Os sete pecados das políticas de segurança (PSI)

SegurançaO primeiro passo para evitar problemas de vazamento de informação é criar uma política de segurança da informação (PSI) eficiente e adequada à realidade de cada organização. Mas em um mundo no qual as empresas são orientadas totalmente por normas e regulamentações, os CSOs (executivos responsáveis pela segurança da informação) tendem a ficar perdidos em meio a tantas regras e esquecem de fazer duas perguntas básicas: quão efetivas são as iniciativas para mitigar os riscos? Existe algo que possa ser feito para simplificar esse conjunto de normas?

De acordo com especialistas em segurança, os executivos responsáveis pelo tema nas organizações tendem a repetir uma série de erros na hora de colocar no papel essas políticas.

Acompanhe os sete pecados (falhas) mais comuns cometidos durante a elaboração das políticas de segurança e de privacidade nas organizações:

1.    Falhar ao avaliar os riscos
A primeira questão que qualquer organização precisa se fazer antes de escrever uma política é: porque precisamos disso e aonde queremos chegar? Apesar de parecer óbvio, é um passo crítico.

O primeiro passo antes de colocar qualquer regra no papel é fazer uma avaliação geral de riscos e na qual todas as áreas da companhia precisam estar envolvidas – não só a área responsável pela segurança da informação.

2.    Basear-se em regras prontas
Os exemplos encontrados nos livros ou os casos de sucesso de outras organizações podem até ser um ponto de partida para a criação de uma política. Especialmente nesse momento econômico. As pessoas são pressionados por tempo e dinheiro. Isso leva muitas empresas a replicarem modelos prontos.

Para ser efetiva, no entanto, a política precisa ser escrita com base nas necessidades específicas de cada companhia. Ou seja, de acordo com o consultor, ela pode até levar em conta exemplos prontos, mas os mesmos precisam ser adequados à realidade única das empresas.

3.   Não criar um padrão
Apesar de não existir um template (modelo) que possa ser replicado em toda empresa, as organizações precisam ter políticas consistentes e que sejam válidas para todas as áreas.

É necessário existir uma estutura padrão para todos os documentos que forem criados. Parte das políticas estão escritas no papel, mas o resto não. As organizações devem adotar a governança para padronizar os procedimentos para definir como as políticas são criadas, distribuídas e mantidas.

Esse procedimento ajuda a criar documentos mais concisos e, por consequência, fáceis de ser acessados.

4.    Ter políticas que só são boas no papel
Um ato comum entre as empresas são políticas escritas apenas para satisfazer uma auditoria ou um requerimento regulatório, mas que não são executáveis.

Muitas vezes as organizações nem se dão conta de que não estão seguindo uma política existente. E, na maior parte das vezes, a leitura das regras existentes acaba sendo bastante subjetiva, o que é um erro.

5.    Errar na hora de envolver os gestores
As organizações esperam que todos utilizem um crachá, mas isso não se aplica ao CEO, certo? Errado. Todos precisam seguir as políticas de segurança, inclusive o mais alto nível da organização.

Em muitos casos, existe uma expectativa de que o presidente da companhia não vai querer seguir as regras ou que, pelo fato dele não entender de tecnologia, não precisa lidar com esse tipo de questão. Mas as empresas precisam que os principais gestores sejam os embaixadores das melhores práticas de segurança.

O consultor conta que tem trabalhado com organizações que oferecem aos executivos do board notebooks com um nível mais baixo de segurança, com o intuito de tornar mais fácil o manuseio do equipamento. Quando eles deveriam estar sujeitos às mesmas políticas dos demais. Na realidade, existe uma razão para acreditar que eles deveriam estar sujeitos a regras mais restritivas, uma vez que têm acesso a informações estratégicas.

6.    Escrever uma política depois que o sistema está desenvolvido
A segurança precisa fazer parte do processo de desenvolvimento dos sistemas. Isso porque, quando isso não acontece fica muito mais difícil adequar as soluções prontas às normas já existentes.

Quando a segurança é um add-on (adicionada a um sistema), isso pode torná-la algo incompleto, insuficiente e inadequado.

7.    Esquecer de avaliar
De nada adianta seguir todos os passos anteriores se não houver uma avaliação constante da política de segurança. Pelo menos a cada um ano, o documento seja totalmente revisado.

Na prática, as políticas precisam ser tratadas como um processos, ou seja, algo que não só deve funcionar bem como também precisa ser constantemente adequado.

Anúncios
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: