dejanAutor: Dejan Kosutic

Muitas vezes, vejo as políticas de segurança da informação com muitos detalhes, tentando cobrir tudo, desde os objetivos estratégicos até quantos dígitos numéricos uma senha deve conter. O único problema com essas políticas é que elas contêm 50 páginas ou mais, e ninguém as leva realmente a sério. Elas geralmente acabam servindo como documentos artificiais, cuja única finalidade é agradar o auditor.

Mas por que essas políticas são tão difíceis de implementar? Porque são muito ambiciosas, tentam abranger muitas questões e são destinadas a um amplo grupo de pessoas. É por isso que a ISO 27001, a principal norma de segurança da informação, define diferentes níveis de políticas de segurança da informação:

  • Políticas de alto nível, como a Política de Sistema de Gestão da Segurança da Informação – essas políticas geralmente definem a intenção estratégica, os objetivos etc.
  • Políticas detalhadas – esse tipo de política geralmente descreve uma área selecionada da segurança da informação com mais detalhes, com responsabilidades específicas etc.

A ISO 27001 exige que a Política de Sistema de Gestão da Segurança da Informação (SGSI), como o documento de mais alto nível, contenha o seguinte: uma estrutura para definir os objetivos, levando em consideração diversos requisitos e obrigações, que se alinhe com o contexto de gestão estratégica de riscos da organização e estabeleça os critérios da avaliação de riscos. Essa política deve ser bem curta (uma ou duas páginas talvez), pois sua finalidade principal é permitir que direção seja capaz de controlar seu SGSI.

Por outro lado, as políticas detalhadas devem ser destinadas para uso operacional e devem focar em um campo menor de atividades de segurança. Exemplos dessas políticas são: Política de classificação, Política de uso aceitável de recursos de informação, Política de backup, Política de controle de acesso, Política de senha, Política de mesa limpa e tela limpa, Política de utilização dos serviços de rede, Política de computação móvel, Política para o uso de controles criptográficos etc. Nota: a ISO 27001 não exige que todas essas políticas sejam implementadas e/ou documentadas, pois a decisão de aplicabilidade e extensão desses controles depende dos resultados da avaliação de riscos.

Como essas políticas devem conter mais detalhes, elas são geralmente mais longas, até dez páginas. Se elas forem muito mais longas do que isso, será muito difícil de implementá-las e mantê-las. Em outras palavras, a segurança da informação é muito complexa para ser definida em uma única política – devido aos diferentes aspectos do SGSI e aos diferentes “grupos alvo” deve haver políticas diferentes. Organizações de médio porte geralmente produzem até quinze políticas seu SGSI.

Alguém poderia argumentar que esse número de políticas não é nada além de sobrecarga para uma empresa. Eu certamente concordaria se essas políticas forem escritas somente com a auditoria de certificação em mente, nesse caso elas não trariam nada além de mais burocracia. No entanto, se uma política for escrita com a intenção de diminuir os riscos, então ela muito provavelmente irá mostrar seu valor, se não imediatamente, em dois ou três anos, diminuindo o número de incidentes.

Leia Também:

O caminho para uma Gestão de Riscos mais efetiva – As novas versões da ISO 27001 e da ISO 27002

ZCR Informática conquista a 1ª Certificação ISO 27001 do Norte/Nordeste

Video Educacional – Navegar é preciso

Fonte: Blog do Dejan Kosutic