Entre as TOP 10 MEDIDAS DE SEGURANÇA JÁ IMPLEMENTADAS em grandes empresas brasileiras - divulgadas na última (9ª) PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO, realizada pela MÓDULO SECURITY SOLUTIONS, pesquisa concluída no final de 2003, o item Política de Segurança já aparece em 4º. Lugar, presente em 72,5% das empresas entrevistadas.

Conforme a definição da NBR ISO/IEC 17799 – Tecnologia da Informação- Código da prática para gestão da segurança da informação, baseada na norma inglesa - British Standard BS7799, segue o objetivo de uma Política de Segurança, descrito no item 3.1:
“Objetivo: Prover à direção uma orientação e apoio para a segurança da informação.

Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização.”

Com base nisso, podemos entender que a tarefa de desenvolver e manter a política, ganha um grau maior de importância quanto necessitamos ter em mente as seguintes respostas, como:

 Qual o nosso principal alvo para sermos competitivos, atrairmos mais clientes e conseqüentemente gerarmos maior lucro?
 
 Quais informações são realmente importantes para a empresa?
 
 Quem, como e onde está se gerenciando esta informação?
 

Sem esta consciência e alinhamento com a Alta Administração, certamente qualquer trabalho desta natureza gerará um monte de papel ou arquivos eletrônicos inúteis, que erroneamente muitos chamam de políticas, normas (padrões) ou procedimentos, mas que não refletem as reais necessidades estratégicas da empresa, quando:

 A Alta Administração não realiza estudos periódicos quanto a:
 

§         riscos às quais pode estar exposta, ou seja, a eventualidade de um ataque de hackers pela internet, roubo de informação, incidência de fraudes, não atendimento a requisitos legais e fiscais, etc.;e

§         impactos estimados em R$ que a empresa sofrerá frente a estas riscos como: parada de operação, perda de credibilidade dos clientes, queda nas vendas, informações disponíveis aos concorrentes de mercado, perda de informações, sanções e multas, etc.

Para a definição, aprovação e comunicação corporativa de um plano estratégico de segurança da informação, que defina prioridades de Curto, Médio e Longo Prazo; plano este atualizado e revisado periodicamente às mudanças das estratégias (ex: novos mercados, produtos, serviços, reengenharia da empresa, dos processos de negócio e dos sistemas de informação);

·         Não existem planos de implementação de controles, políticas e conscientização ao pessoal que possui acesso, manipula e gerencia as informações;

·         Alianças estratégicas (se houverem) para o desenvolvimento de sistemas e gerenciamento da Infra-estrutura, não são formalizadas por meio de Contratos e Acordos de Nível de Serviço (service level agreements – SLA);

·         A empresa não se compara a seus competidores (benchmark) periodicamente para auto-avaliar quanto ao sucesso de suas iniciativas estratégicas em Segurança da Informação.

Alessandro Manotti – alessandromanotti@hotmail.com: Profissional há nove anos na área Auditoria de Sistemas e Segurança da Informação, atuando em instituições financeiras e consultorias no Brasil e Exterior.