A recente notícia de que a IBM afastou um funcionário acusado pela SEC (Comissão de Segurança e Trocas dos Estados Unidos) de vazar informações privilegiadas reforçou a importância das empresas criarem políticas eficientes de segurança, com o intuito de mitigar riscos.
O primeiro passo para evitar problemas como os enfrentados pela IBM é criar uma política eficiente e adequada à realidade de cada organização. Mas em um mundo no qual as empresas são orientadas totalmente por normas e regulamentações, os CSOs (executivos responsáveis pela segurança da informação) tendem a ficar perdidos em meio a tantas regras e esquecem de fazer duas perguntas básicas: quão efetivas são as iniciativas para mitigar os riscos? Existe algo que possa ser feito para simplificar esse conjunto de normas?
De acordo com especialistas em segurança, os executivos responsáveis pelo tema nas organizações tendem a repetir uma série de erros na hora de colocar no papel essas políticas.
A seguir, acompanhe os sete pecados mais comuns cometidos durante a elaboração das políticas de segurança e de privacidade nas organizações:
1. Falhar na hora de avaliar os riscos
A primeira questão que qualquer organização precisa se fazer antes de escrever uma política é: porque precisamos disso e aonde queremos chegar? Apesar de parecer óbvio, é um passo crítico, de acordo com o consultor independente Charles Cresson Wood, especializado em segurança da informação e autor de diversos livros sobre o tema.
“Estou trabalhando com um cliente que foi obrigado por leis e regulamentações a criar políticas e materiais de conscientização dos usuários, mas ele não fez uma avaliação de riscos nos últimos três anos”, pontua Wood. “Ou seja, eles não sabem contra quem estão lutando”, acrescenta o especialista.
O consultor defende que o primeiro passo antes de colocar qualquer regra no papel é fazer uma avaliação geral de riscos e na qual todas as áreas da companhia precisam estar envolvidas – não só a área responsável pela segurança da informação.
2. Basear-se em regras prontas
De acordo com Wood, os exemplos encontrados nos livros ou os casos de sucesso de outras organizações podem até ser um ponto de partida para a criação de uma política. “Especialmente nesse momento econômico. As pessoas são pressionados por tempo e dinheiro”, avalia o especialista, ao citar que isso leva muitas empresas a replicarem modelos prontos.
Para ser efetiva, no entanto, a política precisa ser escrita com base nas necessidades específicas de cada companhia. Ou seja, de acordo com o consultor, ela pode até levar em conta exemplos prontos, mas os mesmos precisam ser adequados à realidade única das empresas.
3. Não criar um padrão
Apesar de não existir um template que possa ser replicado em toda empresa, as organizações precisam ter políticas consistentes e que sejam válidas para todas as áreas, de acordo com o consultor em segurança Scott Hayden, especializado em gestão, políticas e governança.
Hayden afirma que precisa existir uma estutura padrão para todos os documentos que forem criados. “Algumas eu vou a uma companhia e descubro um amontoado de coisas. Parte das políticas estão escritas no papel, mas o resto não”, cita o consultor, ao citar que já encontrou documentos enviados por e-mail.
O especialista aconselha ainda que as organizações adotem a governança para padronizar os procedimentos para definir como as políticas são criadas, distribuídas e mantidas.
Ainda segundo Hayden, esse procedimento ajuda a criar documentos mais concisos e, por consequência, fáceis de ser acessados. “Quando vejo uma política de 100 páginas, sei que não é algo fácil de trabalhar”, informa o especialista.
4. Ter políticas que só são boas no papel
“Uma coisa que vemos o tempo todo são políticas escritas apenas para satisfazer uma auditoria ou um requerimento regulatório, mas que não são executáveis”, diz Hayden.
Cresson Woods concorda com essa visão e afirma que muitas vezes as empresas nem se dão conta de que não estão seguindo uma política existente. E, na maior parte das vezes, a leitura das regras existentes acaba sendo bastante subjetiva, o que, segundo Woods, é um erro.
5. Errar na hora de envolver os gestores
As organizações esperam que todos utilizem um crachá, mas isso não se aplica ao CEO, certo? Errado. Todos precisam seguir as políticas de segurança, inclusive o mais alto nível da organização.
Em muitos casos, existe uma expectativa de que o presidente da companhia não vai querer seguir as regras ou que, pelo fato dele não entender de tecnologia, não precisa lidar com esse tipo de questão. “Mas as empresas precisam que os principais gestores sejam os embaixadores das melhores práticas de segurança”, analisa Wood.
O consultor conta que tem trabalhado com organizações que oferecem aos executivos do board notebooks com um nível mais baixo de segurança, com o intuito de tornar mais fácil o manuseio do equipamento. “Quando eles deveriam estar sujeitos às mesmas políticas dos demais”, diz o especialista, que acrescenta: “Na realidade, existe uma razão para acreditar que eles deveriam estar sujeitos a regras mais restritivas, uma vez que têm acesso a informações estratégicas.”
6. Escrever uma política depois que o sistema está desenvolvido
A segurança precisa fazer parte do processo de desenvolvimento dos sistemas. Isso porque, de acordo com Wood, quando isso não acontece fica muito mais difícil adequar as soluções prontas às normas já existentes.
“Quando a segurança é um add-on (adicionada a um sistema), isso pode torná-la algo incompleto, insuficiente e inadequado”, pontua Wood.
7. Esquecer de avaliar
De nada adianta seguir todos os passos anteriores se não houver uma avaliação constante da política de segurança. Os especialistas aconselham que, pelo menos a cada um ano, o documento seja totalmente revisado.
Na prática, as políticas precisam ser tratadas como um processos, ou seja, algo que não só deve funcionar bem como também precisa ser constantemente adequado.
Nenhum comentário:
Postar um comentário