Em um dos artigos do blog escrevi sobre "A importância da documentação" mas hoje quero estender um pouco mais sobre o assunto.
Você em algum momento deve ter ouvido que "o papel aceita tudo" e isso é tão verdade que é muito comum empresas participarem de Auditorias e na hora de apresentar as evidências de como um processo ou política está sendo executada, o Auditor(a) identifica que na verdade está diferente do que foi formalizado no papel. Ou pessoas discordando uma das outras na empresa porque ela fazia assim, mas a outra disse que era assado. Vamos combinar!? Às vezes vira uma zona porque vai estar cada um executando do jeito acha que deve ser rsrs
Fazendo uma analogia, não se prendendo a tantos detalhes que envolve a criação de um filme, mas da mesma forma que um roteiro de um filme precisa ser seguido por todos os atores escalados, as Políticas, Normas, Processos e Procedimentos de segurança e privacidade precisam ser seguidas por seus colaboradores e demais partes interessadas. Até aquela cena ir pro produto final, é comum ter um série de erros de gravação e esses erros e falhas quando pinta uma política nova, por exemplo, também acontece no contexto empresarial.
Ai vem o desafio! Como faço para que o que foi formalizado no papel seja executado na prática?
Acredito que o primeiro de tudo é que toda Política, Norma, Processo e Procedimento de segurança e privacidade quando for criado precisa ser comunicado a todos e não me refiro apenas a divulgar por um meio. Nessa hora, a Intranet, E-mail, Canais de mensagens instantâneos ou qualquer outro meio devem ser usados para divulgá-los. Tecnicamente falando é adotar orientações e/ou recomendações do controle 6.3 da ISO/IEC 27002:2022 "Conscientização, educação e treinamento em segurança da informação", do Controle 14 "Conscientização sobre segurança e treinamento de competências" do CIS v.8 ou o (PR.AT) Awareness and Training (em português - Conscientização e Treinamento) do NIST CSF.
Bem, mas não para na comunicação, pois, é preciso deixar essas documentações disponíveis (publicada) em um lugar centralizado para caso alguém tenha dúvida, possa consultar.
Todos os profissionais envolvidos na execução da campanha devem ter ciência de que seu papel é evangelizar os colaboradores, ou seja, ser um agente de mudanças. Dessa forma, tanto os profissionais de SI como gestores e alta administração devem procurar dar exemplo e liderar seus profissionais a fazer a coisa certa [...] (RAMOS, 2015, pg.55 - Livro Trilhas em Segurança da Informação)
Importante reforçar que as medidas educativas precisam ser periódicas, pois, a tendência é que as coisas caiam no esquecimento. No começo de uma nova Política, Normas, Processos e Procedimentos vai ser normal os "erros de gravação", mas com repetição, no final o "filme" sai (do papel vai para a prática).
Mas por favor, pelo bem da segurança e privacidade, não fiquem no "para inglês ver". Apresentar uma documentação linda e maravilhosa para impressionar, mas na hora do vamo ver, nada acontece como formalizado.
=)