Eduardo R.
PSI e dificuldades dos funcionários a essas políticas
Uma política de segurança da
informação tem por objetivo possibilitar o gerenciamento da segurança em uma
organização, estabelecendo regras e padrões para proteção da informação. A
política possibilita manter a confidencialidade, garantir que a informação não
seja alterada ou perdida e permitir que a informação esteja disponível quando
for necessário.
Os controles devem ser definidos
levando em conta as características de cada empresa, definindo o que é
permitido e o que é proibido. A implantação, para ser bem sucedida, deve partir
da diretoria da empresa para os demais funcionários (abordagem top down). A
política deve ser divulgada para todos os funcionários da organização, de forma
a manter a segurança das informações.
De acordo com o RFC 2196, uma
política de segurança consiste num conjunto formal de regras que devem ser
seguidas pelos utilizadores dos recursos de uma organização.
As políticas de segurança devem
ter implementação realista, e definir claramente as áreas de responsabilidade
dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve
também adaptar-se a alterações na organização. As políticas de segurança
fornecem um enquadramento para a implementação de mecanismos de segurança,
definem procedimentos de segurança adequados, processos de auditoria à
segurança e estabelecem uma base para procedimentos legais na sequência de
ataques.
O documento que define a política
de segurança deve deixar de fora todos os aspectos técnicos de implementação
dos mecanismos de segurança, pois essa implementação pode variar ao longo do
tempo. Deve ser também um documento de fácil leitura e compreensão, além de
resumido.
Algumas normas definem aspectos
que devem ser levados em consideração ao elaborar políticas de segurança. Entre
essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a
NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a
publicar a série de normas 27000, em substituição à ISO 17799 (e por
conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
PSI dificuldades dos funcionários adotarem essas políticas
Esta realidade é necessária para
manter o ambiente seguro, em funcionamento e com desempenho favorável. Porém,
somente recursos tecnológicos não terão sucesso nesta tarefa. Quase todos os
colaboradores de uma organização possuem algum tipo de dispositivo pessoal,
seja tablet, smartphone, celular, entre outros, que são levados para o ambiente
de trabalho e é neste ponto que as organizações estão estudando qual a melhor
prática a ser adotada para controlar, evitar, aceitar ou mitigar os riscos
envolvidos, visto que, se algum determinado site, por exemplo, está bloqueado
nas estações de trabalho, o funcionário pode acessar via dispositivo pessoal e
ficarem horas nesta situação.
A Política de Segurança da
Informação está sendo adotada pelas organizações também para situações em que a
tecnologia não consegue atender, visto que muitos casos são relacionados aos comportamentos
humanos. A PSI é um instrumento de trabalho no qual irá nortear os
colaboradores das diretrizes e controles criados pela organização e que precisam
ser seguidos e respeitados.
A elaboração de uma PSI tem o
intuito de criar um ambiente homogêneo perante às situações tecnológicas e
comportamentais. É muito comum empresas adotarem dois pesos e duas medidas para
tratarem a mesma situação, ou seja, para um funcionário, redes sociais estão
liberadas para uso pessoal, enquanto para outros não. O uso de e-mail
particular está liberado para tal setor e para outros não. Está realidade gera
insatisfação para maioria dos colaboradores, pelo fato de não existirem
critérios para o que é permitido e de que forma é permitido. Com a criação de
uma PSI, os controles são estabelecidos e devem ser respeitados por todos os
colaboradores da organização, sem distinção de cargo ou setor. Como exemplo, se
a área de Marketing precisa das redes sociais para efetuar os trabalhos, na PSI
deve conter a exceção de uso das redes sociais do perfil corporativo pela área
de Marketing, ou seja, todas as exceções de utilização de dispositivos
pessoais, política do uso de USB, política de download, acesso aos recursos da
rede, armazenamento na rede, backup devem estar descritas na PSI de forma clara
e objetiva.
O intuito deste artigo não é
apresentar como deve ser criada uma PSI e as melhores práticas adotadas, e sim,
apresentar que a PSI pode ser uma ferramenta muito interessante para conseguir
eliminar alguns conflitos que ocorrem diariamente no ambiente de trabalho e
apresentar a visão clara da empresa perante vários fatores.
Não existe o certo ou errado na
elaboração de uma PSI. A definição dos controles, diretrizes e o que será
permitido, ou não, devem ser definido pelos gestores, normalmente envolvendo a
área de recursos humanos, TI e jurídica para a definição. É muito importante
para o sucesso de uma PSI o comprometimento de todos os envolvidos e
principalmente uma conscientização e treinamento para os funcionários. É
necessário realizar um trabalho de conscientização com palestras e eventos para
os funcionários, no qual através de exemplos, situações, definições, casos
reais, importância dos controles aplicados, será possível obter êxito e
aplicabilidade da PSI.
Para finalizar o artigo, é muito
importante a área jurídica da empresa validar a PSI para não existir nenhum
controle em não conformidade às legislações ou regulamentos governamentais, já
que a PSI possui valor jurídico e deve ser utilizada pelo RH para advertir ou
gerar sansões administrativas em caso de descumprimento da mesma. Todos os
colaboradores devem assinar o termo de responsabilidade da PSI,
comprometendo-se a respeitar os controles definidos. Como exemplo, um usuário
que passava horas no trabalho tentando encontrar um jeito de acessar um site
bloqueado, seja através de proxy, softwares de túnel, pesquisas no Google, com
a PSI, o mesmo pode ser advertido por tentar burlar as normas estabelecidas
pela organização.
Comentários
Postar um comentário