A forma certa de montar uma política de segurança – Parte 1

Para ter sucesso efetivo, a política de segurança da informação – que contempla as regras e melhores práticas para a manipulação de dados e informações da corporações – precisa ser elaborada a partir da colaboração de todos os departamentos da companhia. Para tanto, o executivo responsável pela iniciativa deve mapear as necessidades de todas as áreas de negócio da organização e criar normas factíveis a todos os departamentos.

Mesmo que pareça difícil, todos os líderes da companhia devem estar de acordo com as políticas de segurança. Isso porque, se um executivo não concorda com alguma delas, certamente não a cumprirá e, por consequência, não exigirá que sua equipe o faça.

O caminho para que o gestor de segurança alcance o objetivo de conciliar as opiniões de todos os segmentos da organização começa pelo entendimento da percepção do alto comando quanto à importância estratégica da blindagem de informações e dados corporativos.

Depois disso, esse profissional tem o desafio de entrevistar todos os comandantes da empresa, absorver suas expectativas e necessidades de proteção de informações e elaborar um documento que expresse o nível de segurança que a companhia, como um todo, exige.

Vale lembrar que, no momento da entrevista com os líderes, os executivos de segurança devem fazer pelo menos três perguntas essenciais:

• Como você classificaria os diferentes tipos de dados aos quais tem acesso para desempenhar suas funções?
• Dentro dessa classificação, quais são as informações utilizadas para a tomada de decisões importantes?
• Você utiliza dados secretos em suas funções? Eles deveriam ser mais protegidos que os outros?

A partir das respostas, o gestor da área de segurança da informação deve classificar os níveis de importância de cada conjunto de dados e os riscos a que estão expostos. A partir dessa divisão, conseguirá identificar as necessidades globais da companhia quanto à proteção e estará apto a elaborar um plano de efetivo, o qual será a base para a definição das políticas práticas de manipulação de dados.

Nessa etapa do processo de desenvolvimento das melhores práticas, o líder do projeto deve comandar a adequação das normas documentadas a, pelo menos, um dos padrões internacionais de gerenciamento de riscos, como o Security Forum´s Standard of Good Practice, International Standards Organization´s Security Management Series (responsável por conceder títulos de conformidade com as regras ISO) e Information Systems Audit and Control Association´s Control Objectives for Information Technology (criador da certificação CoBIT).

Só dessa forma o responsável pela segurança da informação vai garantir que a política adotada será reconhecida por auditores externos e instituições internacionais.