Está na hora de atualizar sua Política de Segurança da Informação – PSI?

Conforme mencionado em Transformando sua Política de Segurança em um ativo estratégico, a criação de uma PSI efetiva e seu uso como um ativo estratégico é um dos passos mais importantes para uma boa Gestão de SegInfo em qualquer organização.

Se você já enfrentou doloroso processo de criação, aprovação e disseminação da PSI na sua empresa, certamente sabe que qualquer boa prática de segurança vai pregar que o documento da política deve ser atualizado “periodicamente” passando por todo o ciclo PDCA.

Embora este prazo de atualização não seja formalmente definido em normas e frameworks, pessoalmente considero que é uma ideia razoável ter pelo menos uma revisão anual ou sempre que houver uma mudança significativa no ambiente corporativo como aquisições, fusões, entradas em novos mercados e demais eventos que tornam tão divertida a vida de um gestor de segurança.

revusando a psi

Neste momento você deve estar lembrando de todo o esforço que foi gasto para elaborar a política, obter a aprovação da alta direção e o mais difícil: conseguir inserir a PSI na cultura corporativa e que os usuários entendam a sua importância e sigam as diretrizes. Talvez você tenha chegando a velha conclusão: “Em time que está ganhando não se meche”. ERRADO!

Mesmo uma pequena mudança na legislação vigente, a criação de uma jurisprudência ou até mesmo a ocorrência de incidentes de segurança podem tornar sua PSI completamente defasada e com mais buracos que queijo suíço e acabar com o seu dia se for necessário levar a política para uma disputa legal.

Embora modificações profundas não sejam recomendadas – a menos que estritamente necessário – existem alguns pontos que se observados podem garantir um resultado bastante positivo:

  1. Valide a ocorrência de incidentes de segurança: Ao contrário do que algumas pessoas costumam pensar, mesmo com uma boa gestão de SegInfo é razoavelmente comum e até mesmo aceitável a ocorrência de incidentes de segurança, desde que estes sejam adequadamente tratados e solucionados.

Incidentes de segurança fornecem um feedback crítico para a PSI.

Para a atualização de sua PSI é recomendável que sejam analisados os incidentes que ocorreram no último período e validar se estes estão adequadamente cobertos nos tópicos da política e outros documentos como normas e procedimentos.

2. Esteja atento a questões legais e contratuais: Aspectos trabalhistas, a criação de novas jurisprudências, modificações na legislação e até mesmo contratos com clientes podem exigir uma atualização. Nesse momento o apoio do departamento legal ou mesmo de um jurista especializado pode ser essencial.

Leis, leis e leis!
Leis, leis e leis!

Um bom exemplo é a modificação da CLT referente ao art. 6o (Dezembro 2011) que na Súmula nº 428, de 24 de maio de 2011, entendeu que “o uso de aparelho de intercomunicação, a exemplo de BIP, pager ou aparelho celular, pelo empregado, por si só, não caracteriza o regime de sobreaviso”. Incluir uma pequena diretriz na PSI informando que o acesso/trabalho remoto não implica na obrigatoriedade do pagamento de horas extras, a menos que formalmente solicitado, pode evitar que sua empresa perca tempo valioso em disputas trabalhistas.

3. Novas tendências e tecnologias = novas regras: Consumerização, BYOD, Cloud, redes sociais e antissociais, geotaging, privacidade, DLP, existe um número sem fim de buzzwords que representam as ultimas tendências do mundo da TI e SegInfo.

BYOD - Dilbert
BYOD – Dilbert

Será que sua PSI já menciona regras para mobilidade, uso de dispositivos pessoais ou computação na nuvem? Mesmo que esses recursos ainda não estejam implantados, pense estrategicamente, se sua organização vai fazer uso no próximo período esteja preparado para criar novas regras que reflitam essas mudanças.

4. Acompanhe a estratégia corporativa: Sua empresa está se preparando para uma fusão? Vai abrir uma filial em outro estado ou mesmo outro país? Questões culturais ou mesmo legais (leia novamente o item 2!) são extremamente importantes.

No caso do Brasil existem casos como a Lei Estadual n°. 12.228/06 – também conhecida como lei das lan houses, que se aplica apenas ao estado de SP. Se você vai abrir uma filial nesta localidade e presta algum tipo de serviço parecido como lan house (ou mesmo aquela velha e boa conexão gratuita para visitantes) é um ponto a ser observado.

O conceito de estratégia, em grego strateegia, em latim strategi, em francês stratégie... Os senhores estão anotando?

Já em um cenário multinacional, a diferença das leis entre países é tão grande que pode praticamente inviabilizar a sua política. Por exemplo, algumas nações europeias tem uma visão completamente diferente sobre questões de monitoramento de e-mails e acesso a internet. É uma questão tanto cultural quanto legal (já recomendei ler o item 2 novamente? Leia outra vez de novo!) que deve ser observada.

5. Menos é mais: Uma atualização não significa apenas acrescentar. Se existem tópicos defasados na sua política – e se você está razoavelmente seguro que estes não são necessários – não hesite, exclua sem piedade!  Ter uma PSI enxuta facilita tanto a administração como a absorção pelos seus usuários.

 6. Renove a aprovação da alta direção: Ok, às vezes obter a aprovação de um C-Level é mais difícil que enfrentar o Smaug em um dia que ele amanheceu com azia draconiana. Entretanto, é essencial demonstrar que a alta administração participa ativamente das decisões estratégicas em assuntos de SegInfo.

altadirecao

Isso vai conferir uma maior autoridade para sua gestão junto aos usuários e evidencias essenciais para governança ou caso você esteja pensando ou mesmo renovando uma certificação como a ISO 27001.

7. Não esqueça da divulgação e sign-off dos usuários: Assim que você concluir sua atualização/aprovação é extremamente importante garantir que a nova versão da PSI será amplamente divulgada para todas as partes interessadas. Uma boa ideia é fazer uma campanha de conscientização incluindo atividades como um ciclo de palestras, divulgação de memorandos e comunicados oficiais.

Em casos de mudanças maiores, talvez seja necessário solicitar novamente que os usuários confirmem que leram, entenderam e que pretendem seguir as diretrizes da política, considere coletar assinaturas ou outras formas de gerar evidencias desse aceite, isso pode salvar sua empresa (e consequentemente seu pescoço) em eventuais embates legais.

Sign-Off = Se não está evidenciado não existe!
Sign-Off = Se não está evidenciado não existe!

Obviamente a lista acima não pretende ser exaustiva, mas certamente fornece uma boa base para ajudar na atualização da sua PSI, normas, procedimentos correlatos e talvez ajude até mesmo outras áreas como Continuidade de Negócios e Gestão de Risco de uma forma geral.

Você tem mais alguma sugestão? Dicas e comentários serão amplamente bem vindos.

Ah, se você não se sente seguro para fazer sozinho, pense seriamente na possibilidade de fazer uso de uma boa consultoria 🙂

Comentários

Comentários

2 opiniões sobre “Está na hora de atualizar sua Política de Segurança da Informação – PSI?

  • 29 de janeiro de 2013 em 13:53
    Permalink

    Legal seu texto Claudio!

    Texto breve e bem abrangente! Me deu algumas idéias para a atualização de nossa PSI.

    Muito obrigado!

    No que eu puder contribuir contigo, é só chamar!

    Abrçs

Os comentários estão desativados.