Política de segurança da informação: Sua importância e boas práticas para implantação.
A Tecnologia da Informação deixou de ser uma área de suporte, se tornando uma área extremamente estratégica e valiosa para as empresas, conseguindo ser um diferencial competitivo, e um fator primordial para o funcionamento dos negócios.
Sabe-se que as pessoas são o Elo mais fraco da Segurança da Informação, então a grande questão seria, como utilizar esse vasto uso de soluções, ferramentas, softwares, equipamentos, informações, dentre outros, de uma forma segura estabelecendo limites e padrões de utilização, esse é um dos papeis que Política de Segurança da Informação pode nos ajudar.
Mas afinal o que seria a Política de Segurança da Informação(PSI) ?
Na norma internacional NBR ISO/IEC 27002, que foca nas boas práticas para a gestão da segurança da informação em sua Seção 5 – Política de Segurança da Informação, diz que, deve ser criado um documento sobre a política de segurança da informação da organização, que deveria conter, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização.
A política de segurança da informação pode ser composta por um ou por vários documentos, não existe uma definição de quantidade ou estrutura do conjunto desses documentos, o importante é que eles estejam atrelados, assim diz o Manual de Boas Práticas em Segurança da Informação do Tribunal de Contas da União, que se expressa da seguinte forma: “A Política de Segurança da Informação pode ser composta por várias políticas inter-relacionadas. Ademais, quando a instituição achar conveniente e necessário, sugere-se a criação de outros documentos que especifiquem práticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia da informação" (TCU, 2012, p. 12).
Quem são os responsáveis por elaborar a PSI?
Segundo o Manual de Boas Práticas em Segurança da Informação do Tribunal de Contas da União é recomendável que na estrutura da instituição exista uma área responsável pela segurança das informações, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar funções de segurança.
Vale salientar, entretanto, que pessoas de áreas críticas da instituição devem participar do processo de elaboração da PSI, como a alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto dirigente da instituição.
Fases para implantação da Política de Segurança da Informação(PSI)
- Planejamento
Antes de começar a elaborar planos, normas, diretrizes e políticas é necessário conhecer bem os ativos de informação da sua empresa, e analisar o que deve ser protegido, tanto interno como externamente, e quais níveis de proteção se adequam ao negócio. Culturalmente nós brasileiros não temos o bom habito de planejar antes de executar as ações, devemos assim quebrar esse paradigma.
Na fase de planejamento devemos levantar as informações necessárias para a definição do escopo que a política de segurança da informação irá abranger, devemos identificar os stakerolders e alinhar suas expectativas para se obter o apoio necessário, uma das recomendações nessa fase seria estabelecer um comitê de segurança da informação com colaboradores de diversas áreas para debater e tomar decisões sobre a política de segurança e seus itens, um dos fatores chave para o sucesso é ter o total apoio da alta gestão da empresa.
Nessa fase também podemos realizar a identificação dos recursos críticos mapeando os processos da empresa e definindo prioridades, analisar a importância de cada processo, definindo assim prioridades de segurança nos processos que mais influenciam na organização.
É de grande importância a classificação das informações, devendo-se classificar a importância da informação dentro da organização e assim definir o grau de proteção necessário, e as medidas para a sua manipulação.
Se possível, é recomendado realizar benchmarks com empresas do mesmo segmento em busca de lições aprendidas e boas práticas utilizadas durante o processo de implantação da PSI. Frameworks como o Cobit, Security Policy Framework – SPF, e a serie ISO 27000 também podem ajudar nessa fase.
- Elaboração das Políticas, Normas e Procedimentos
Com as informações de diagnóstico realizadas no planejamento como base, é possível criar uma política de informação que atenda aos requisitos da empresa. No entanto, essa etapa não pode ser feita só com profissionais do setor de TI. Uma boa PSI deve ser elaborada por uma equipe que abrange todos os setores da instituição por isso a recomendação de instituir um comitê de segurança da informação multidisciplinar, uma vez que ela deve ser aplicada a todos os funcionários.
Uma política de segurança da informação em geral é composta de princípios, diretrizes, normas e procedimentos que visam garantir a confidencialidade, integridade e disponibilidade da informação que é produzida, recebida, utilizada, processada, armazenada e descartada por uma instituição, envolvendo pessoas, processos, tecnologia e ambiente.
Nesta etapa serão definidos documentos como:
- Políticas de Segurança da Informação(Diretriz);
- Norma de Segurança Física
- Norma de Gestão de Pessoas
- Norma de Uso da Internet
- Norma de Uso do Correio Eletrônico
- Norma de Backup
- Matriz de Infração
Obs. Esses são apenas alguns exemplos de documentos que podem fazer parte de uma PSI, cada organização deve alinhar as políticas, normas e procedimentos de acordo com as suas necessidades.
Mas, o que fazer quando a PSI for violada?
A própria Política de Segurança de Informações deve prever os procedimentos a serem adotados para cada caso de violação, de acordo com a severidade, a amplitude e o tipo de infrator que a perpetra. A punição pode ser desde uma simples advertência verbal ou escrita até uma ação judicial.
Não existe um modelo padrão de política de segurança da informação que possa ser aplicada diretamente a sua organização, porque esta tem que refletir os valores e a cultura da organização a qual se aplica, e levar em conta o negócio e o contexto em que ela está inserida. Ou seja, a política de SI deve ser construída sob medida para cada organização.
As normas ABNT e ISO/IEC relativas à segurança da informação fornece conceitos e fundamentos essenciais que podem e devem embasar uma boa política de segurança da informação.
- Aprovação e Publicação
Depois de pronto, o documento que contém a Política de Segurança da Informação da empresa deve ser submetido à aprovação dos gestores. Essas regras podem variar de acordo com o tamanho da corporação e suas regras internas, mas, de modo geral, as normas devem receber aval do setor de Recursos Humanos, da Diretoria e do Conselho de Administração (quando há um).
Um ponto importante é que a política deve estar alinhada com os aspectos legais no sentido que se faça cumprir, e estar em compliance com todos os aspectos legais e regulatórios, com isso a política deve ser revisada pelo setor jurídico da empresa ou uma consultoria especializada.
- Treinamento e capacitação
Depois de passado todo o trâmite de planejamento, elaboração e aprovação da Política de Segurança da Informação, é hora de treinar seus funcionários. Isso porque eles terão envolvimento direto com todas as regras e serão atingidos por elas. É importante, em um primeiro momento, criar canais de comunicação com os colaboradores para que eles possam tirar suas dúvidas e ter ciência total do que trazem as regras.
Definir um plano de treinamento para os colaboradores recém-contratados e capacitar a equipe de TI para executar, monitorar e revisar a PSI garantirá que ela seja observada por todos. É o fim da desculpa de não saber ou ser novo na empresa. Uma dica é disponibilizar um treinamento sobre a política de segurança da informação na intranet.
Para que a cultura da empresa seja mudada em relação à segurança da informação, é fundamental que os funcionários estejam preparados para a mudança, por meio de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamentos direcionados. De acordo com a NBR ISSO IEC 27002 (2005), os usuários devem estar clientes das ameaças e das vulnerabilidades de segurança da informação e estejam prontos e engajados para apoiar a política de segurança da informação da organização durante a execução normal do trabalho.
Atualmente, a PSI é adotada em grande parte das organizações em todo o mundo. No Brasil sua utilização vem crescendo muito nos últimos anos, mesmo aquelas empresas que ainda não tem uma política, reconhecem a sua necessidade, porém percebe-se que muitas empresas engavetam esse documento, ou seja, elaboram e a guardam, não utilizando efetivamente, servindo apenas para dizer que tem uma política de segurança escrita, ou mostrar em casos de conformidades.
Segundo a NBR ISSO/IEC27002(2005), é recomendado que a política de segurança da informação seja revisada periodicamente de forma planejada ou quando ocorrerem mudanças significativas, para assegurar a sua continua pertinência, adequação e eficácia.
Como estão sempre surgindo novas ameaças, é importante que a política de segurança da informação esteja sempre se atualizando. Uma PSI é essencial para reduzir as vulnerabilidades da empresa quanto à segurança da informação ajudando assim a garantir a confidencialidade, integridade e disponibilidade das informações.
Os profissionais qualificados especialistas em segurança da informação geralmente são os responsáveis por gerenciar e implantar uma Política de Segurança Corporativa. No curso de Especialização em Segurança da Informação do Instituto de Capacitação Business School Brasil – BSBr, você terá disciplinas como "Padrões, Normas e Política de Segurança da Informação" e Governança e "Gestão em Segurança da Informação" que lhe ajudarão a desenvolver uma PSI na sua organização, ou mesmo prestar consultorias para implantação desse tipo de documento.
Atualmente, há um grande campo de atuação, com diversas vertentes emergentes para se trabalhar em segurança da informação. Podemos citar alguns exemplos como inteligência cibernética, forense computacional, cibersegurança, segurança para internet das coisas (IoT) e cloud.
Para aproveitar essas oportunidades no mercado, o profissional tem que buscar sempre uma melhor qualificação, diante desse fato aproveito para lhe informar que estamos com as inscrições abertas para a nova turma da especialização do Instituto de Capacitação Business School Brasil – BSBr. Clique no link e faça sua matrícula agora porque as vagas são limitadas WWW.BSBR.COM.BR ou ligue para (85) 3032-7104 ou 9.8853-9000.
Wesklei Dourado
PMP® | CISSP | CAPM | CCNA | MCSA | MCTS | MTA | ITILv3 | ISO27002 | COBIT | Security +
Coordenador da Especialização em Segurança da Informação.
----------------------------------------------