[2014]: Novamente atualizando sua Política de Segurança e uma partida de futebol

Enfim chegou 2014 (ok, estou um pouco atrasado já chegou fazem duas semanas!) e estamos naquela época do em que pretendemos cumprir as promessas feitas no final de ano passado, em 2012, 2011, 2010, bem … feitas algum tempo atrás. Mas o que será que planejamos para melhorar a Gestão de Riscos e Segurança da Informação da nossa organização?

Será que em 2014 vai?
Será que em 2014 vai?

Eu sempre acreditei que o começo do ano é um bom momento para iniciar um novo ciclo de renovação de políticas, normas e procedimentos. Um ano atrás escrevi o artigo “Está na hora de atualizar sua Política de Segurança da Informação – PSI?” exatamente com esse pensamento, e agora com a chegada de um novo ciclo, é valido perguntarmos: Será que as políticas e normas da minha empresa refletem as mudanças ocorridas em 2013?

O ano de 2013 nos brindou com uma série de novos desafios cada vez mais presentes. Mobilidade e equipamentos pessoais no ambiente de trabalho deixaram de ser uma mera “novidade interessante” e passaram a ser parte da estratégia do negócio, visando agilidade e uma demanda dos usuários que insistem em um ambiente de trabalho cada vez mais conectado e com menos barreiras físicas.

dilma spy

Não podemos esquecer a sempre presente sombra dos arapongas virtuais. NSA e Obama ganharam um incrível destaque devido a suas “pequenas indiscrições” e assustaram quem tinha a inocência de acreditar que a segunda profissão mais antiga da humanidade estava semi-aposentada. Como resultado empresas da administração pública federal direta, autárquica e fundacional estão migrando para o Serpro Expresso V 3.0 e o seguimento privado está mais uma vez correndo atrás de soluções de criptografia. Aparentemente vazamento de informação ocorre somente no serviço de e-mail. Uma dica: NÃO!

Nesse mesmo contexto é seguro dizer que muitas das empresas brasileiras ainda não possuem sequer uma Política Estratégica de Segurança da Informação, e uma boa parte daquelas que tem uma PSI publicada, simplesmente baixaram um modelo da internet. Bem, em 2014, vamos começar com o básico.

Por que uma Política de Segurança da Informação (PSI) é tão importante?

A PSI é um instrumento estratégico onde a Alta Direção da organização define as diretrizes básicas de como a Segurança da Informação deve ser gerenciada. Complicado? Ok! Vamos usar um exemplo mais simples, aproveitando o clima de Copa do Mundo 2014.

Imagine uma partida de futebol entre dois grandes clubes brasileiros. Um dos jogadores (não o goleiro!) toca claramente a bola com a mão. Todos viram: jogadores, torcida e claro, o Juiz. Presumindo que o evento tenha ocorrido fora da pequena área, o infrator é punido com um cartão amarelo e a partida segue sem maiores problemas.

Já deu uma lidinha no item sanções e punições da PSI?
Já deu uma lidinha no item sanções e punições da PSI?

Digamos que depois de alguns minutos, o mesmo jogador repete o feito, um novo toque da mão proposital na bola, que não deixa dúvidas e foi visto por todos. Desta vez o infrator recebe um cartão vermelho e é expulso de campo. Os ânimos dos times e torcedores podem ate ficar afetados contra o jogador infrator, mas ninguém reclama do Juiz. Por quê? Simples, como diz Arnaldo: “A regra é clara”, todos conhecem e sabem a punição por desobedecer.

Agora imagine um jogo de futebol onde ninguém além do Juiz conhece as regras. Jogadores são meramente instruídos que devem passar a bola pelo arco para obter um gol. Isso resultaria em um caos completo, onde os usuários (jogadores) buscariam a maneira mais conveniente e provavelmente carregariam a bola nos braços, enquanto o Juiz aplicaria uma punição sem explicar o porquê e provavelmente não seria visto com muito afeto pelo resto dos participantes.

Este “caos futebolístico” é muito parecido com o cenário de várias empresas que utilizam uma Política de Segurança mal elaborada, que deixa espaço para conflitos de interpretação e não foi adequadamente explicada aos usuários.

erik-carriere-mpala-mouri

O que temos que entender é que a PSI define as “regras do jogo”, deve ser levado em consideração que os usuários devem entender todas as diretrizes, assim apesar de escritas em uma linguagem formal (parecido com um contrato), as regras devem ser claras e não deixar espaço para dúvidas.

Seguindo a linha de raciocínio do nosso exemplo acima pense: Quanto tempo você levaria para explicar as regras do nobre esporte bretão? Se você construiu uma política que pode ser efetivamente explicada em um tempo similar, com certeza está no caminho certo.

Atualizando sua Política de Segurança para 2014

Se você quer uma boa lista de recomendações para elaboração de sua PSI recomendo a leitura de dois artigos aqui do blog “Transformando sua política de segurança da informação em um ativo estratégico” e “Está na hora de atualizar sua Política de Segurança da Informação – PSI?”.

Ambos os textos são complementares, sendo o primeiro focado em uma série de recomendações para elaboração e aplicação de uma boa política e o segundo sobre como manter a mesma sempre atualizada e alinhada ao negócio.

Paperwork

Talvez o ponto mais importante não seja a construção da Política de Segurança em si. De que serviria a melhor PSI, se esta não estivesse adequadamente comunicada e entendida pelos usuários? Se você ainda não fez uma campanha de segurança, este é o momento. Existem muitos bons exemplos de como se capacitar e treinar pessoas.

Claro, para fechar o texto, vou repetir o último paragrafo do ano passado: Se você não se sente seguro para fazer sozinho, pense seriamente na possibilidade de fazer uso de uma boa consultoria 🙂

Comentários

Comentários