerais, com normas específicas e com procedimentos da operação. Uma dica interessante é estabelecer primeiro os "o quês" de mais alto nível até os mais específicos, para depois entrar nos "comos" e em seus detalhes.
3) Cenário em conformidade com a política VS Política em conformidade com o cenário
Uma política estabelece normas que podem apoiar na elevação do nível de segurança de uma empresa. Para tanto, é importante que o cenário corporativo esteja em conformidade com a política. Entretanto, em muitos casos se vê uma inversão disso, ou seja, a política é forçada a entrar num estado de conformidade com o que está implementado. Adaptar a política de segurança ao cenário corporativo existente é o mesmo que baixar a barra para o atleta de salto em alturas, quando na verdade ele precisa saltar a altura determinada.
4) Política Proibitiva VS Política Permissiva
Toda política possui um modelo que pode ser proibitivo, onde tudo que não é expressamente permitido é proibido, ou permissivo, onde tudo que não é expressamente proibido é permitido. O segundo modelo é um tanto quanto traiçoeiro. Isso porque quase sempre o universo de coisas a se proibir é muito maior do que o grupo de itens a se permitir. Por isso, para a segurança da informação, na grande maioria dos casos vale a pena ser proibitivo, ou seja, descreva o que se quer permitir e o resto está vedado! É como num firewall: "deny all" por padrão e as "permit rules" devidamente documentadas.
5) Envolvimento da alta direção: Indispensável!
Na criação ou manutenção de qualquer política sem a plena participação e aprovação do alto nível executivo da empresa, nada feito! O comprometimento da alta direção durante todo o processo é essencial para não só garantir que a política seja elaborada de maneira a contemplar as estratégias de negócio, mas também para garantir o seu efetivo cumprimento em toda a cadeia operacional. Para isso, é importante instituir um comitê multi-disciplinar formado por membros estratégicos (de áreas de negócio, RH, Jurídico, entre outras) para participar das discussões de criação, revisão e aprovação das diretrizes e normas estabelecidas.
6) Publique, Divulgue e Conscientize
Para terminar, dois lembretes importantes:
i) É preciso muita cautela na política de segurança da informação para que não sejam criadas regras impossíveis de serem cumpridas.
Parabéns Cássio, muito bom.
ResponderExcluir