Muttley’s Blog

Dicas para política de segurança?

Fui responder a uma questão na lista cisspBR e acabei me empolgando. Acho que ficou com cara de post de blog, portanto achei interessante reproduzir aqui:

Veja os modelos de estrutura, mas não de conteúdo.

Quanto ao conteúdo, vale seguir a ISO17799 e o Cobit. A primeira por ser o documento que representa as melhores práticas internacionais no assunto, o segundo para assegurar que sua política será bem avaliada em processos de auditoria, sejam eles internos ou externos. É como saber de antemão as questões da prova

Outra dica importante é buscar saber se o segmento de mercado da empresa deve seguir regulamentação própria (como o PCI-DSS para as empresas que lidam com cartão de crédito). Esses padrões devem servir de insumo para a construção da política também.

Evite de colocar tudo que vem desses documentos. Uma regra para algo que nunca ou quase nunca ocorre na empresa vai engordar a política desnecessariamente. Crie mecanismos para análises pontuais de risco e tomada de decisão para situações não previstas e isso se torna possível.

Faça o mecanismo de exceções simples mas ligado ao processo de gestão de risco da empresa. Assim a política não engessa as ações de negócio mas não fica desmoralizada.

E, é claro, converse com o negócio. Pessoas da operação sabem o que tem valor em termos de informação e como as coisas acontecem realmente dentro da empresa. Assim você evita de regulamentar processos que não existem na empresa, gerando stress desnecessário. Prefira tornar a política mais alinhada à realidade do que a representação do mundo perfeito. A situação do mundo quase perfeito seguindo uma política que representa o mundo perfeito pode ser atingido pelo processo de maturação constante da política.

Bom, acho que p/ começo, é isso