Governança

Ξ Deixe um comentário

Política de Segurança da Informação (PSI) x Comportamento Humano

publicado por Gustavo de Castro Rafael

Política de Segurança da Informação (PSI) x Comportamento HumanoAs empresas estão investindo cada vez mais em segurança da informação na parte tecnológica, seja firewall, antivírus, IPS, filtros de bloqueio de sites, AntiSpam, a fim de controlar as situações vivenciadas no ambiente de trabalho, reduzindo o risco de infecção por pragas virtuais (trojan, vírus, worm, phishing, entre outros) e aumentando a produtividade dos funcionários, limitando o mesmo para acessar somente situações relevantes para o trabalho.

Esta realidade é necessária para manter o ambiente seguro, em funcionamento e com desempenho favorável. Porém, somente recursos tecnológicos não terão sucesso nesta tarefa. Quase todos os colaboradores de uma organização possuem algum tipo de dispositivo pessoal, seja tablet, smartphone, celular, entre outros, que são levados para o ambiente de trabalho e é neste ponto que as organizações estão estudando qual a melhor prática a ser adotada para controlar, evitar, aceitar ou mitigar os riscos envolvidos, visto que, se algum determinado site, por exemplo, está bloqueado nas estações de trabalho, o funcionário pode acessar via dispositivo pessoal e ficar horas nesta situação.

Política de Segurança da Informação (PSI) está sendo adotada pelas organizações também para situações em que a tecnologia não consegue atender, visto que muitos casos são relacionados aos comportamentos humanos. A PSI é um instrumento de trabalho no qual irá nortear os colaboradores das diretrizes e controles criados pela organização e que precisam ser seguidos e respeitados.

A elaboração de uma PSI tem o intuito de criar um ambiente homogêneo perante às situações tecnológicas e comportamentais. É muito comum empresas adotarem dois pesos e duas medidas para tratarem a mesma situação, ou seja, para um funcionário, redes sociais estão liberadas para uso pessoal, enquanto para outros não. O uso de e-mail particular está liberado para tal setor e para outros não. Está realidade gera insatisfação para maioria dos colaboradores, pelo fato de não existirem critérios para o que é permitido e de que forma é permitido. Com a criação de uma PSI, os controles são estabelecidos e devem ser respeitados por todos os colaboradores da organização, sem distinção de cargo ou setor. Como exemplo, se a área de Marketing precisa das redes sociais para efetuar os trabalhos, na PSI deve conter a exceção de uso das redes sociais do perfil corporativo pela área de Marketing, ou seja, todas as exceções de utilização de dispositivos pessoais, política do uso de USB, política de download, acesso aos recursos da rede, armazenamento na rede, backup devem estar descritas na PSI de forma clara e objetiva.

O intuito deste artigo não é apresentar como deve ser criada uma PSI e as melhores práticas adotadas, e sim, apresentar que a PSI pode ser uma ferramenta muito interessante para conseguir eliminar alguns conflitos que ocorrem diariamente no ambiente de trabalho e apresentar a visão clara da empresa perante vários fatores.

Não existe o certo ou errado na elaboração de uma PSI. A definição dos controles, diretrizes e o que será permitido, ou não, devem ser definido pelos gestores, normalmente envolvendo a área de recursos humanos, TI e jurídica para a definição. É muito importante para o sucesso de uma PSI o comprometimento de todos os envolvidos e principalmente uma conscientização e treinamento para os funcionários. É necessário realizar um trabalho de conscientização com palestras e eventos para os funcionários, no qual através de exemplos, situações, definições, casos reais, importância dos controles aplicados, será possível obter êxito e aplicabilidade da PSI.

Para finalizar o artigo, é muito importante a área jurídica da empresa validar a PSI para não existir nenhum controle em não conformidade às legislações ou regulamentos governamentais, já que a PSI possui valor jurídico e deve ser utilizada pelo RH para advertir ou gerar sansões administrativas em caso de descumprimento da mesma. Todos os colaboradores devem assinar o termo de responsabilidade da PSI, comprometendo-se a respeitar os controles definidos. Como exemplo, um usuário que passava horas no trabalho tentando encontrar um jeito de acessar um site bloqueado, seja através de proxy, softwares de túnel, pesquisas no Google, com a PSI, o mesmo pode ser advertido por tentar burlar as normas estabelecidas pela organização.

[Crédito da Imagem: Segurança – ShutterStock]

Autor

Fundador da PDCA TI - Consultoria & Treinamentos. Site: https://www.pdcati.com.br Atuação em clientes de diversos segmentos e porte, visando a análise e evolução do nível de maturidade dos processos das áreas de Tecnologia da Informação (Governança de TI, Gestão de TI e Infraestrutura) e Segurança da Informação. Palestrante em diversos fóruns, empresas e universidades. Mais informações, acesse o site https://www.pdcati.com.br. CV: Graduado em Sistemas de Informação; Pós-graduado em Governança de TI; MBA em Gestão da Segurança da Informação. Certificações: ITIL v3; COBIT; ISO 20K; ISO 27K1; DPO Contato: gustavo.castro@pdcati.com.br

Gustavo de Castro Rafael

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes