A política de segurança da informação é o que define regras e padrões para a proteção da informação. Por isso, deve estar primeiramente em harmonia com os objetivos do negócio e análise de riscos e em conformidade com leis e regulamentações vigentes.
A política, para que se torne de conhecimento de todos os funcionários e terceirizados que utilizam os ativos de informação, deve estar bem documentada, divulgada (palestras, treinamentos, informativos, avisos etc), acessível e ser de fácil compreensão. Ela precisa deixar claro o que deve e o que não deve ser feito e por quem. Deve ser respeitada por todos, da recepcionista ao presidente. Para o sucesso da política, é imprescindível o apoio e a assinatura da direção.
DESENVOLVIMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Até para que alterações futuras sejam realizadas mais facilmente, o gestor responsável pelo desenvolvimento, análise crítica e avaliação da política de segurança da informação deve seguir alguma metodologia que permita essa flexibilidade. O desenvolvimento pode, por exemplo, seguir as etapas descritas abaixo:
-
coleta de informações: nessa primeira etapa, faz-se um levantamento de informações sobre os recursos de tecnologia, funcionamento do negócio e do impacto dos recursos de tecnologia no negócio. Verifica-se também se já existem na organização padrões, regras e procedimentos que possam ser aproveitados ou precisem ser corrigidos;
-
pesquisa sobre as melhores práticas: é realizada uma pesquisa sobre as melhores práticas em segurança da informação utilizadas atualmente no mercado e, de acordo com as informações coletadas na etapa anterior, deve-se tentar adequar essas práticas ao negócio;
-
elaboração do conteúdo: é a etapa mais longa. Deve deixar claro qual é o papel dessa política no processo de segurança da informação e a importância de se proteger o ativo informação, sendo este apresentado como vital para a sobrevivência da organização. Deve conter ainda a abrangência da política, as responsabilidades, como ela deve ser implementada (incluindo recursos financeiros e de pessoal necessários), os controles e quais as ações de segurança que devem ser adotadas. Essas ações serão vistas em detalhes nas próximas seções;
-
revisão, aprovação e implantação: após a elaboração do conteúdo, ele deve ser revisado para que sejam verificadas sua adequação, eficiência e se o nível de segurança é o esperado pela administração. A revisão deve ser independente e os resultados devem ser registrados para que se possa comparar com resultados obtidos anteriormente. Uma vez revisada e aprovada pela direção, a política de segurança da informação pode ser implantada.
ATUALIZAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Periodicamente ou diante de mudanças consideráveis nos requisitos técnicos, organizacionais, legais ou de negócio, a política de segurança da informação precisa ser atualizada e, se for possível, melhorada com a implantação de novos controles e procedimentos que tratem as últimas ameaças, vulnerabilidades e incidentes de segurança da informação identificados de acordo com as tendências de mercado.
COMPROMETIMENTO DA DIREÇÃO
Sem o total comprometimento da direção, não há política de segurança da informação que tenha sucesso, uma vez que a segurança da informação demanda de planejamento, recursos, coordenação, elaboração, análise, aprovação, implementação, programas de conscientização, treinamento e tantos outros fatores. Se a direção não tratar com seriedade a segurança da informação, não há de se esperar que com o resto da organização esse tratamento seja diferente.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.