O que você deveria escrever em sua Política de Segurança da informação de acordo com a ISO 27001?

O conteúdo da Política de Segurança da Informação é certamente um dos maiores mitos relacionados a ISO 27001 – muito frequentemente o propósito deste documento é mal-entendido, e em muitos casos as pessoas tendem a pensar que elas precisam escrever tudo sobre a sua segurança neste documento.

Bem, isto não é o que a ISO 27001 requer. Assim, vejamos sobre o que tudo isso se trata. (Veja também: Os 5 maiores mitos sobre a ISO 27001)

O propósito da Política de Segurança da Informação

Em muitos casos, os executivos não têm ideia de como a segurança da informação pode ajudar suas organizações, assim o principal propósito da política é que a alta administração defina o que ela quer obter com a segurança da informação.

O Segundo propósito é criar um documento que os executivos vão achar fácil de entender, e com o qual eles serão capazes de controlar tudo o que está acontecendo dentro do SGSI – eles não precisam saber dos detalhes da, digamos, avaliação de riscos, mas eles precisam saber quem é o responsável pelo SGSI, e o que esperar dele.

O que a Política de Segurança da Informação deveria conter?

A ISO 27001 não diz muita coisa sobre a política, mas ela diz o seguinte:

• A política precisa estar adaptada a organização – isto significa que você não pode simplesmente copiar a política de uma grande empresa de manufatura e usá-la em sua pequena companhia de TI.
• Ela precisa definir a estrutura para estabelecer os objetivos de segurança da informação – basicamente, a política precisa definir como os objetivos são propostos, como eles são aprovados, e como são revisados. Veja também: ISO 27001 control objectives – Why are they important?
• A política deve mostrar o comprometimento da alta administração em atender aos requisitos de todas as partes interessadas, e para continuamente melhorar o SGSI – isto é normalmente feito através de um tipo de declaração dentro da política.
• A política deve ser comunicada dentro da organização, mas também – onde apropriado – para partes interessadas; a melhor prática é definir quem é responsável por tal comunicação, e então esta pessoa é responsável por fazer isso continuamente.
• A política deve ser regularmente revisada – um proprietário de uma política deveria ser definido, e esta pessoa é responsável por manter a política atualizada.

Assim, como você pode ver, a política não tem que ser um documento muito extenso. E não, você não precisa incluir todas as regras de segurança neste documento – para este propósito você escreverá políticas detalhadas tais como Política de controle de acesso, Política de classificação da informação, Política de uso aceitável, etc. Veja também: Como estruturar os documentos para os controles do Anexo A da ISO 27001.

O que você também pode incluir

Embora não seja mandatório, se você é uma organização pequena você também pode incluir o seguinte (para organizações maiores, estes assuntos são geralmente documentos separadamente):

• O escopo do SGSI – desta forma o escopo não tem que existir como um documento separado.
• Responsabilidades para partes chave do SGSI – e.g., quem é responsável pelas operações e coordenação do dia a dia, quem é responsável no nível executivo, quem é responsável pela avaliação de riscos, por incidentes, por auditorias internas, etc.
• Medição – quem medirá se os objetivos de segurança da informação foram atingidos, para quem os resultados precisam ser reportados, com que frequência, etc. (Veja também: Como realizar monitoramento e medição na ISO 27001)

Em algumas grandes organizações tenho visto a Política de Segurança da Informação integrada com a Política de Gestão de Riscos Corporativos. Embora isto não esteja errado, eu entendo que é melhor manter estas políticas como documentos separados – o foco permanece muito mais claro.

Entradas que são necessárias

Existem algumas entradas que você tem que levar em conta ao escrever a política:

• As intenções da alta administração com a segurança da informação – a melhor coisa seria agendar uma entrevista como o seu CEO e passar por todos os elementos da política; você pode enviar a ele um e-mail alguns dias antes da reunião, para que ele tenha tempo de pensar sobre isso.
• Requisitos de legislação e contratuais – sua política deveria refletir estas.
• Sistemas existentes para definir objetivos – se tais sistemas existem, você deveria fazer referência a eles.

Comece a olhar para esta política de uma forma diferente

Assim o ponto é – a Política de Segurança da Informação deveria na verdade server como um elo principal entre sua alta administração e suas atividades de segurança da informação, especialmente porque a ISO 27001 requer que a gestão assegure que o SGSI e seus objetivos são compatíveis com o direcionamento estratégico da organização (cláusula 5.2 da ISO 27001). A política é provavelmente a melhor forma de fazer isso.

Assim, você deveria manter esta política curta e compreensível para a sua alta direção. E por favor não escreva documentos extensos de 80 páginas tentando explicar todas as regras de segurança da informação – esta é a melhor forma de criar um documento que ninguém nunca vai ler.

Este artigo é um trecho do novo livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own. Clique aqui para ver quais outros tópicos são abordados…

Nós agradecemos a Rhand Leal pela tradução para o português.