A propósito de políticas

Uma das recomendações mais frequentes em consultoria de segurança, uma recomendação dirigida às organizações, é a definição de políticas de segurança para a informação.

Apesar de ser um pilar fundamental, uma forma importante para estabelecer as regras para a segurança organizacional, há uma outra política que deve ser estabelecida a montante, e que, tanto quanto posso aperceber-me, raras vezes é focada. Qual? A política para o próprio sistema de informação.

Porquê? Porque uma das maiores dificuldades que encontramos no terreno, quando procuramos os compromissos de segurança, é a arbitrariedade (?) de critérios que suportam o desenvolvimento das soluções, desde a variedade que encontramos no hardware de postos de trabalho e servidores, passando pelo arco-íris das aplicações, até, em alguns casos, aos vários sabores dos sistemas operativos.

A diversidade pode não constituir, só por si, um problema sistémico – pode ser o resultado de uma visão estratégica esclarecida e perfeitamente definida. No entanto, por observação, o que conduz a esta pluralidade não é nada semelhante – pelo contrário, é apenas o resultado do desgoverno. Neste contexto, definir controlos de segurança torna-se apenas num pesadelo, numa batalha de agendas (quase) inglória.

Definir políticas de segurança realistas e exequíveis? Definir primeiro uma política para o sistema de informação.

Qual é a importância da informação na empresa? Qual informação? Que informação externa é necessária? Que transferências têm que ser consideradas, de (e para) a organização? Como vai ser suportada e gerida? Por quem? Pela prata-da-casa ou outsourced? Quem vai ter acesso? Colaboradores, apenas? Clientes? Como? A partir de que sistemas? Que aplicações devem ser consideradas? Para quê? Qual é a estratégia para o desenvolvimento das soluções, no sistema, e para o sistema? Quais são os standards técnicos a adoptar?... etc.

A segurança não é um fim em sim mesma; só faz sentido considerar uma política de segurança quando sabemos, à partida, o que pretendemos assegurar. Nesse sentido, precisamos de uma política para a informação e para os sistemas. À partida.