Política de segurança da informação: o quão detalhada deve ser?

dejanAutor: Dejan Kosutic

Muitas vezes, vejo as políticas de segurança da informação com muitos detalhes, tentando cobrir tudo, desde os objetivos estratégicos até quantos dígitos numéricos uma senha deve conter. O único problema com essas políticas é que elas contêm 50 páginas ou mais, e ninguém as leva realmente a sério. Elas geralmente acabam servindo como documentos artificiais, cuja única finalidade é agradar o auditor.

Mas por que essas políticas são tão difíceis de implementar? Porque são muito ambiciosas, tentam abranger muitas questões e são destinadas a um amplo grupo de pessoas. É por isso que a ISO 27001, a principal norma de segurança da informação, define diferentes níveis de políticas de segurança da informação:

  • Políticas de alto nível, como a Política de Sistema de Gestão da Segurança da Informação – essas políticas geralmente definem a intenção estratégica, os objetivos etc.
  • Políticas detalhadas – esse tipo de política geralmente descreve uma área selecionada da segurança da informação com mais detalhes, com responsabilidades específicas etc.

A ISO 27001 exige que a Política de Sistema de Gestão da Segurança da Informação (SGSI), como o documento de mais alto nível, contenha o seguinte: uma estrutura para definir os objetivos, levando em consideração diversos requisitos e obrigações, que se alinhe com o contexto de gestão estratégica de riscos da organização e estabeleça os critérios da avaliação de riscos. Essa política deve ser bem curta (uma ou duas páginas talvez), pois sua finalidade principal é permitir que direção seja capaz de controlar seu SGSI.

Por outro lado, as políticas detalhadas devem ser destinadas para uso operacional e devem focar em um campo menor de atividades de segurança. Exemplos dessas políticas são: Política de classificação, Política de uso aceitável de recursos de informação, Política de backup, Política de controle de acesso, Política de senha, Política de mesa limpa e tela limpa, Política de utilização dos serviços de rede, Política de computação móvel, Política para o uso de controles criptográficos etc. Nota: a ISO 27001 não exige que todas essas políticas sejam implementadas e/ou documentadas, pois a decisão de aplicabilidade e extensão desses controles depende dos resultados da avaliação de riscos.

Como essas políticas devem conter mais detalhes, elas são geralmente mais longas, até dez páginas. Se elas forem muito mais longas do que isso, será muito difícil de implementá-las e mantê-las. Em outras palavras, a segurança da informação é muito complexa para ser definida em uma única política – devido aos diferentes aspectos do SGSI e aos diferentes “grupos alvo” deve haver políticas diferentes. Organizações de médio porte geralmente produzem até quinze políticas seu SGSI.

Alguém poderia argumentar que esse número de políticas não é nada além de sobrecarga para uma empresa. Eu certamente concordaria se essas políticas forem escritas somente com a auditoria de certificação em mente, nesse caso elas não trariam nada além de mais burocracia. No entanto, se uma política for escrita com a intenção de diminuir os riscos, então ela muito provavelmente irá mostrar seu valor, se não imediatamente, em dois ou três anos, diminuindo o número de incidentes.

Leia Também:

O caminho para uma Gestão de Riscos mais efetiva – As novas versões da ISO 27001 e da ISO 27002

ZCR Informática conquista a 1ª Certificação ISO 27001 do Norte/Nordeste

Video Educacional – Navegar é preciso

Fonte: Blog do Dejan Kosutic

Anúncios

6 pensamentos sobre “Política de segurança da informação: o quão detalhada deve ser?

  1. Pingback: Não existe bala de prata na segurança | Security Information News

  2. Pingback: Política de Segurança da Informação x Comportamento Humano | Security Information News

  3. Anderson Carlos de Camargo • Recentemente, conversando como pessoal de qualidade, também chegamos a brilhante conclusão que a Política de Segurança da Informação tem que ser descrita numa única página a fim de tornar-se efetiva. Os detalhes (como é comum vermos nas maiorias das políticas por aí) viraram tudo normas (norma de uso de recursos, norma de backup, etc). Desta forma ganhamos foco na política e flexibilidade nas inclusões e/ou mudanças nas normas qdo necessário. That´s my 2 cents,

  4. Everton Souza • Quanto maior a compactação da política de segurança , mas ao mesmo tempo com a abragência que coloca em foco as necessidades principais da empresa e adequando as devidadas responsabilidades às pesssoas apropriadas, pode ser implementada de maneira efetiva e eficaz.

  5. Ricardo Tulio Gandelman • Acredito que a política deva ser um guarda-chuva para o detalhamento que será feito em normas e procedimentos, e ela deveria ter a abrangência do que se quer proteger. Acho que o Anderson fez um bom resumo. A política deveria ser algo mais permanente, e a sua aplicação nos diversos temas se daria pela construção de norma e procedimentos e estes sim podem ser construídos e aplicados em ondas planejadas, não só de áreas/focos/temas mas de abrangência também.

  6. Itiberê Paquier • Bela Observação Anderson, já tive a experiência de reformular a política de segurança no governo e realmente é difícil aplica-la de forma que “obrigue” o usuário a tomar ciência. Realmente um resumo das principais regras é o que funciona.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s