A importância da Política de Segurança da Informação (PSI)

O objetivo da Política de Segurança da Informação “PSI” segundo a ISO 27002 é:

Prover orientações da Direção e apoio para a Segurança da Informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes

A PSI define as “regras do jogo” e conduta que os colaboradores devem adotar em relação as informações da organização.

As empresas estão investindo cada vez mais em segurança da informação, porém a grande parte do investimento é direcionado à parte tecnológica, seja na implementação de firewall, antivírus, IPS, filtros de conteúdo, AntiSpam, entre outros, cuja a finalidade é de reduzir os riscos de infecção por pragas virtuais (trojan, vírus, worm, phishing, etc.), vazamento de informações, indisponibilidade nas operações e consequentemente aumentar a produtividade dos colaboradores, limitando o acesso somente as atividades pertinentes aos cargos.

Esta realidade é necessária para manter o ambiente seguro, em funcionamento e com desempenho favorável. Mas, somente recursos tecnológicos não terão sucesso nesta estratégia. É necessário um programa estruturado em relação a Segurança da Informação contemplando a parte Tecnológica, Física, Humana e de Processos.

A Política de Segurança da Informação está sendo adotada pelas organizações também para situações em que a tecnologia não consegue atender, visto que, muitos incidentes estão relacionados aos comportamentos humanos (falhas humanas). A PSI é um documento formal, com validade jurídica, com foco nas pessoas e é utilizada como um complemento da Segurança da Informação, o qual irá nortear os colaboradores das diretrizes e normas criadas pela organização e que precisam ser seguidas e respeitadas.

Outro ponto muito importante da PSI é a parte de conscientização dos colaboradores, sendo realizado através de cartilhas, workshops, campanhas de conscientização. Os bancos têm prejuízos bilionários por ataques originados de Phishing (E-mail Falso) todos os anos, o qual evidencia um baixo nível de maturidade das pessoas em relação a ter um comportamento seguro quando utilizam os recursos tecnológicos. Kevin D. Mitinick apresenta em seu livro que 40% do investimento em Segurança da Informação deveria ser destinado a trabalhos de treinamento e conscientização dos colaboradores.

A elaboração de uma PSI tem o intuito de criar um ambiente homogêneo perante às situações tecnológicas e comportamentais. É comum empresas adotarem dois pesos e duas medidas para tratarem a mesma situação. Exemplo: Para um determinado funcionário ou grupo de funcionários as redes sociais e sites estão liberadas para uso pessoal, enquanto para outros não. O uso de e-mail particular está liberado para determinado setor e para outros não. Está realidade gera insatisfação para maioria dos colaboradores pelo fato de não existir critérios para o que é permitido e de que forma é permitido. Com o desenvolvimento de uma PSI, os controles são estabelecidos e devem ser respeitados por todos os colaboradores da organização, sem distinção de cargo ou setor. Como exemplo: Se a área de Marketing precisa das redes sociais para efetuar os trabalhos, na PSI deve constar a exceção de uso das redes sociais pela área de Marketing, ou seja, todas as exceções podem estar descritas na PSI de forma clara e objetiva.

O intuito deste artigo não é apresentar como elaborar uma PSI e as boas práticas adotadas, e sim, apresentar que a PSI pode ser uma ferramenta muito importante para minimizar os impactos de incidentes de Segurança da Informação, bem como, elevar o nível de maturidade da área de Segurança da Informação.

Não existe o certo ou errado na elaboração de uma PSI. A definição dos controles, diretrizes, normas e o que será permitido, ou não, devem ser definidos pelo Comitê de Segurança da Informação. É muito importante para o sucesso de uma PSI o comprometimento de todos os envolvidos e principalmente um trabalho conscientização e treinamento para os colaboradores.

Não se deve utilizar “PSI modelos”, aquelas PSI prontas da Internet, visto que, não terá aderência ao ambiente da organização e pode ser muitas vezes uma estratégia arriscada. Conforme já apresentado, a PSI tem que ter as características, controles, normas, padrões da organização, e se existir na PSI algum controle que não é seguido pelos colaboradores, toda a PSI cai em descrédito e pouco ou nenhum valor efetivo terá.

Para finalizar o artigo é muito importante a área jurídica validar a PSI para que não exista nenhum controle em não conformidade com as legislações, regulamentos governamentais, e outros, já que a PSI possui valor jurídico e deve ser utilizada pelo RH quando necessário para advertir ou gerar sansões administrativas em caso de descumprimento da mesma. Todos os colaboradores devem assinar o termo de responsabilidade da PSI, tomando ciência da PSI e se comprometendo a respeitar os controles definidos.

[Imagem by:  Shutterstock]

Gustavo de Castro Rafael

Fundador da PDCA TI – Consultoria & Treinamentos. Consultor com mais de 7 anos de experiência nas áreas de Governança de TI, Gestão de TI e Segurança da Informação. Responsável por diversos projetos em empresas de médio e grande porte nos setores de saúde, industrial, alimentício, financeiro, sucroenergético e serviços.


Artigo com publicação autorizada nos sites: www.itfriends.org, www.profissionaisti.com.br, www.tiespecialistas.com.br e Linkedin

Posted in Segurança da Informação and tagged , , , , , , , , , , .

One Comment

  1. Pingback: IT Friends .org - A força dos amigos de TI traduzida em conhecimento prático e teórico da Tecnologia da Informação. | Qual é o próximo passo para área de TI e Segurança da Informação?

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *