Artigo publicado no Jornal do Comércio de Porto Alegre. O espaço exíguo disponibilizado pelo jornal justifica a simplicidade com que o tema foi tratado.

Na era da Sociedade da Informação é imprescindível que as empresas pautem seu ambiente tecnológico por Políticas de Tecnologia. Entre muitas, as mais importantes são a política de uso e a política de segurança da informação (PSI).

Empresas que não contam com essas políticas podem ser comparadas a um país sem leis. A falta de regramento do ambiente tecnológico é extremamente prejudicial para a atividade empresarial e enseja não só um risco digital como um risco jurídico.

A política de uso é o regramento que estabelecerá a forma com que os recursos tecnológicos serão utilizados pelos colaboradores. Ela varia de acordo com a atividade fim da empresa, mas em geral estabelece limites de uso de recursos, responsabilidades, penalidades etc. Ela cientifica os colaboradores, inclusive, da possibilidade de monitoramento do ambiente tenológico, o que legitimará o uso dessas informações em um eventual processo judicial. Com isso afasta-se a possível expectativa de privacidade nesse ambiente, permitindo o monitoramento regrado e proporcional à manutenção dos sistemas digitais. Essa política, além de aumentar a produtividade, contribui para diminuir o risco advindo do mau uso da tecnologia , uma vez que a empresa é responsável pelos atos dos funcionários quando praticados no ambiente digital.

Já a PSI é primordial para o estabelecimento de padrões e diretrizes que irão proteger a informação. Como a política de uso, a de segurança atinge todos os setores de empresa e, portanto, sua elaboração tem um caráter multidisciplinar e colaborativo. Deve haver um equacionamento da segurança com a produtividade sem que aquela diminua esta. Organizações que tenham que estar em conformidade com a lei SOX, por exemplo, obrigatoriamente precisam implementar tais políticas.

O setor público, há muitos anos, já atenta para a elaboração de tais políticas com a publicação de resoluções e portarias que regulamentam o assunto, numa clara demonstração de que é uma tendência a ser observada por todos os envolvidos na governança em tecnologia e segurança da informação.

Por fim, alertamos para a necessidade também de um acompanhamento jurídico especializado na formulação dessas políticas. Já temos no mercado empresas especializadas nesta tarefa, sendo indicado um aconselhamento para a elaboração destes documentos.

Complementando o artigo original, é interessante ressaltar a necessidade de uma análise de riscos anterior à elaboração da política, um inventário de ativos informacionais bem como a utilização de uma norma de segurança tal como a ISO 17799. Também, o documento não deve ser formal demais e deve permitir o entendimento por todos os envolvidos. Realizar um documento extenso demais também é um erro. Tal instrumento deve ser factível e possível de ser colocado em prática.
Deve-se notar que ao trabalharmos com pessoas, devemos ter muito cuidado ao retirar liberdades e impor comportamentos. A ideia não é impor comportamentos inúteis e desarrazoados. Daí a importância do marketing de segurança que visa, entre outras coisas, demonstrar para os colaboradores os porquês das políticas, bem como fazê-lo se sentir participante da atividade de segurança.