Conforme estudamos anteriormente um sistema de segurança da informação ou da segurança cibernética, será composto por um conjunto de mecanismos, tecnologias, processos, procedimentos e normas que têm como objetivo garantir a proteção não só de dados e informações, mas também de todos os elementos que compõe os ativos de TI de um ambiente organizacional.
Implementar as tecnologias e mecanismos de proteção em uma infraestrutura de TI dentro de um ambiente organizacional, em tese pode ser considerado uma tarefa até relativamente fácil para as equipes de TI. Isto porque no geral as equipes de TI possuem as expertises necessárias. Porém, fazer com que as áreas de negócio da organização e as pessoas compreendam e exerçam o seu papel junto a segurança da informação e segurança cibernética é sempre uma tarefa mais complexa e difícil. Isto porque, implementar uma mudança de cultura com relação à proteção dos ativos de TI, fazendo com que cada área de negócio e cada colaborador – pessoa – entende seu papel e sua responsabilidade para com a proteção das tecnologias da informação é um processo que requer muita paciência, dedicação e envolvimento não só das equipes de TI, mas também da alta cúpula administrativa e das demais partes envolvidas. É aí que se encaixam as políticas de segurança da informação.
Mas, afinal o que é uma política de segurança da informação (PSI)? Podemos entender a política de segurança da informação como um conjunto de instruções, normas e regras previamente definidas, revisadas e aprovadas que deverão ser seguidas por toda a organização, a fim de garantir uma boa gestão da segurança.
Uma política de segurança da informação, de acordo com a norma ABNT ISO/IEC 27002:2013 tem como objetivo, prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentos relevantes. Neste sentido, uma PSI deve ser aprovada pela alta administração da organização e, depois repassada para todas as demais áreas organizacionais e respectivamente todos os colaboradores e partes externas relevantes. Lyra (2008) também descreve um objetivo de uma PSI, como o documento formal que deve fornecer orientações sobre como a organização vai se portar frente à segurança da informação e, neste contexto, caberá a cada organização produzir uma política de segurança da informação específicas a suas necessidades, ameaças, vulnerabilidades e exposição ao risco. Percebe-se aqui que cada PSI deverá ser construída e definida de acordo com as dificuldades e necessidades que cada organização possui com relação a manter suas informações e ativos de TI seguros.
Diante dos conceitos e objetivos apresentados, é evidente que uma boa PSI deve ser criada de acordo com as carências e deficiências na segurança da informação de cada organização e, por ser um documento abrangente que permeia e norteia toda a organização, incluindo em alguns casos partes externas, ela deve ser bem estruturada, analisada e aprovada pela alta administração da organização e, de tempos em tempos de acordo com as estratégias da organização e respectivamente as mudanças ocasionadas por fatores tais como o ambiente em que a organização está inserida, a evolução das ameaças, a revisão dos riscos, novas leis e regulamentações no qual a organização está subordinada e possíveis novas vulnerabilidades ela – PSI, deverá passar um processo de revisão e melhoria contínua.
É importante ressaltar que todos os conceitos apresentados sobre uma política de segurança informação e respectivamente os objetivos são igualmente aplicados a uma política de segurança cibernética, porém com o foco na proteção da informação e de todos os ativos de TI que se encontra no espaço cibernético, ou seja, na Internet, ou em qualquer outro ambiente virtual.
Com relação às características de uma PSI, ela é subdividida em 3 partes, a saber:
Sêmola (2014) destaca que as diretrizes, normas e procedimentos e instruções devem ser idealizadas conforme os seguintes aspectos:
Já com relação ao número de diretrizes, normas e procedimentos e instruções a serem criadas, estes serão definidos de acordo com as necessidades de cada organização e modelo de negócio.
Por fim, Ferreira e Araújo (2014) acrescentam que com relação à criação de uma boa política de segurança da informação ou cibernética, recomenda-se a formação de um comitê de segurança da informação multidisciplinar. Ou seja, composto por integrantes de diversas áreas da organização, tais como: jurídica, tecnologia da informação, operacional, engenharia, financeiro, além de um membro da diretoria.