ARTIGO Política de SI uma introdução ao tema Artigo Política, Conformidade, Normativo Artigo 1
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO UMA INTRODUÇÃO AO TEMA Nas organizações mais estruturadas, é comum que haja algum nível de normatização e de documentação. Muitas vezes essa normatização é reforçada por uma imposição de mercado ou órgão regulador das atividades. Independentemente do fator motivador, a documentação serve como um fator de definição de parâmetros sobre o que é ou não esperado sobre o comportamento dos funcionários e, principalmente, o que deve ou não ser feito. É extremamente comum confundir política de segurança da informação com procedimentos ou ainda com documentos tão complexos e extensos que a própria política em si acaba perdendo sua função e força. Tem-se que ter em mente que uma política de segurança da informação, como o próprio nome propõe, é uma política. Portanto não é um procedimento, um guia, uma lista de padrões ou qualquer outra variação. Mas como diferenciar entre todos esses tipos de documentos? Política não tem que ser abrangente e detalhada nesse nível? Não! Em geral, a documentação voltada à segurança é composta por alguns elementos chave que devem ser bem entendidos para que um não abrace o domínio do outro e não torne impossível a já difícil missão de implementar segurança da informação em uma organização. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Segundo consta na norma ISO/IEC 27001 que define os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação SGSI, uma política de segurança deve apresenta cinco principais características, que são: I. Incluir uma estrutura para definir objetivos e estabelecer um direcionamento global e princípios para as ações relacionadas com a segurança da informação; II. Considerar requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais; III. Estar alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer; IV. Estabelecer critérios em relação aos quais os riscos serão avaliados; e V. Apresentar aprovação pela direção. Assim, não se espera de uma política uma apresentação operacional; ao contrário, as políticas de uma empresa são documentos estratégicos que devem ser considerados amplamente aplicáveis a todos os colaboradores, o que inclui desde os gestores e diretores até os funcionários mais elementares e da base da estrutura. Então, como enquadrar as outras informações que são também muito importantes? Afinal os procedimentos de configuração de firewall e de gestão de acessos são de extrema importância. Contudo, o diretor executivo (CEO) deve estar ciente de suas obrigações com a Artigo 2
segurança da informação, mas não necessariamente precisa se preocupar se a porta de conexão 3380 TCP está sendo usada por alguma aplicação crítica que não possa ser interrompida. Ele deve estar preocupado com outros assuntos, mais estratégicos. Para suprir a essa necessidade, há outros elementos que complementam a PSI, ou política de segurança da informação, e que são direcionados a grupos específicos da organização. Procedimentos: Esses normalmente expressam etapas a serem seguidas para o atendimento de algum objetivo ou alguma ação. Podem ser comparados a manuais internos. Em geral, os procedimentos são associados a fluxos de atividades bem específicas e bem definidos. Os procedimentos garantem que a troca ou passagem de conhecimento entre pessoas da mesma área seja mais sinergética e eficiente. Padrões: Estabelecem a definição aceita como certa ou estabelecem os critérios necessários para que os procedimentos sejam atendidos a contento. Diretrizes: Definem linhas-mestras sobre como proceder ou se portar em determinados casos já mapeados. Um exemplo de diretriz bem comum é o conjunto de regras comportamentais a que se chama de Código de Ética da empresa. Assim como as políticas, as diretrizes são abrangentes e devem ser de conhecimento de todos, mas assumem o perfil de recomenda-se que, enquanto as políticas têm a característica de cumpra-se. É bem possível que se encontre literaturas diversas dando outras explicações e sugerindo outros elementos normativos que complementem as políticas, mas em geral as variações não serão tão amplas a ponto de anular esse texto. Nesse momento é importante perceber que nem tudo deve ser considerado apenas como a aplicação pura e direta de definições. Não! O engessamento das definições contribui na verdade para um improvável sucesso do esforço dedicado na implementação de uma PSI e seu conjunto de outros documentos. Nesse caso, as definições devem ser consideradas apenas como ferramental para que se entenda o que é, como se aplica e, principalmente, por que se aplica. Em geral, as políticas são complementadas com traços de diretrizes enquanto que os procedimentos normalmente envolvem a definição de padrões. São conceitos que são mais relacionados e provavelmente serão abordados em conjunto entre si. Então destrinchar em pilhas e mais pilhas de documentos distintos não contribui para a eficiência, mas sim para aumentar e manter a mistificação que já cerca o assunto naturalmente. A FORMA TAMBÉM É IMPORTANTE A abordagem mais comum é que a política tenha poucas páginas e seja amplamente direcionada; portanto seu linguajar deve ser direto, sucinto e conciso. Rebuscar o texto só contribui para o insucesso. Nem todos que devem seguir a política têm o mesmo nível acadêmico, passaram pelas mesmas experiências e enxergam a importância da aplicação do Artigo 3
que se apregoa na PSI. O texto rebuscado é recomendado para alguns tipos de literatura e deve ser mantida lá. Assim como em qualquer meio de comunicação, um dos elementos mais importantes é justamente o interlocutor que, nesse caso, são todos a que a PSI se destina. Assim como em qualquer meio de comunicação em massa, o estilo deve ser simples, direto e objetivo. Devem ser incorporados controles de acesso lógico e físico à informação, aos recursos de processamento das informações e aos processos de negócios considerando a segurança da informação no âmbito da organização. Nota-se que no exemplo acima não há grandes detalhes sobre como, ou o quê exatamente ou quais controles devem ser executados nem tampouco quais os parâmetros mínimos de configuração de qualquer sistema associado. Por outro lado, não restringe a que grupo se aplica, portanto a todos indiscriminadamente desde que esteja dentro do âmbito da organização. Há uma grande tendência a seguir uma adaptação da lei de Lavoisier sobre a natureza dos elementos e aplicar o conjunto de comandos Ctrl-C Ctrl-V indiscriminadamente. Não há pecado nessa prática visto que realmente reduz o tempo e ajuda a não deixar passar coisas simples, porém importantes. Além disso, realmente não há necessidade de se reinventar a roda a cada vez que for necessária a redação de uma nova PSI. Mas a cópia também deve ser usada com parcimônia e, principalmente sabedoria. Na passagem de política citada acima, o trecho termina considerando o escopo ao qual a política será aplicada. E em cada caso devem ser avaliadas as reais necessidades e o que se espera como realmente aplicável. O objetivo de uma política deve estar alinhado com os objetivos e planejamentos estratégicos da organização na qual será aplicada. De forma diferente, outro ponto contra. Vale ressaltar e reforçar que copiar trechos de outros documentos não é o maior dos pecados e, com auxilio de um bom senso razoável, é o que se acaba acontecendo em quase todos os casos. Mas copiar sem ajustar não é a solução. E a ISO 27001 não é uma política e nem está próxima disso. Portanto escrever uma PSI com base na norma deve ser apenas para não deixar um detalhe ou outro passar. No mais, vale o esforço mais dedicado sobre a ISO se a organização tiver como objetivo a certificação de algum processo crítico; caso contrário é bem provável que haja outras fontes de consulta que orientem melhor. Provavelmente uma regra interna, ou uma política de uma sede internacional ou mesmo de um órgão regulador possam ser fontes melhores de preocupação quanto ao quesito conformidade. Quanto à quantidade de páginas, não há uma quantidade específica ou mesmo máximos e mínimos que sejam considerados certo ou inadequado. Imagine que a política deve atender aos seguintes parâmetros: Artigo 4
Deve ter abrangência geral, portanto deve ser clara e direta; Não pode ser muito grande a ponto de tornar sua leitura exaustiva e o colaborador não termine de lê-la ate o final; Não pode ser muito pequena a ponto de não tratar de todos os temas principais e críticos que tenham sido sinalizados pela gestão através de uma breve análise de riscos ou análise de conformidade; Deve considerar que a PSI não deve ser o único documento sobre segurança da informação na organização, mas sim a base para os demais; Seu embasamento deve estar focado nos interesses estratégicos da organização. A melhor política não é aquela bem fechada, mas sim aquela que normatiza internamente no escopo de sua abrangência os principais temas críticos. Como laboratório, a adoção da técnica de escrever em grupo pode ser uma boa abordagem. Enquanto um dos integrantes do grupo redige o documento (ou mesmo que apenas uma parte), outro passa a revisão e um terceiro, quando possível, dá os arremates e apara as arestas finais. Mas quando se está sozinho nesse tipo de empreitada, obviamente não dá para envolver os gestores com essa frequência. Eles são os clientes e não parte da equipe que está dedicada a resolver a questão (ao menos a maioria pensa assim). Outra técnica bem interessante é usar listas e grupos de discussão. Por mais que sejam pessoas que você talvez nunca tenha visto, podem ser de grande contribuição para sua empreitada. Só não se esqueça de manter o nível de sigilo sobre as informações que garantam a privacidade do seu cliente. Não seria nada positivo encontrar em uma lista de discussão trechos da política de uma empresa. A ideia dos grupos de discussão corrobora com a troca de experiências e validação do tipo de texto. E não muito mais que isso. Artigo 5
SOBRE A SHIELD SECURITY AS A SERVICE A Shield Security as a Service é dedicada em oferecer soluções de segurança da informação com foco no negócio. As soluções são apresentadas sempre de forma consultiva, visando o melhor atendimento das expectativas de seus clientes. Usando os princípios do GRC (Governança, Riscos e Conformidade), a Shield - Security as a Service procura alinhar suas soluções e projetos às melhores práticas de mercado com foco em segurança da informação e governança de TI, entendendo que essa abordagem propicia melhoria do nível de maturidade corporativa. Dessa forma a Shield procura reduzir os pontos de falha e de não conformidade atendendo os mais variados nichos de mercado. SOBRE A METODOLOGIA DE TRABALHO DA SHIELD Não é de intenção da Shield não aproveitar ou não considerar esforços anteriores, por mais que estejam totalmente defasados. Consideramos o conhecimento histórico das operações da Contratante como material enriquecedor para o entendimento e melhor aproveitamento da força de trabalho. A nossa metodologia de consultoria em segurança da informação é baseada nas boas práticas de governança de TI e na experiência embarcada com os profissionais envolvidos no projeto. O fato de valorizarmos profissionais com certificações na área de governança de TI, de segurança da informação e gestão de projetos (ex. CISSP, CBCP, MCSO, CISA, CISM, PMP, ITIL, CobiT, Auditor Líder ISO27001, etc.) comprova que buscamos sempre ter em nossas equipes os melhores e mais bem preparados profissionais da área. Artigo 6
R. Álvaro Alvim, 33 cj.1223 Centro Rio de Janeiro, RJ. 20031-010 comercial@shieldsaas.com web: www.shieldsaas.com twitter: @ShieldSaaS Artigo 7