quarta-feira, fevereiro 28, 2007

Políticas de Uso e Segurança

Trago aqui um artigo de minha autoria publicado no Jornal do Comércio de Porto Alegre. O espaço exíguo disponibilizado pelo jornal justifica a simplicidade com que o tema foi tratado.

Na era da Sociedade da Informação é imprescindível que as empresas pautem seu ambiente tecnológico por Políticas de Tecnologia. Entre muitas, as mais importantes são a política de uso e a política de segurança da informação (PSI).

Empresas que não contam com essas políticas podem ser comparadas a um país sem leis. A falta de regramento do ambiente tecnológico é extremamente prejudicial para a atividade empresarial e enseja não só um risco digital como um risco jurídico.

A política de uso é o regramento que estabelecerá a forma que os recursos tecnológicos serão utilizados pelos colaboradores. Ela varia de acordo com a atividade fim da empresa mas em geral estabelece limites de uso de recursos, responsabilidades, penalidades, etc. Ela vai cientificar os colaboradores, inclusive, da possibilidade de monitoramento do ambiente tenológico o que legitimará o uso dessas informações em um eventual processo judicial. Com isso afasta-se a
possível expectativa de privacidade nesse ambiente, permitindo o monitoramento regrado e proporcional à manutenção dos sistemas digitais. A importância dessa política além de aumentar a produtividade é diminuir o risco advindo do mau uso da tecnologia uma vez que a empresa é responsável pelos atos dos funcionários quando praticados no ambiente digital.

Já a PSI é primordial para o estabelecimento de padrões e diretrizes que irão proteger a informação. Como a política de uso, a de segurança atinge todos os setores de empresa e portanto sua elaboração tem um caráter multidisciplinar e colaborativo. Deve haver um equacionamento da segurança com a produtividade sem que aquela diminua esta. Organizações que tenham que estar em conformidade com a lei SOX, por exemplo, obrigatoriamente precisam implementar tais políticas.

O setor público há muitos anos já atenta para a elaboração de tais políticas, com a publicação de resoluções e portarias que regulamenta o assunto, numa clara demonstração de que é uma tendência a ser observada por todos os envolvidos na governança em tecnologia da informação.

Por fim, alertamos para a necessidade também de um acompanhamento jurídico especializado na formulação dessas políticas. Já temos no mercado empresas especializadas nesta tarefa sendo indicado um aconselhamento para a elaboração destes documentos.



Complementando o artigo original é interessante ressaltar também a necessidade de uma análise de riscos anterior à elaboração da política, um inventário de ativos informacionais bem como a utilização de uma norma de segurança tal como a ISO 17799. Também o documento não deve ser formal demais e deve permitir o entendimento de todos os envolvidos. Realizar um documento por demais extenso também é um erro. Tal instrumento deve ser factível e possível de ser colocado em prática.
Deve-se notar que ao trabalharmos com pessoas, devemos ter muito cuidado ao retirar liberdades e impor comportamentos. A idéia não é impor comportamentos inúteis e desarrazoados. Daí a importância do marketing de segurança que visa, entre outras coisas, demonstrar para os colaboradores os porquês das políticas bem como fazê-lo sentir participante da atividade de segurança. O bom senso deve sempre ser observado nesse ponto, nunca se esquecendo que a política deve balancear segurança com produtividade.
Related Posts Plugin for WordPress, Blogger...