As empresas estão investindo cada vez mais em segurança da informação na parte tecnológica, seja firewall, antivírus, IPS, filtros de bloqueio de sites, AntiSpam, a fim de controlar as situações vivenciadas no ambiente de trabalho, reduzindo o risco de infecção por pragas virtuais (trojan, vírus, worm, phishing, entre outros) e aumentando a produtividade dos funcionários, limitando o mesmo para acessar somente situações relevantes para o trabalho.
Esta realidade é necessária para manter o ambiente seguro, em funcionamento e com desempenho favorável. Porém, somente recursos tecnológicos não terão sucesso nesta tarefa. Quase todos os colaboradores de uma organização possuem algum tipo de dispositivo pessoal, seja tablet, smartphone, celular, entre outros, que são levados para o ambiente de trabalho e é neste ponto que as organizações estão estudando qual a melhor prática a ser adotada para controlar, evitar, aceitar ou mitigar os riscos envolvidos, visto que, se algum determinado site, por exemplo, está bloqueado nas estações de trabalho, o funcionário pode acessar via dispositivo pessoal e ficar horas nesta situação.
A Política de Segurança da Informação (PSI) está sendo adotada pelas organizações também para situações em que a tecnologia não consegue atender, visto que muitos casos são relacionados aos comportamentos humanos. A PSI é um instrumento de trabalho no qual irá nortear os colaboradores das diretrizes e controles criados pela organização e que precisam ser seguidos e respeitados.
A elaboração de uma PSI tem o intuito de criar um ambiente homogêneo perante às situações tecnológicas e comportamentais. É muito comum empresas adotarem dois pesos e duas medidas para tratarem a mesma situação, ou seja, para um funcionário, redes sociais estão liberadas para uso pessoal, enquanto para outros não. O uso de e-mail particular está liberado para tal setor e para outros não. Está realidade gera insatisfação para maioria dos colaboradores, pelo fato de não existirem critérios para o que é permitido e de que forma é permitido. Com a criação de uma PSI, os controles são estabelecidos e devem ser respeitados por todos os colaboradores da organização, sem distinção de cargo ou setor. Como exemplo, se a área de Marketing precisa das redes sociais para efetuar os trabalhos, na PSI deve conter a exceção de uso das redes sociais do perfil corporativo pela área de Marketing, ou seja, todas as exceções de utilização de dispositivos pessoais, política do uso de USB, política de download, acesso aos recursos da rede, armazenamento na rede, backup devem estar descritas na PSI de forma clara e objetiva.
O intuito deste artigo não é apresentar como deve ser criada uma PSI e as melhores práticas adotadas, e sim, apresentar que a PSI pode ser uma ferramenta muito interessante para conseguir eliminar alguns conflitos que ocorrem diariamente no ambiente de trabalho e apresentar a visão clara da empresa perante vários fatores.
Não existe o certo ou errado na elaboração de uma PSI. A definição dos controles, diretrizes e o que será permitido, ou não, devem ser definido pelos gestores, normalmente envolvendo a área de recursos humanos, TI e jurídica para a definição. É muito importante para o sucesso de uma PSI o comprometimento de todos os envolvidos e principalmente uma conscientização e treinamento para os funcionários. É necessário realizar um trabalho de conscientização com palestras e eventos para os funcionários, no qual através de exemplos, situações, definições, casos reais, importância dos controles aplicados, será possível obter êxito e aplicabilidade da PSI.
Para finalizar o artigo, é muito importante a área jurídica da empresa validar a PSI para não existir nenhum controle em não conformidade às legislações ou regulamentos governamentais, já que a PSI possui valor jurídico e deve ser utilizada pelo RH para advertir ou gerar sansões administrativas em caso de descumprimento da mesma. Todos os colaboradores devem assinar o termo de responsabilidade da PSI, comprometendo-se a respeitar os controles definidos. Como exemplo, um usuário que passava horas no trabalho tentando encontrar um jeito de acessar um site bloqueado, seja através de proxy, softwares de túnel, pesquisas no Google, com a PSI, o mesmo pode ser advertido por tentar burlar as normas estabelecidas pela organização.
4 Comentários
Perfeito!
Lembrando que temos as dificuldades de aplicação quando uma empresa começa a adotar o PSI, onde não existia anteriormente.
O processo deverá ser bem aplicado visando o bom relacionamento entre as areas das empresas.
Parabéns pelo artigo, muito consistente e objetivo!
Excelente artigo!
Acho importante lembrar que somente a PSI não não é suficiente, tem que ter políticas, normas ou procedimentos que auxiliam a empresa a estabelecer uma segurança da informação robusta.
Além disso sempre e importante ter constantemente divulgação da PSI e os itens abordados nela e nas normas/procedimentos agregados a ela.
As empresas devem fazer treinamentos, caminhas ou workshop de conscientização de SI e acordar a PSI para garantir o elo de parceira entre a empresa e funcionários trazendo o melhor para empresa e tendo os profissionais como elo de segurança.
Bom texto, mas discordo quando diz que as exceções devem ser retratadas na PSI como o exemplo de marketing. Esse não é o papel da PSI. Em grandes e médias empresas é inviável isso.
Para esse tipo de situação é envolvido o gestor de marketing e de SI para chegar a um denoninador comum, e a partit de então usar a TI como ferramenta, no caso filtro de conteúdo/proxy.
A PSI deve ser um documento comum a toda empresa.