Política de segurança da informação é um conjunto de políticas emitidas por uma organização para garantir que todos os usuários de tecnologia da informação no domínio da organização ou de suas redes conheçam as regras e diretrizes relacionadas à segurança das informações armazenadas digitalmente em qualquer ponto da rede ou dentro dos limites de autoridade da organização.
A evolução das redes de computadores tornou o compartilhamento de informações cada vez mais prevalente. As informações agora são trocadas à taxa de trilhões de bytes por milissegundo, números diários que podem se estender além da compreensão ou da nomenclatura disponível. Uma proporção desses dados não se destina ao compartilhamento além de um grupo limitado e muitos dados são protegidos por lei ou propriedade intelectual. Uma política de segurança da informação procura promulgar essas proteções e limitar a distribuição de dados que não são de domínio público a destinatários autorizados.
Toda organização precisa proteger seus dados e também controlar como eles devem ser distribuídos dentro e fora dos limites da organização. Isso pode significar que as informações podem ter que ser criptografadas, autorizadas por terceiros ou instituições e podem ter restrições impostas à sua distribuição com referência a um sistema de classificação estabelecido na política de segurança da informação.
Um exemplo do uso de uma política de segurança da informação pode estar em um recurso de armazenamento de dados que armazena registros do banco de dados em nome de instalações médicas. Esses registros são confidenciais e não podem ser compartilhados, sob pena de lei, com qualquer destinatário não autorizado, seja uma pessoa real ou outro dispositivo.
Uma política de segurança da informação conteria orientações sobre o uso dessas informações e poderia ser ativada uma rotina/algoritmo definida(o) e recomendado pela equipe de Segurança da Informação e implementado pelas equipes responsáveis pelo sistema, com pontos de controles e auditorias realizadas pelo time de Segurança da informação. Além disso, os trabalhadores geralmente seriam contratualmente obrigados a cumprir mais essa política da empresa e precisariam vê-la antes de operar o software de gerenciamento de dados.
A importância de uma política de segurança da informação pode ser medida por três grandes justificativas: é um documento recomendado por frameworks como NIST SP 800-12 ou NBR ISO 27000; é um requisito para atender auditorias, tanto interna como externas; e garantir o nível de compliance exigido pelo PCI-DSS.
Para uma empresa seguir padrões validados pelo mercado como os documentos das normas brasileiras – NBR, ou as recomendações do NIST, é uma ação de minimizar esforços e aumentar a eficiência dos controles.
E, mesmo que o escopo do PCI-DSS não seja objeto de exigência do negócio, as recomendações de boas práticas desse documento são de grande valia para aumentar a segurança do ambiente.
E sem dúvida, a existência de uma política de segurança da informação elimina a possibilidade de ponto negativo nos casos de auditorias interna e ou externa.
Este é um documento que traz orientações para garantir a segurança da informação dentro da empresa ou corporação, onde padrões e controles são definidos refletindo o compromisso da direção com ativo INFORMAÇÃO.
E nesse contexto cabe à equipe de TI oferecer suporte para ajudar a delimitação de fronteiras tecnológica e à equipe de segurança da informação os critérios para oferecer o máximo da segurança exigido, tanto para atender os requisitos do negócio como a legislação em vigor.
E aqui conclui-se que para atender as fronteiras tecnológicas, requisitos de negócio e legislação em vigor o documento deve sofrer revisões periódicas sob pena de não refletir as evoluções cada vez mais frequentes do mercado e do negócio.
É importante reforçar que não basta a existência do documento. É fundamental que o que está escrito seja seguido e não se torne uma “letra morta” ou um documento “para inglês ver”. E, tão importante como sua revisão, é criar uma tarefa de acompanhamento dos pontos existentes na política que não estão ainda sendo seguidos, documentados para conhecimento de todos e sendo auditados.
Consultorias podem ajudar a desenvolver estes controles, no caso das políticas já existentes; a elaborar o documento usando a expertise para ajudar na construção e/ou revisão, oferecendo um ganho significativo para as equipes das empresas preocupadas com a segurança do ambiente e cada vez mais sobrecarregadas.
Por: José Edmir Pininga e Eraldo Silva.