Já vi empresas que contrataram "consultores de segurança" que lhes entregaram, simplesmente, uma cópia da BS traduzida (na época que ainda não tinha a NBR).
Já senti na pele que a melhor forma de criar uma política de segurança começa pela montagem de um comitê de segurança (com membros de todas as demais diretorias/áreas), que irá discutir e aprovar cada norma a ser estabelecida.
Na prática, um projeto de "how-to-make-your-super-mega-catchanga-security-policy"
seria, mais ou menos, formado pelo seguinte conjunto de passos:
1. Ter uma área que vai guiar todos trabalhos - ou seja, o Security Officer (ou CSO, CISO)
2. Ter o apoio e a bênçao do CEO/Presidente/Dono
3. Montagem do Comitê de Segurança
(em uma reunião com todos os C*O's, onde o Presidente põe todos p/ trabalhar)
4. O Security Officer agenda as reuniões do Comitê. A cada reunião:
- O Security officer prepara um draft previamente
- O Comitê discute a norma até o concenso (incluindo suas considerações, dúvidas, visões, etc)
- O Security Officer prepara a versão final da norma
5. O Presidente aprova a Política de Segurança, suas Normas e Procedimentos
6. O Security Officer divulga (conscientiza), aplica os controles e monitora.
No processo de criação da política de segurança (=política+normas+procedimentos), o Security Officer deve montar apenas um "draft" (rascunho) delas, baseado no que ele conhece da empresa, para servir de base às discussões no comitê.
Os departamentos da empresa entram no Comitê de Segurança, com um (ou mais) representantes. Eles vão ajudar, e muito, a discutir, revisar e aprovar as normas. É nessa hora que conseguimos ter uma visão multidisciplinar da segurança, e o que é melhor: aplicado a realidade do negócio, do dia-a-dia. O Depto Jurídico, o de RH e o de Marketing tem papel fun-da-men-tal neste comitê. Inclusive, deles sempre recebi os melhores e mais apropriados feedbacks.
Ao incluir outras áreas (que não somente a de segurança e TI) no processo de criação da política de segurança, ganhamos como vantagem adicional um certo grau de comprometimento muito maior com o resultado.
Isso foi uma visão resumida, simplificada e rápida de todo o processo.
Dá para perceber que isso é um trabalho mais demorado e que demanda maior esforço do que contratar uma "consultoria" que te entrega pronto um CD com toda a sua política de segurança em 15 dias. É nesse momento que os "espertões" levam vantagem frente a um cliente mais leigo ou mal orientado.
Este Texto foi baseado em alguns posts recentes que fiz na lista de discussão CISSP-BR.