Implementação de Políticas

Implementar uma política de SSI apropriada é uma acção que extravasa a escrita de um manual de segurança [BS7799 1996]. Na verdade, torna-se necessário desenvolver uma cultura de segurança, iniciativa que normalmente se revela muito exigente em termos temporais [Gaunt 1998]. Só através de uma cultura organizacional receptiva às preocupações com a segurança dos SI será possível que a implementação das políticas seja um fiel reflexo dos procedimentos e normas que derivam dessas políticas, permitindo assim, a eficácia desejada de segurança na organização.

Entendendo-se pelo vocábulo implementação o definido na Lexiciteca, que expressa o “conseguir uma ou mais condições para a execução de alguma coisa” [Lexiciteca 1985, Vol I, p. 1252], apresentam-se no parágrafo seguinte os princípios fundamentais para uma correcta implementação da política de SSI.

Segundo Gaunt [1998], existem seis princípios fundamentais a levar em linha de conta no processo de implementação de uma política de SSI:

1.A organização assegurará que a sua informação seja mantida segura e utilizada de forma apropriada;

2.A organização fornecerá aos recursos humanos orientação clara relativamente à segurança da informação;

3.Todos os recursos humanos que trabalham para e em nome da organização colaborarão com a política de segurança da informação na organização;

4.A organização assegurará que os seus recursos humanos conhecem todas as orientações relevantes, acerca da segurança da informação da organização;

5.A organização informará os clientes como os seus registos serão mantidos seguros e a quem eles serão facultados;

6.A organização obedecerá a toda a legislação nacional e à melhor orientação relativamente à segurança da informação.

A implementação de uma política de SSI é o processo ao longo do qual as políticas de segurança são “traduzidas” em linhas de orientação, procedimentos e listas do que há a fazer, e são postas em prática pelos utilizadores do sistema de informação [Karyda et al. 2005]. Assim, a implementação de uma política pode ser considerada como um conjunto de actividades que visam prescrever o que se encontra no documento da política.

A implementação de uma política de SSI, conforme representado na Figura 6, inclui elementos de input, que alimentam certos processamentos de actividades que vão dar origem a um conjunto de outputs.

34 Input •Documento da política de segurança •Conhecimento acerca da cultura da organização Actividades • Fornecer instruções acerca da aplicação da política de segurança

• Fornecer aos utilizadores do Sistema de Informação formação e educação adequadas acerca da utilização da política de segurança e procedimentos • Monitorizar e avaliar o uso de políticas de segurança • Monitorizar e avaliar procedimentos de segurança • Implementar parâmetros de segurança técnicos e organizacionais Output •Consciência da segurança •Avaliação da implementação da utilização da política de segurança e aplicação dos procedimentos de segurança

Figura 6: O Processo de Implementação de Políticas de Segurança Adaptado de Karyda et al. [2005]

Este processo tem como resultado último a implementação e consequente consciencialização dos utilizadores e dirigentes da obrigatoriedade de utilizar essa política com o máximo de rigor e seriedade.

O processo de implementação de uma política de SSI tem como inputs o documento da política, mas também o conhecimento e informação relevante acerca dos aspectos sociais e culturais da organização. As actividades a desenvolver têm como base estes inputs e podem realçar-se as seguintes: formação e educação dos utilizadores da política no que concerne à sua aplicação adequada, aos seus procedimentos e á sua utilização. Após estes passos, os mesmos são monitorizados e avaliados.

Autores como Höne e Eloff [2002b] advertem para o elevado nível de cepticismo mantido quer pela generalidade dos investigadores da área da SSI quer pelos profissionais da SSI no que se refere à utilização eficaz das políticas de SSI. Laborando nesta observação, Karyda et al. [2005] avançam como possíveis factores explicativos para a falta de eficácia na utilização das políticas de SSI o entrave que as mesmas podem colocar à progressão do negócio no caso de serem demasiadamente rígidas e restritivas, a resistência manifestada pelos funcionários às mudanças impostas for esses documentos e a implementação de políticas universais, sem que as especificidades das organizações em causa sejam devidamente consideradas.

2.3.7.1 Ciclo de Implementação

A implementação de uma política de SSI, que se enquadra no ciclo total da implementação da política de SSI, tem incorporado um sub-ciclo, onde é feita a

35

avaliação, planeamento e correcção da política. Na fase da implementação é necessário fazer uma pré-avaliação do uso da política, sendo também importante saber a opinião dos utilizadores no planeamento e implementação da segurança, e poder desta forma redefinir o planeamento e posteriormente fazer as devidas correcções na política de segurança. Esta correcção é importantíssima nesta fase, porque muitas vezes só na fase da implementação se detectam problemas anteriormente impensáveis e imprevistos [Marta e Santiago 2004]. Este sub-ciclo existente na implementação encontra-se representado na Figura 7.

Figura 7: Sub-ciclo do Processo de Implementação Adaptado de Marta e Santiago [2004]

Outro factor importante que justifica a existência do sub-ciclo é o facto de existirem variáveis como a experiência, os problemas na implementação, as limitações e os avanços tecnológicos, que se não forem tidos em conta podem levar a que a Política de SSI se torne inoperante e utópica.

A avaliação no processo de implementação poderá servir também para averiguar a necessidade de formação dos recursos humanos, contribuindo-se, assim, para a formação de uma verdadeira cultura de segurança, que se consegue se a equipa de implementação da política de SSI estiver preparada para repetidamente reforçar as melhores práticas através de um programa de formação contínua.

2.3.7.2 Método de implementação

O método adequado de planear a segurança numa organização deve partir sempre da formulação de uma política de segurança, que defina o “que” se quer fazer em termos de segurança na organização para seguidamente, com base nessa definição, e mediante um adequado plano de implementação que determine “como” alcançar os objectivos fixados. Implementação da Política SSI Revisão da Política SSI Formulação da PolíticaSSI Planeamento Correcção Avaliação

36

Após a formulação da política de segurança, procede-se para a sua implementação, que depende directamente das directrizes nela contempladas. Ou seja, a implementação deve ser um fiel reflexo dos procedimentos e normas estabelecidos na política. Há duas questões fundamentais a ter em conta na implementação adequada da política. Primeiramente, é necessário que a política seja aprovada superiormente para ter a “autoridade” necessária perante os utilizadores da política, para além disso, é necessária a sua correcta divulgação junto dos recursos humanos da organização e utilizadores em geral do sistema de informação que a política contempla. Na Figura 8 ilustra-se o método discutido para a implementação das políticas de SSI.

Figura 8: Método de Implementação da Política de Segurança Adaptado de Marta e Santiago [2004]

O método de implementação contempla outros factores como a auditoria, ou seja, a verificação da conformidade com o definido na política de SSI. Contempla também a gestão de incidentes, que vai indicar se a política consegue dar resposta aos incidentes ou se pelo contrário não contempla algum aspecto e é necessário voltar a implementar a política ou rever a sua formulação, se for caso disso. Esse caminho é definido com base nas auditorias efectuadas e na gestão de incidentes tendo em conta a gestão da criticidade dos problemas detectados.

Conforme o grau de importância, ou criticidade, dos incidentes ou inconformidades detectados, fornecer-se-ão elementos relevantes para uma eventual reformulação das políticas ou para a sua aprovação, divulgação e implementação.