Política de Segurança da Informação
Definição
Política de Segurança da Informação (PSI) é uma declaração que define o papel da segurança da informação e de que forma essa vai ser conduzida dentro de uma organização (baseline).
É um instrumento essencial para garantir que a empresa vai estar preparada para todas as situações relacionadas a proteção dos dados corporativos e por isso Política de Segurança da Informação é o principal ativo estratégico da Segurança de Informação.
Benefícios x Necessidades
Os benefícios:
- Minimizar o risco de perda ou roubo da informação.
- Proteger a organização contra agentes maliciosos internos ou externos.
- Funcionar como um guia para ações de Segurança da Informação e aplicação de boas práticas.
- Apoio proativo para questões legais relacionadas ao uso da informação.
- Promover a conscientização dos empregados a partes interessadas.
As necessidades:
- Ser aprovada pela alta direção da organização.
- Prover orientação da direção e apoio para a segurança da informação de acordo com os requisitos do negócio, leis e regulamentações relevantes.
- Ser adequada aos propósitos e requisitos da organização, por isso é importante o apoio da alta direção, pois eles são capazes de assegurar que a politica de segurança estabelecidos são compatíveis com a estratégia corporativa.
- Incluir as etapas para fornecer estrutura para estabelecer os objetivos de segurança da informação.
- Garantir o comprometimento com requisitos aplicáveis, relacionados com segurança da informação e com a melhoria contínua do sistema de gestão do mesmo.
- Atribuir responsabilidades e regras claras para o comportamento de colaboradores e apoio na conformidade com leis e regulamentações.
- Estabelecer a abordagem da organização para gerenciar os objetivos de segurança da informação, ou seja, falar como a segurança da informação deve ser conduzida.
- Atuar como uma proteção proativa da organização.
- Estabelecer regras para o comportamento dos colaboradores.
- Definir e dar força para aplicação de sanções e punições.
Pontos importantes
Papéis e responsabilidades
É preciso salientar que a Segurança da Informação é um tema multidisciplinar, ou seja, para ter uma Política de Segurança da Informação funcional é essencial o apoio de várias áreas (jurídico, recursos humanos etc), porque embora a equipe de Segurança da Informação seja uma peça fundamental, nada adianta se somente a área de Tecnologia da Informação colaborar, até porque a informação é utilizada por todos e nem sempre são em bits, pode ser de forma verbal, impressa, etc.
Portanto todos os que fazem parte da empresa tem algum tipo de responsabilidade que deve ser seguida, mesmo que em níveis diferentes, o que muda é o papel de cada um, por isso é interessante dividir em grupos pessoas que tenham o mesmo papel, por exemplo: alta direção, comitê de gestão de segurança da informação, usuários.
Comunicação
Muitas vezes a segurança da informação sofre por ausência de regras claras, falta de autoridade para implantar controles, medo de punir infrações, resistência a mudança por parte dos usuários por sair fora da “zona de conforto”.
Portanto a empresa deve garantir acesso a Política de Segurança da Informação para todos. A ideia é trazer os colaboradores como aliados a Segurança da Informação, para convence-los faz se o uso de treinamentos e programas de conscientização quanto as diretrizes, a compreensão e aceite dos termos e diretrizes do termo de uso de sistemas internos são cruciais, se for preciso deve-se realizar uma mudança da cultura corporativa.
O objetivo da comunicação é garantir que a politica vai ser seguida da melhor forma possível pelos colaboradores na prática.
Conformidade
Temos que olhar tanto o lado de Segurança da Informação tanto lado de negócios, visto que a ideia não é prover o nível máximo de segurança, porque dessa forma muitas coisas teriam restrições rígidas ou até mesmo seriam proibidas de modo que não seria viável na prática. Isso realça a importância de uma politica adaptada e alinhada conforme o perfil especifico da organização.
Isso realça o ponto de partida essencial, que é o apoio da alta direção, pois eles são capazes de assegurar que a politica de segurança estabelecidos são adaptadas e compatíveis conforme o perfil especifico da organização.
Documentos
Uma politica de segurança da informação organizada e bem estruturada é essencial para ser realmente funcional em uma organização, a ideia é que essa a politica seja algo acessível para que mesmo pessoas mais leigas em segurança possam ler e compreender ao menos os princípios básicos, então o que fizer para poder otimizar vira beneficio pratico ao longo da operação da empresa.
Nesse artigo proponho a ideia de dividir a politica de segurança da informação em vários documentos, mas essa não é a única maneira de estruturar, isso porque a estrutura hierárquica dos documentos variam conforme o contexto especifico da organização.
| Estrutura da Política de Segurança da Informação |
|---|
|
- Políticas: Diretrizes estratégicas que definem com o tema segurança da informação é encarado dentro da organização (politica central).
- Normas e padrões: Definições táticas dos processos e orientações relacionadas a gestão de segurança da informação (politicas complementares/derivadas).
- Procedimentos e orientações: Procedimentos operacionais e instruções de trabalho necessárias para executar as atividades relacionadas a segurança da informação.
Exemplo prático:
Politica: Dar uma diretriz, a informação deve ser protegida, para isso temos que garantir a confidencialidade das informações da empresa (o porquê).
Norma: Criar uma norma que todos os e-mails enviados para uma fonte externa e for classificado como confidencial deve ser criptografado, ou seja, como vai ser o manuseio da informação baseado no que foi definido no nível estratégico (o que).
Procedimento: Criar um procedimento explicando o passo a passo de como realizar essa tarefa de criptografar um arquivo antes de enviado por e-mail (como).
Observação:
Nestes documentos é interessante seguir uma abordagem mais pragmática, direto ao ponto, ser abrangente mas se manter dentro de um escopo específico, controlar somente o necessário, evitar jargões, sempre utilizar a linguagem de maneira formal e clara. Tudo isso para facilitar a compreensão e uso efetivo da politica. Além do mais, a politica de segurança da informação pode vir a ser usada pela organização durante ações trabalhistas, cíveis ou mesmo criminais.
Hierarquia dos documentos
É interessante definir uma hierarquia dos documentos, porque essa facilita a criação, aprovação, atualização e uso das normas e políticas de forma que atinge todas as partes interessadas de maneira efetiva.
A abordagem recomendada a ser seguida na criação do documento é a Top Down (de cima para baixo), ou seja, uma iniciativa que parte do nível estratégico e que é divulgada para todas as partes interessadas, já que esse tem autonomia para definir o direcionamento da organização de forma que facilita a adoção da PSI. Vale ressaltar que o nível operacional pode sugerir mas não tem autonomia sobre o nível estratégico, sendo assim poderia causar falhas de implementação ou dificuldades de adoção.
- Política central (PGSI).
- Políticas complementares/derivadas (normas).
- Procedimentos operacionais padrão (POPs).
Política Central (Politica Geral de Segurança da Informação )
Sobre
Associada ao nível estratégico, a ideia é um documento único que abrange todos outros documentos da política de segurança da informação, servindo como base, estabelecendo um padrão.
Estrutura básica
Formatação e identidade visual
Objetivo: Facilitar a compreensão e uso efetivo da politica.
Pontos: Cabeçalho, rodapé, logomarca, controle de versão, classificação do documento, indentação, numeração de tópicos e padronização dos elementos.
Introdução
Objetivo: Apresentar a política no contexto da organização.
Pontos: Identificar a política, descrever como essa se encaixa na hierarquia das demais políticas corporativas, (espaço ideal para uma declaração da alta direção).
Propósito
Objetivo: Explicar o propósito central da política, assim coo a motivação da existência da mesma.
Pontos: Facilitar o entendimento de como a política deve ser aplicada, mencionar alinhamento com outras políticas, boas práticas, conformidade com leis, normas ou regulamentações aplicáveis.
Escopo
Objetivo: Delimitar a aplicabilidade da política.
Pontos: Definir claramente os limites para aplicação da política e quem são as partes envolvidas na política.
Diretrizes
Objetivo: Enumerar as diretrizes que compõem a política.
Pontos: Detalhar claramente as diretrizes tendo cuidado para manter o alinhamento entre políticas.
Papéis e responsabilidades
Objetivo: Apresentar papeis e responsabilidades aplicáveis a política.
Pontos: Definir o que é esperado cada um dos envolvidos dentro do escopo definido para a política, (papéis e responsabilidades podem ser atribuídos de forma individual ou conjunta).
Sanções e punições
Objetivo: Detalhar objetivamente consequências dos colaboradores que porventura possam desobedecer os termos da política
Pontos: Definir claramente o que é considerado uma violação da política; definir como as violações podem ser reportadas; definir quais ações devem ser tomadas em caso de violação. E por final estar alinhada com o padrão corporativo vigente (CLT, código de confuta, regimento interno da organização).
Casos omissos
Objetivo: Definir como lidar com pontos que não são explicitamente detalhados na política.
Pontos importantes: Tentar minimizar a possibilidade de casos omissos; saber lidar com situações que extrapolam o escopo da política.
Glossário
Objetivo: Facilitar o entendimento de termos técnico e siglas usados na política.
Pontos: Definir apenas o essencial; estar alinhado com o público alvo da política; pode existir um glossário básico, comum a todos os documentos.
Revisões
Definir a periodicidade das revisões, é de grande importância para garantir que a politica vai ser contínua, pertinente, adequada e efetiva.
Gestão da politica/norma
Situação da aprovação, como por exemplo a data e a assinatura dos responsáveis.
Políticas Complementares (normas)
Sobre
A ideia é pegar as diretrizes que foram apresentadas na Política Central (PGSI) e completar e expandir de forma a cobrir adequadamente o assunto.
Embora as políticas complementares (normas) foquem nos aspectos táticos tratando de assuntos específicos, não é aqui que define os procedimentos operacionais.
Estrutura básica
A estrutura desses documentos tem como base a Politica Central (PGSI), então temos introdução, propósito, escopo, diretrizes, papeis e responsabilidades, sanções e punições, revisões, gestão da norma.
Então temos que ressaltar algumas normas que podem ser utilizadas, mas como disse anteriormente, isso varia de cada organização, dependendo do contexto que ela está inserida, portanto deve-se criar as normas conforme a necessidade.
Exemplo de normas
Norma de classificação, manuseio e rotulagem da informação:
Definir como a informação será classificada, rotulada e manuseada de forma segura.
Norma de uso aceitável de ativos de informação:
Definir as diretrizes para o uso aceitável de ativos de informação pelos usuários autorizados.
Norma de Gestão de identidade e controle de acesso:
Definir as diretrizes para controlar o acesso a ativos/serviços de informação.
Norma de acesso a internet e comportamento em mídias sociais:
Definir as diretrizes para utilização segura da internet e do comportamento de usuários em mídias e redes sociais.
Norma de uso de e-mail e comunicadores instantâneos:
Definir as diretrizes para a utilização dos serviços de e-mail e comunicadores instantâneos.
Norma de proteção contra códigos maliciosos:
definiras diretrizes para proteção da informação contra ameaças e códigos malicioso de qualquer natureza.
Norma de uso de equipamentos computacionais pessoais em ambiente corporativo (BYOD):
Definir as regras para o uso seguro de equipamentos pessoais para o manuseio de informações corporativas.
Norma de acesso remoto:
Definir as diretrizes para o acesso remoto a informação, garantindo níveis adequados de proteção.
Norma de monitoramento de ativos/serviços da informação:
Definir as diretrizes para o monitoramento de ativos/serviços de informação e recursos computacionais.
Norma de tratamento de incidentes de segurança da informação:
Definir as diretrizes para garantir a resposta e tratamento adequados de incidentes de segurança da informação.
Termo de uso de Sistemas Internos
Definição
Um documento que delimita as condições e regras para que um usuário possa utilizar um serviço que está sendo oferecido pela organização.
Objetivo
- Explanar as regras de uso do serviço.
- Delimitar a responsabilidade do usuário, bem como do fornecedor do serviço.
- Resguardar o fornecedor contra quaisquer riscos legais.
- Formalizar a ciência e aceite por parte do usuário.
Informações relevantes
O documento deve:
- Definir exatamente o objeto do termo de uso.
- Identificar qual é o escopo do serviço oferecido.
- Usar clausulas do tipo aviso legal (disclaimers).
- Usar clausulas de exclusão de responsabilidade.
- O termo de uso é um contrato de adesão, ou seja, o usuário não deve ter qualquer espaço para discutir as clausulas, apenas aceitar.
É importante entender que:
- O que está definindo aqui é os ativos de informação, isto é, qualquer informação que tenha valor para organização.
- Tem como objetivo delimitar como os ativos da informação serão utilizados.
- O usuário tem que ficar inteiramente ciente da sua responsabilidade.
- É essencial o apoio jurídico na elaboração é essencial, porque devemos garantir que nenhum item dos sistemas dos termos de sistemas de uso interno irá violar alguma regra trabalhista, criando alguma lacuna ilegal, algo que possa ser afetado de maneira negativa futuramente.
Observação:
Antes de criar um termo de uso é interessante definir quem será o responsável por coletar as assinaturas dos usuários; como e onde os termos serão armazenados (tanto fisicamente, tanto digitalmente); como serão tratados os terceiros e se é necessário uma revalidação dos termos de usos e novas assinaturas caso possa vir a ter alguma alteração na política, normas e procedimentos.
Estrutura básica
- Declaração do escopo (considerações).
- Ciência do usuário.
- Formalização do aceite.