CIO Insight: como montar uma política de segurança eficaz?

A política de segurança de uma empresa tem de advir da visão e dos valores definidos no Código de Ética empresarial e da avaliação de riscos. Ou seja, nada mais é do que um documento que regula a utilização de computadores, de e-mails, de redes, da internet, da intranet, de softwares, dentre outros recursos tecnológicos. É preciso atentar, também, para a evolução tecnológica, que forçará revisões periódicas na política de segurança.

Além da participação do conselho e de gerentes da empresa na elaboração da política, é importante incluir nas discussões o departamento ou o escritório jurídico. Afinal, trata-se de um documento desta área. No nosso caso, o texto final para o Grupo Nordeste foi submetido ao escritório jurídico que nos atende para apreciação.

Como sugestão, foi apontada a utilização de mecanismos de alerta para constantemente lembrar nossos usuários dos compromissos definidos na política. Afinal, a política de segurança só será efetiva se abranger a todos os funcionários de TI ou telecom, sem distinção hierárquica, resguardado, obviamente, o bom senso.

A vigência imediata, após a sua divulgação, é muito importante que todos os futuros contratados e os prestadores de serviços conheçam as regras de segurança e se comprometam a respeitá-la. Não adianta, contudo, criar leis ou normas, se não houver ações educativas, como o monitoramento do cumprimento e sanções para quem as desrespeitar. Isto vale para o uso inadequado ou até inconveniente dos recursos de TI e de telecomunicações.

Uma empresa como o Grupo Nordeste, que presta serviços a companhias que têm suas operações fiscalizadas por meio da Basiléia II e Sarbanes-Oxley, está sujeita a normas e regulamentações próprios do mercado de segurança de valores. Nós temos de garantir que os processos terceirizados conosco atendam aos pré-requisitos estabelecidos pelas normas as quais nossos clientes estão sujeitos.

Uma pergunta comum a qualquer empresário: o que se ganha com isso? A utilização da estrutura de TI e de telecom para os fins a que se destinam, certamente, proporcionará aos usuários mais produtividade no acesso às informações e no uso dos sistemas, colaborando para o desenvolvimento das atividades da empresa.

Há também a redução de custos em função do prolongamento do tempo de vida útil dos equipamentos e softwares, da eliminação dos desperdícios (com menor demanda por memória e espaço em hardware); do corte de custos com a manutenção de equipamentos (por mau uso, pela ação de vírus ou de programas maliciosos). Sim, a boa conduta em TI também se traduz em lucro financeiro.

* André Navarrete é CIO do Grupo Nordeste (Nordeste, NSE, Transbank e Norsergel)

Leia mais

Especial CIO Insight: todos os artigos publicados na InformationWeek Brasil