Conforme mencionado em “Transformando sua Política de Segurança” em um ativo estratégico, a criação de uma PSI (Política de Segurança da Informação) efetiva e o uso como um ativo estratégico é um dos passos mais importantes para uma boa Gestão de Segurança da Informação em qualquer organização.

Se você já enfrentou o doloroso processo de criação, aprovação e disseminação da PSI em sua empresa, certamente sabe que qualquer boa prática de segurança vai pregar que o documento da política deve ser atualizado “periodicamente”, passando por todo o ciclo PDCA.

Embora este prazo de atualização não seja formalmente definido em normas e frameworks, pessoalmente considero que é uma ideia razoável ter pelo menos uma revisão anual, ou sempre que houver uma mudança significativa no ambiente corporativo, como aquisições, fusões, entradas em novos mercados e demais eventos que tornam tão divertida a vida de um gestor de segurança.

Neste momento, você deve lembrar de todo o esforço que foi gasto para elaborar a política, obter a aprovação da alta direção e o mais difícil: conseguir inserir a PSI na cultura corporativa, e que os usuários entendam a importância e sigam as diretrizes. Talvez você tenha chegando à velha conclusão: “Em time que está ganhando não se mexe”. ERRADO!

Mesmo uma pequena mudança na legislação vigente, a criação de uma jurisprudência ou até mesmo a ocorrência de incidentes de segurança, podem tornar a PSI completamente defasada, com mais buracos que um queijo suíço e acabar com o seu dia, se for necessário levar a política para uma disputa legal.

Embora modificações profundas não sejam recomendadas – a menos que sejam estritamente necessárias – existem alguns pontos que se observados podem garantir um resultado bastante positivo:

1. Valide a ocorrência de incidentes de segurança: ao contrário do que algumas pessoas costumam pensar, mesmo com uma boa gestão de SegInfo, é razoavelmente comum e até mesmo aceitável a ocorrência de incidentes de segurança, desde que estes sejam adequadamente tratados e solucionados.

Para a atualização da PSI é recomendável que sejam analisados os incidentes que ocorreram no último período, e validar se estes estão adequadamente cobertos nos tópicos da política e outros documentos como normas e procedimentos.

2. Esteja atento a questões legais e contratuais: aspectos trabalhistas, a criação de novas jurisprudências, modificações na legislação e até mesmo contratos com clientes podem exigir uma atualização. Nesse momento, o apoio do departamento legal ou mesmo de um jurista especializado pode ser essencial.

Um bom exemplo é a modificação da CLT referente ao art. 6º (Dezembro 2011) que na Súmula nº 428, de 24 de maio de 2011, entendeu que “o uso de aparelho de intercomunicação, a exemplo de BIP, pager ou aparelho celular, pelo empregado, por si só, não caracteriza o regime de sobreaviso”. Incluir uma pequena diretriz na PSI informando que o acesso/trabalho remoto não implica na obrigatoriedade do pagamento de horas extras, a menos que formalmente solicitado, pode evitar que sua empresa perca tempo valioso em disputas trabalhistas.

3. Novas tendências e tecnologias = novas regras: Consumerização, BYOD, Cloud, redes sociais e antissociais, geotaging, privacidade, DLP, existe um número sem fim de buzzwords que representam as últimas tendências do mundo da TI e SegInfo.

Será que sua PSI já menciona regras para mobilidade, uso de dispositivos pessoais ou computação na nuvem? Mesmo que esses recursos ainda não estejam implantados, pense estrategicamente, e se sua organização vai fazer uso no próximo período, esteja preparado para criar regras que reflitam essas mudanças.

4. Acompanhe a estratégia corporativa: a empresa está se preparando para uma fusão? Vai abrir uma filial em outro estado ou mesmo outro país? Questões culturais ou mesmo legais (leia novamente o item 2!) são extremamente importantes.

No caso do Brasil existem casos como a Lei Estadual n° 12.228/06 – também conhecida como lei das lan houses, que se aplica apenas ao estado de São Paulo. Se você vai abrir uma filial nesta localidade e presta algum tipo de serviço parecido como lan house (ou mesmo aquela velha e boa conexão gratuita para visitantes) é um ponto a ser observado.

Já em um cenário multinacional, a diferença das leis entre países é tão grande que pode praticamente inviabilizar a sua política. Por exemplo, algumas nações europeias tem uma visão completamente diferente sobre questões de monitoramento de e-mails e acesso à internet. É uma questão tanto cultural, quanto legal (já recomendei ler o item 2 novamente? Leia outra vez!) que deve ser observada.

5. Menos é mais: uma atualização não significa apenas acrescentar. Se existem tópicos defasados em sua política – e se você está razoavelmente seguro que estes não são necessários – não hesite, exclua sem piedade! Ter uma PSI enxuta facilita tanto a administração, como a absorção pelos usuários.

6. Renove a aprovação da alta direção: Ok, às vezes obter a aprovação de um C-Level é mais difícil que enfrentar o Smaug em um dia que ele amanheceu com azia draconiana. Entretanto, é essencial demonstrar que a alta administração participa ativamente das decisões estratégicas em assuntos de SegInfo.

Isso vai conferir mais autoridade para sua gestão junto aos usuários e evidencias essenciais para governança, caso você esteja pensando ou mesmo renovando uma certificação como a ISO 27001.

7. Não se esqueça da divulgação e sign-off dos usuários: assim que você concluir sua atualização/aprovação é extremamente importante garantir que a nova versão da PSI será amplamente divulgada a todas as partes interessadas. Uma boa ideia é fazer uma campanha de conscientização incluindo atividades como um ciclo de palestras, divulgação de memorandos e comunicados oficiais.

Em casos de mais mudanças, talvez seja necessário solicitar novamente que os usuários confirmem que leram, entenderam e que pretendem seguir as diretrizes da política. Considere coletar assinaturas ou outras formas de gerar evidencias desse aceite, isso pode salvar sua empresa (e consequentemente seu pescoço) em eventuais embates legais.

Obviamente a lista acima não pretende ser exaustiva, mas certamente fornece uma boa base para ajudar na atualização da sua PSI, normas, procedimentos correlatos e talvez ajude até mesmo outras áreas como Continuidade de Negócios e Gestão de Risco, de uma forma geral.

Você tem mais alguma sugestão? Dicas e comentários serão amplamente bem-vindos. Ah, se você não se sente seguro para fazer sozinho, pense seriamente na possibilidade de fazer uso de uma boa consultoria.

Nota do Editor: Claudio Dodt, consultor e gerente regional da Daryus Consultoria (www.daryus.com.br), no Nordeste.