Política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação. Sem regras pré-estabelecidas, decisões tornam-se inconsistentes e vulnerabilidades surgem.

Ainda hoje, grande parte dos gerentes e diretores de TI ainda acredita que o problema da segurança se resume a equipamentos. Hoje a última tendência nessa área é adquirir um IDS (Intrusion Detection System), assim como no passado foram os firewalls. Essas tecnologias são muito boas e necessárias, mas antes faz-se necessário saber onde esta tecnologia será implementada, além da configuração ideal para as necessidades do negócio (é preferível não ter um firewall a mantê-lo desatualizado ou mal configurado). Além do aspecto puramente técnico, é importante ressaltar que praticar algo com o mínimo de segurança envolve, sobretudo, adotar mudanças comportamentais, pois sem dúvida alguma o ser humano é o elo mais fraco dessa corrente. Há muito tempo que a preocupação com a segurança da informação deixou de se restringir apenas à sala dos servidores para se estender até onde os usuários e clientes estão. O nascimento de uma "cultura de segurança da informação", baseada em educação e treinamentos afins, é presenciada em todas as empresas que conseguiram adaptar seus processos de trabalho às exigências requeridas pelas normas de segurança sugeridas. De acordo com as últimas pesquisas realizadas pelo CSI (Computer Security Institute), 71% dos incidentes de segurança são causados por pessoal interno. Nessa estatística devemos considerar que além dos tão temidos funcionários insatisfeitos, muitos dos incidentes são ocasionados por erros. Logo, educação e capacitação é fundamental para evitar erros e acidentes e, também, conscientizar parceiros, funcionários e terceiros.

A maioria dos incidentes de segurança é causada por falhas humanas e técnicas que poderiam facilmente ser evitadas caso uma política de segurança da informação fosse adotada e seguida

Mas onde a chamada "política de segurança da informação" entra nessa história? Bem, como a manutenção da segurança de dados e informações de qualquer empresa é responsabilidade direta de todos aqueles que trabalham nela, com ela ou para ela (desde o presidente ao office-boy, passando por prestadores de serviço e fornecedores), é preciso que um conjunto mínimo de regras formais sejam seguidas por todos, de forma que as diretrizes que norteiam a segurança da informação na organização não sejam estabelecidas a partir do bom senso individual de cada um (pois o conceito do que é ou não de "bom senso" varia de pessoa para pessoa...). E é exatamente aí que entra em cena a necessidade de se adotar uma política de segurança, pois ela ajuda estabelecer padrões para a utilização dos recursos de TI através da atribuição de responsabilidades e fornecendo regras básicas, guias e definições para todos na empresa. Seu principal propósito é informar aos usuários suas principais obrigações para a proteção da tecnologia e do acesso à informação, já que ajudam a prevenir inconsistências que poderiam introduzir riscos às informações corporativas e servem como base para a imposição de regras e processos mais detalhados.

A política de segurança estabelece regras e normas de conduta que diminuirão a probabilidade da ocorrência de incidentes que provoquem, por exemplo, a indisponibilidade, furto ou perda de informações

Idealmente, a política de segurança deve ser suficientemente clara e compreensiva, de forma que possa ser aceita e seguida através da organização, enquanto flexível o suficiente para abordar uma vasta gama de dados, atividades e recursos. Ela permite que as empresas façam uso de um conjunto de práticas e procedimentos que irão reduzir significativamente a probabilidade da ocorrência de um incidente de segurança que poderia provocar a perda de dados ou afetar a integridade, disponibilidade e confidencialidade das informações corporativas. Enfim, ela é a regra do jogo da segurança em qualquer organização e pode abranger, entre outras coisas:

Padrões para utilização de criptografia

Regras para utilização do e-mail e acesso à Internet

Normas para utilização de programas e equipamentos

Procedimentos para guarda adequada das informações

Definição de responsabilidades e perímetros de segurança

Plano de contingência (documento adicional que estabelece como responder a incidentes de segurança)

Segurança lógica (políticas de senha, sistemas de autenticação de usuário, programas de detecção de vírus)

Segurança física (acesso de pessoas, guarda e proteção dos equipamentos, condição das instalações elétricas)

Uma recente tendência no mercado é a norma BS 7799. Muitos executivos, direta ou indiretamente responsáveis pela segurança nas empresas, estão adquirindo a publicação brasileira da norma, achando que estão comprando uma política de segurança. A BS (British Standards) é uma importante iniciativa, com um objetivo claramente definido: "fornecer uma base comum para o desenvolvimento organizacional de padrões de segurança e práticas efetivas de gerenciamento da segurança". Logo, ela é apenas o marco zero, a pedra fundamental para o desenvolvimento de uma política de segurança moldada e adaptada à realidade de cada empresa. A própria norma cita a importância de que cada empresa desenvolva os seus manuais específicos, observando o seu contexto organizacional, tomando como base os padrões ou melhores práticas ali descritas. Não existe uma política de segurança da informação modelo que possa ser integralmente aplicada em toda e qualquer organização. Considere-a como um remédio que deve ser manipulado de forma diferenciada para cada paciente, para que possa combater - ou evitar - um conjunto de doenças específico ao qual o mesmo está sujeito.

Não caia no erro (muitas vezes fatal) de que o processo de manutenção da segurança das informações de sua empresa pode ser conduzido mediante a força da palavra falada ou a partir do "bom senso" individual de seus colaboradores. Faça a coisa certa: adote uma política de segurança da informação (mesmo que ela tenha apenas 2 folhas) e transforme em lei aquilo que é para ser seguido.