Sua política de segurança é eficaz?

Carlos Ossamu

16 de julho de 2008

Uma política eficiente de segurança precisa ser simples e estar totalmente alinhada aos valores da empresa. Seu principal papel não é o de impor restrições ou criar obs-táculos aos usuários, e sim o de transformar comportamentos. Mas como fazer isso? Veja a opinião de seis especialistas que passaram pela experiência. São eles: André Navarrete (Grupo Nordeste), Carlos Palhares (Unibanco), Dorival Dourado (Serasa), Francimara Teixeira Viotti (Banco do Brasil), Neuza Ferreira da Rocha (Amil) e Olga de Mello Pontes (Braskem).

André Navarrete, gerente de TI e de telecom Grupo Nordeste

"A política de segurança tem de advir da visão e dos valores definidos no código de ética da empresa e na avaliação de riscos. É preciso atentar, também, para a evolução tecnológica, que forçará revisões periódicas na política de segurança. Além da participação do conselho e dos gerentes da empresa na elaboração da política, é importante contar com a participação do departamento jurídico. Afinal, trata-se de um documento de valor legal que regula a utilização de computadores, e-mails, internet, intranet, softwares, entre outros recursos tecnológicos. A política só será efetiva se abranger todos os usuários de TI e telecom, sem distinção hierárquica. A vigência dela deve ser imediata, após a sua divulgação, e é muito importante que todos os futuros contratados, além dos prestadores de serviços, sejam apresentados à política e que se comprometam a respeitá-la. Temos no Grupo Nordeste 22 mil colaboradores em 19 estados do país. Não adianta criar leis ou normas se não houver ações educativas, o monitoramento do cumprimento e sanções para quem desrespeitá-las. Isso vale para o uso inadequado, ou inconveniente, dos recursos de TI."
|quebra|
Carlos Palhares, Superintendente de segurança da informação Unibanco

"Segurança não é só tecnologia. Há um grande componente de comportamento envolvido. É preciso levar em conta a cultura da empresa e o momento que ela vive. O primeiro passo para ter uma política de segurança eficaz é entender qual a necessidade atual, o que a empresa tem e o que falta. Do contrário, acaba sendo algo apenas restritivo, impositivo e que ninguém quer seguir. A política de segurança deve ser algo simples, que forneça um direcionamento, similar à Constituição Americana, e não cheia de detalhes. Os detalhes têm de estar nas normas e procedimentos, que devem ser documentados e constantemente reavaliados e atualizados, de acordo com o momento da empresa. No ano passado, passamos, aqui no Unibanco, pelo processo de aderência à SOX e, por causa disso, revimos e atualizamos diversos procedimentos e normas que não estavam formalizados. A segurança não pode ser feita só com restrições. No caso do uso de pen drives, por exemplo, não proibimos, pois muitos executivos gravam suas apresentações. Se o problema é o vazamento de dados confidenciais, então criptografamos as informações, que só podem ser abertas em determinadas máquinas."

Dorival Dourado, Diretor de serviços e novas tecnologias Serasa

"Segurança é basicamente comportamento. É fundamental um trabalho de educação, explicando quais são os riscos e as responsabilidades. Constantemente fazemos na Serasa palestras e usamos games educativos para conscientizar os usuários. Quem simplesmente faz um trabalho de polícia não tem uma política eficaz. A segurança deve estar alinhada à demanda e às necessidades dos negócios. Cada empresa precisa definir a abrangência e a intensidade, de acordo com o segmento em que atua. No nosso caso, segurança faz parte da missão da empresa, pois no fundo vendemos segurança aos nossos clientes. Nossa política está formalizada e temos certificação ISO 27 001, o que garante confiabilidade aos processos. Nem todas as empresas precisam passar por um processo de certificação, mas basear-se em normas internacionais é importante, pois a política estará calcada nas melhores práticas. Ao lado do treinamento, a TI deve disponibilizar ferramentas que garantam segurança aos processos. Um exemplo é a certificação digital, que é pessoal e intransferível. Os dados também precisam ser classificados e os acessos, restritos. A política deve ser clara."
|quebra|
Francimara Teixeira Viotti, Gerente executiva de segurança Banco do Brasil

"O papel da segurança não é o de impor restrições, de criar obstáculos nos processos de trabalho. Precisa ser a rede que dá segurança ao equilibrista na corda bamba. Para montar uma política eficaz é importante observar a cultura da empresa e entender que as pessoas são elementos-chave para o desenvolvimento de um ambiente seguro. Assim como a missão e os valores da empresa devem estar definidos e documentados, a política de segurança também precisa estar. Ela tem de ser simples, para que todos a compreendam. A política pode dizer, por exemplo, que a empresa valoriza suas informações e que elas devem ser preservadas. A forma de fazer isso estará explicitada em normas complementares. Ter como referência as normas internacionais ajuda muito, porque elas representam as melhores práticas. Um outro fator importante para o sucesso da política de segurança é o comprometimento da alta administração, pois a educação se dá pelo exemplo. Os usuários têm de ser informados sobre as normas e treinados. Não basta impor regras, é preciso mostrar as razões pelas quais elas foram criadas e quais as conseqüências caso não sejam seguidas. Não há eficiência na segurança sem o comprometimento das pessoas."

Neuza Ferreira da Rocha, Diretora de TI e operações Amil

"Levamos muito a sério a questão da segurança da informação na Amil. Todo funcionário que entra na empresa recebe uma cartilha, com oito capítulos e mais de 70 páginas, com a descrição da política de segurança, as normas da empresa e os termos de responsabilidade. É importante que os procedimentos estejam documentados e formalizados para que não haja dúvidas. Essa cartilha é freqüentemente revisada e ampliada, pois há sempre novidades que podem afetar a segurança do ambiente. Estamos atentos ao surgimento de vulnerabilidades com as novas ferramentas oferecidas pelo mercado. Outro ponto é a conscientização dos funcionários, para que tenham uma postura em prol da segurança. Periodicamente há na Amil palestras e treinamentos sobre o assunto. São cerca de 2 300 os colaboradores que acessam a rede, cadastrados com um perfil de usuário, que lhes dá acesso a informações e áreas da rede. Se por um lado as normas são rígidas, por outro é preciso ter uma certa flexibilidade. As concessões existem, mas elas devem ser sempre justificadas, pois toda empresa precisa ter normas."