ARTIGO Política de Segurança da informação Tirando do papel Artigo Política, Conformidade, Normativo Artigo 1
TIRANDO DO PAPEL No artigo Política de Segurança da informação uma introdução ao tema, primeiro artigo sobre esse tema, citou-se a dificuldade de valida o conteúdo buscando garantir seu alinhamento tanto quanto à forma, quanto à profundidade do conteúdo, formas de encaixar na estrutura da organização, medidas de divulgação e mesmo a própria redação no tom mais indicado. Não é missão simples a implementação de uma política de segurança da informação. E o elemento mais complexo e crucial para qualquer primeira tentativa de tirar do papel os artigos e parágrafos de uma PSI e justamente o elemento V listado no artigo anterior nas características de uma política de segurança da informação: Apresentar aprovação pela direção. O maior desafio não é simplesmente ter a aprovação, mas conseguir convencer a direção que assim como a política de viagens, a política de compras e as políticas de RH, a política de segurança da informação é também uma política e deve ser considerada no mesmo nível que as demais da organização. Isso significa que, a principio, todos, e inclusive a direção, devem ter o conhecimento e acatar seu conteúdo como regras comuns da organização. Uma forma de documentar essa aprovação é tendo uma assinatura oficial do documento pelo diretor geral (ou CEO) da organização. Em alguns casos, esteticamente fica interessante ter o que se chama de one-page policy ( política de uma pagina ) que resuma os principais tópicos tratados na política completa e essa one-page seja assinada e seja usada como exemplo para a comunicação interna da aceitação pela direção da política. Isso não tem outra função que a de garantir a força política interna para o documento. Quem não aderiria uma política que o próprio CEO aderiu?! Considerando que já se tenha algum nível de aprovação da diretoria ou instância superior, o grande primeiro problema será divulgá-la por toda a organização. E nesse momento quase tudo e possível. De comunicados internos através de memorandos até peças de teatro encenando o cotidiano da organização e como a política se enquadraria nas situações, todos devem ter o conhecimento sobre a existência e sobre o conteúdo da política no menor período possível a partir de sua publicação. Muitas vezes é mais cômodo e de certa forma eficiente deixar essa divulgação sob o encargo do RH; contudo sendo a área de segurança da informação a responsável pela criação, manutenção e aplicação da política, é bem recomendo que a própria área provedora da PSI esteja envolvida na sua divulgação. O programa de conscientização em segurança da informação tende a ser um vínculo entre essa necessidade de divulgação interna e a aplicação da política. Sem contar que em quase todas as políticas há um item que trata sobre a divulgação daquele documento entre os interessados. Esse tal programa de conscientização atende, nesse caso, às duas exigências. Artigo 2
Mas depois de divulgada, a política tem alguns conjuntos de regras e normatizações que vão requerer ações, mudança de comportamento, realização de controles e outras mudanças que nem sempre serão bem vistas por todos. E esse é um dos desafios mais complexos que uma equipe de segurança da informação costuma enfrentar. O impacto e considerável e a resistência quase sempre é garantida, se não pela totalidade, mas certamente por algumas das frentes previstas pela PSI. Dividir para conquistar. Essa foi a estratégia de vários generais célebres da história como os de Cesar e o próprio Napoleão. Buscando simplificar grandes desafios, dividi-los em menores e mais facilmente alcançáveis objetivos é uma das melhores formas de se obter sucesso. E com a aplicação de uma política de segurança não deve ser muito diferente. Normalmente as políticas são voltadas a normatizar as expectativas da direção quanto ao que se deve ou não fazer com as informações da organização. E isso deve cobrir desde planos de conscientização de usuários, gestão de continuidade de negócios, controle de acessos e identidades, uso de sistema criptográfico e tantos outros temas. Essencialmente, cada um desses assuntos deve ser tratado e posto em atividade de uma forma concisa e sustentável. Isso significa ter meios de programar, manter e controlar as atividades envolvidas em cada frente. Temos, então, vários projetos que podem ser distintamente tratados como projetos independentes. Assim, cria-se um projeto para realizar um programa de conscientização em segurança da informação; um projeto para o plano de aquisição instalação, distribuição e manutenção de sistemas criptográficos; um projeto para a gestão da continuidade do negócio em casos de paradas inesperadas ou não planejadas, dentre outros. Não se deve esquecer, contudo, que a própria política e sua implementação por si só já é um dos projetos. E, ao contrário do que se parece, tirar do papel uma PSI pode ser especificamente conseguir sua aprovação e publicação; o resto vem em decorrência dos demais projetos distribuídos. Mas atenção! Cuidado redobrado ao achar que a preocupação com a política termina quando sua divulgação é atingida e todos que deveriam saber de seu conteúdo estão realmente cientes. Além da divulgação e a execução dos subprojetos que partem das diretrizes definidas na política, a revisão do documento deve ser algo previsto no calendário da equipe de segurança. O que se pode questionar é sob quê periodicidade essa revisão deve ser feita e com qual abrangência. Essas são duas respostas que dependerão de cada caso; cada organização e quais os objetivos de se ter uma política de segurança dentro da organização. Em geral as revisões com períodos maiores que três anos são muito espaçados e suas revisões complexas, e em menos que um semestre é pouco provável que se tenha tido tempo suficiente para realizar muitos feitos. Assim, na média, revisões anuais ou bianuais costumam atender a maioria dos casos, mesmo que essas revisões sejam apenas para verificar e validar o andamento dos demais subprojetos relacionados. Artigo 3
E assim como o período, a profundidade de cada revisão também vai ser uma variável a ser analisada em cada caso. Já que se falou em dividir para conquistar a aplicação da PSI, a melhor forma de avaliar o que se deve ou não rever pode ser associado à efetividade de cada subprojeto e o quanto de sucesso tiveram em suas implementações. Considerando um percentual aproximado de 40% de sucesso na implementação dos subprojetos (dependendo da complexidade, abrangência, orçamento e uma série de outros fatores que influenciam na mensuração de sucesso de projetos e levando em conta que esse percentual é subjetivo e associado às percepções dos gestores) em um ano de trabalho, é bem razoável considerar uma revisão de todos os controles propostos pela PSI em busca de uma melhor adaptação. Provavelmente alguns controles serão identificados como muito rígidos ou ineficientes e um replanejamento será bastante recomendado. Já se esse percentual for maior, então talvez seja um bom momento para aumentar a abrangência da política em alguns controles que não tenham sido atendidos na primeira versão. Importante relembrar que quando se tem uma política de segurança da informação os auditores a consideraram como ponto de partida para verificar se o que está escrito na política está realmente refletido nos procedimentos e no cotidiano da organização. Portanto esse tipo de cuidado deve ser fundamental para não se pretender publicar uma política muito abrangente e isso acabar se tornando um objetivo inalcançável em um curto ou médio espaço de tempo. Nesses casos, políticas mais simples podem representar uma boa estratégia como primeiras versões. Depois, as revisões estão aí para poder aumentar a abrangência e os controles. POR FIM Em geral, políticas são marcos normativo e de conformidade e ajudam a balizar e nortear muitas das atividades realizadas na organização. Devem ser consideradas como estratégicas do ponto de vista de seus objetivos, mas devido à sua aplicação em toda a organização devem ser claras, objetivas e apresentar o mínimo que todos possam realizar independentemente se forem de TI, RH, financeiro, logística, ou responsável pelo cafezinho. Acompanhando uma política sempre terão outros documentos que complementem e deem mais detalhes e especificações técnicas. Mas esses documentos devem ser considerados como mais direcionados a equipes específicas onde suas competências e atividades devem ser relevantes. Procedimentos e padrões são documentos que devem ser direcionados conforme o grupo de interesse. Caso contrário, tornam-se inócuos. A abrangência e revisão da política devem ser pensadas junto à estratégia de sua difusão. A divisão em subprojetos ajuda a ser eficiente, mas garantir o escopo de cada subprojeto é importante para evitar que os subprojetos se sobreponham às diretrizes da política. O objetivo é estar em conformidade com suas próprias normas. O melhor sistema de criptografia pode inviabilizar a execução de outros subprojetos que complementam a abordagem da política. Artigo 4
Assim como em outras áreas, organizações do porte das que precisam de uma PSI também são auditadas pelo enfoque da segurança. E a existência de uma política publicada é o principal elemento que garantirá aos auditores boas questões em busca de evidências do que se faz, mas, principalmente, do que não se faz, mas se diz fazer. Ter uma política abrangente e extensa contribui para uma situação insustentável se a organização não tiver alcançado o nível de maturidade correspondente. E independentemente de qualquer coisa que se diga ou que se faça acerca do assunto política de segurança da informação, a diretoria deve ser a primeira a concordar e a comprar a ideia. Sem seu apoio tanto estratégico quanto financeiro, operacional e de suporte nas cobranças, a equipe de segurança da informação que tentar aplicar uma PSI estará fadada ao fracasso quase que por completo. É provável que haja alguns casos que a direção não aprovou totalmente a política e suas diretrizes e mesmo assim a política tenha sido parcialmente implementada. Mas provavelmente o foi sob muito esforço e em alguns pontos menos estratégicos e mais operacionais. O suporte executivo é fundamental e deve ser considerado como si ne qua non para o primeiro passo ser dado. Artigo 5
SOBRE A SHIELD SECURITY AS A SERVICE A Shield Security as a Service é dedicada em oferecer soluções de segurança da informação com foco no negócio. As soluções são apresentadas sempre de forma consultiva, visando o melhor atendimento das expectativas de seus clientes. Usando os princípios do GRC (Governança, Riscos e Conformidade), a Shield - Security as a Service procura alinhar suas soluções e projetos às melhores práticas de mercado com foco em segurança da informação e governança de TI, entendendo que essa abordagem propicia melhoria do nível de maturidade corporativa. Dessa forma a Shield procura reduzir os pontos de falha e de não conformidade atendendo os mais variados nichos de mercado. SOBRE A METODOLOGIA DE TRABALHO DA SHIELD Não é de intenção da Shield não aproveitar ou não considerar esforços anteriores, por mais que estejam totalmente defasados. Consideramos o conhecimento histórico das operações da Contratante como material enriquecedor para o entendimento e melhor aproveitamento da força de trabalho. A nossa metodologia de consultoria em segurança da informação é baseada nas boas práticas de governança de TI e na experiência embarcada com os profissionais envolvidos no projeto. O fato de valorizarmos profissionais com certificações na área de governança de TI, de segurança da informação e gestão de projetos (ex. CISSP, CBCP, MCSO, CISA, CISM, PMP, ITIL, CobiT, Auditor Líder ISO27001, etc.) comprova que buscamos sempre ter em nossas equipes os melhores e mais bem preparados profissionais da área. Artigo 6
AS VERTICAIS DA SHIELD Gestão de SI: Com foco nas atividades relacionadas ao sistema de gestão de segurança da informação, oferecemos suporte e atendemos a projetos de: Análise e avaliação de riscos Formação e manutenção de equipe de SI Suporte decisório à equipe de SI (Security Advisory) Classificação da informação Elaboração e revisão de políticas e normas Continuidade de negócios: Como suporte operacional e estratégico a garantir as atividades criticas da organização, atendemos a projetos de: Identificação e estudo de agentes de ameaça Suporte na elaboração e avaliação do Plano de Continuidade de Negócios (PCN) Auditoria do PCN Treinamento e segurança comportamental: Oferecemos suporte e treinamentos pontuais através de projetos de: Workshops de segurança Treinamentos presenciais ou pela internet Desenvolvimento de campanhas de segurança Elaboração de material de conscientização em segurança da informação Auditoria de SI: Com o foco em segurança da informação, atendemos a projetos de: Suporte para adequação ao PCI-DSS (pré-auditoria) Elaboração de programas de auditoria genéricos ou específicos para processos críticos (ex. PCN,SGSI, Governança de TI, etc.) Realização de auditorias em normas internacionais como ISO27001 e SOx Artigo 7
Política de Segurança R. Álvaro Alvim, 33 cj.1223 Centro Rio de Janeiro, RJ. 20031-010 comercial@shieldsaas.com web: www.shieldsaas.com twitter: @ShieldSaaS Artigo