• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Política de segurança da informação: o quão detalhada deve ser?

    Muitas vezes, vejo as políticas de segurança da informação com muitos detalhes, tentando cobrir tudo, desde os objetivos estratégicos até quantos dígitos numéricos uma senha deve conter. O único problema com essas políticas é que elas contêm 50 páginas ou mais, e ninguém as leva realmente a sério. Elas geralmente acabam servindo como documentos artificiais, cuja única finalidade é agradar o auditor.

    Mas por que essas políticas são tão difíceis de implementar? Porque são muito ambiciosas, tentam abranger muitas questões e são destinadas a um amplo grupo de pessoas.

    É por isso que a ISO 27001, a principal norma de segurança da informação, define diferentes níveis de políticas de segurança da informação:

    • Políticas de alto nível, como a Política de Sistema de Gestão da Segurança da Informação – essas políticas geralmente definem a intenção estratégica, os objetivos etc.
    • Políticas detalhadas – esse tipo de política geralmente descreve uma área selecionada da segurança da informação com mais detalhes, com responsabilidades específicas etc.

    A ISO 27001 exige que a Política de Sistema de Gestão da Segurança da Informação (SGSI), como o documento de mais alto nível, contenha o seguinte: uma estrutura para definir os objetivos, levando em consideração diversos requisitos e obrigações, que se alinhe com o contexto de gestão estratégica de riscos da organização e estabeleça os critérios da avaliação de riscos. Essa política deve ser bem curta (uma ou duas páginas talvez), pois sua finalidade principal é permitir que direção seja capaz de controlar seu SGSI.

    Por outro lado, as políticas detalhadas devem ser destinadas para uso operacional e devem focar em um campo menor de atividades de segurança. Exemplos dessas políticas são: Política de classificação, Política de uso aceitável de recursos de informação, Política de backup, Política de controle de acesso, Política de senha, Política de mesa limpa e tela limpa, Política de utilização dos serviços de rede, Política de computação móvel, Política para o uso de controles criptográficos etc. Nota: a ISO 27001 não exige que todas essas políticas sejam implementadas e/ou documentadas, pois a decisão de aplicabilidade e extensão desses controles depende dos resultados da avaliação de riscos.

    Como essas políticas devem conter mais detalhes, elas são geralmente mais longas, até dez páginas. Se elas forem muito mais longas do que isso, será muito difícil de implementá-las e mantê-las.

    Em outras palavras, a segurança da informação é muito complexa para ser definida em uma única política – devido aos diferentes aspectos do SGSI e aos diferentes “grupos alvo” deve haver políticas diferentes. Organizações de médio porte geralmente produzem até quinze políticas seu SGSI.

    Alguém poderia argumentar que esse número de políticas não é nada além de sobrecarga para uma empresa. Eu certamente concordaria se essas políticas forem escritas somente com a auditoria de certificação em mente, nesse caso elas não trariam nada além de mais burocracia. No entanto, se uma política for escrita com a intenção de diminuir os riscos, então ela muito provavelmente irá mostrar seu valor, se não imediatamente, em dois ou três anos, diminuindo o número de incidentes.

    Confira este treinamento on-line gratuito ISO 27001 Foundations Course para saber mais sobre a Política de Segurança da Informação, e outras políticas necessárias para conformidade com a ISO 27001.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001