Tipos de politicas
Estabelecer políticas de segurança é muito mais um assunto cultural, do que propriamente criar normas e padrões a serem seguidos. Apoio de administração, teor, e distribuição dependem de história, experiência de perda, tipo de negócio, filosofias pessoais de administração de cúpula, políticas prévias, e outros fatores na organização.
Se a cultura apoiar políticas escritas específicas em vários assuntos como TI, vários serviços internos e éticas, então é provável que uma política escrita de segurança de informação existirá. Algumas organizações têm uma política de não ter escrito políticas.
Se uma organização tem uma política escrita e distribui isto ao longo da organização, deveria ser obrigatório seu conhecimento e deveria refletir as exigências de administração de cúpula para comportamento organizacional. Quando políticas são escritas, há um nível suficientemente alto de abstração, elas não precisam ser tão rígidas que não possam sofrer alterações com o decorrer dos negócios. Na verdade, no ritmo em que andam as grandes organzações (com fusões, vendas de unidades, novos produtos e mercados) a política de segurança, deve acompanhar as mudanças nos negócios.
Quando são escritas políticas ao nível mais alto de abstração, elas geralmente são compostas só de alguns páginas menos que cinco. Algumas organizações incluem exigências operacionais na forma de objetivos de controle com as declarações de política deles. Outros combinam breve, declarações de política de alto-nível com padrões mais detalhados, criando um documento que contém políticas e padrões. Este tipo de documento pode criar problemas, porém, se quiser mostrar para qualquer um suas políticas e, fazendo assim, também tem que revelar vice-versa sua padronização. É prática geralmente boa para separar política de alto-nível de padrões específicos .
Políticas operacionais são tipicamente mais longas que declarações de política de alto-nível; algumas organizações recorrem a estes como documentos de padrões. O principal executivo da organização é quem normalmente assina tal documento para dar a isto a própria autoridade. Algumas organizações publicam isto em um panfleto e incluem um quadro do CEO ou presidente e cita uma mensagem pessoal deste indivíduo.
Nenhum comentário:
Postar um comentário