Julho 21, 2019

Gerenciando Políticas de Segurança

Gerenciando Políticas de Segurança

Recentemente, tive a oportunidade de participar de um projeto pela IBLISS, com ênfase em revisão de políticas de segurança. Aproveitando a vibe deste projeto, venho compartilhar com vocês, as boas práticas sobre o tema em questão.

Definição e Estrutura

Para estarmos na mesma linha de pensamento, vamos considerar a definição de que uma Política de Segurança da Informação (PSI), nada mais é do que “um documento formal que descreve diretrizes e orientações acerca da segurança da informação dentro de uma organização”. Portanto, fazendo uma analogia, é como se ela fosse as “regras de um jogo”:

Photo by Mpho Mojapelo on Unsplash

E se essas “regras”, devem estar diretamente ligadas aos objetivos e necessidades de negócio da organização, com leis e regulamentações vigentes, obviamente, elas precisam sempre ser apoiadas pela alta direção ou corpo executivo. Mas não esquecendo de considerar aspectos tecnológicos, físicos, jurídicos, processuais e humanos.

Gerenciando as Políticas

Após a sua criação e estruturação, a política é implementada na empresa mas precisa ser gerenciada de forma contínua, e, é aqui onde entram as as boas práticas para permitir que isso aconteça. Portanto, não esqueçam de:

  1. Revisar políticas anualmente ou quando houverem mudanças no negócio: Se sua política ficar só no papel e não estiver refletindo o seu negócio, ela se tornará inútil. Contudo, revise-a pelo menos uma vez no ano ou quando mudanças ocorrerem no seu negócio;
  2. Manter as políticas em um lugar centralizado: Isso permitirá que todos os públicos a qual ela está destinada, seja colaboradores, prestadores de serviços ou terceiros saibam onde consultar caso tenham dúvidas sobre alguma política estabelecida;
  3. Comunicar as partes interessadas sobre as mudanças realizadas: Os métodos usados para conscientizar os usuários sobre as políticas estabelecidas são diversos e devem usar canais tradicionais e não tradicionais, como por exemplo: pôsteres, plano de fundo da área de trabalho, dicas enviadas por e-mail, peças de teatro, palestras, cartilhas, vídeos, postagens na intranet, sessões acompanhadas por instrutores, sessões com premiações e entre outros. A ideia é garantir que os usuários estejam cientes sobre a existência das ameaças a SI, que sejam capazes de reconhecê-las e reagir sobre elas da forma correta e esperada;
  4. Usar uma linguagem simples e objetiva: Para que as regras gerais descritas na PSI sejam entendidas com clareza por seus leitores, ela deve ser simples e compreensível por todos os funcionários da empresa. Por isso, documentos que não são bem escritos, geralmente não são compreendidos. Sendo assim, se os usuários tiverem condições de ler o documento da PSI, sem ter interpretações errôneas ou confusas, significa que ele foi bem escrito.;
  5. Manter um histórico de revisão: Ter um histórico em suas políticas é fundamental, isso garante que você não perderá a rastreabilidade de informações, por exemplo, de quem criou o documento, quando foi criado e aprovado, quem aprovou e em que versão se encontra.

Levar o que está escrito nas políticas para prática é o ponto chave, e gerenciar os aspectos mencionados com certeza garantirá uma condução eficaz do seu programa de segurança da informação.