Uneori, companiile isi elaboreaza politici de securitate a informatiei mult prea detaliate, incercand sa acopere tot, de la obiectivele strategice la cate cifre numerice ar trebui sa contina o parola. Singura problema cu astfel de politici este ca ele contin 50 sau mai multe pagini si ca nimeni nu le ia intr-adevar in serios. Ele sfarsesc de obicei ca documente artificiale, al caror singur scop este de a satisface cerintele auditorului.
Dar de ce sunt astfel de politici extrem de dificil de implementat? Pentru ca sunt prea ambitioase – ele incearca sa acopere prea multe probleme si au fost concepute pentru un cerc larg de oameni.
Acesta este motivul pentru care ISO 27001, cel mai important standard de securitate a informatiei, defineste niveluri diferite ale politicilor de securitate a informatiei:
• Politici de nivel inalt, asa cum este politica privind sistemul de management al securitatii informatiei – asemenea politici definesc de obicei intentia strategica, obiectivele strategice etc.
• Politici detaliate – acest gen de politici descriu de obicei o anumita zona a securitatii informatiei cu mai multe detalii, cu responsabilitatile precise care trebuie alocate etc.
ISO 27001 stipuleaza ca politica privind sistemul de management al securitatii informatiei (SMSI), in calitatea sa de document de cel mai inalt rang, sa contina urmatoarele elemente: cadrul de stabilire a obiectivelor, luarea in considerare a diferitelor cerinte si obligatii, alinierea cu contextul strategic al organizatiei de gestionare a riscurilor si stabilirea unor criterii destinate evaluarii riscurilor. O astfel de politica ar trebui sa fie, de fapt, destul de scurta (poate una sau doua pagini) deoarece scopul sau principal este ca managementul de varf sa fie capabil sa controleze SMSI.
Pe de alta parte, politicile detaliate ar trebui sa fie concepute pentru a fi folosite in operatiunile cotidiene si ar trebui sa se axeze numai pe un camp restrans al activitatilor care au legatura cu securitatea. Iata cateva exemple de astfel de politici: politica de clasificare, politica privind utilizarea acceptabila a activelor informationale, politica privind copiile de siguranta, politica de control al accesului, politica privind parolele, politica privind curatarea biroului si a ecranului, politica privind utilizarea serviciilor in retea, politica privind calculul mobil, politica privind utilizarea controalelor criptografice etc. Este de amintit ca ISO 27001 nu cere ca toate aceste politici sa fie implementate si/sau documentate deoarece decizia daca asemenea masuri de control sunt aplicabile sau nu – si in ce grad – depinde de rezultatul evaluarii riscurilor.
Deoarece asemenea politici ar trebui sa prevada mai multe detalii, ele sunt, in general, mai lungi, de pana la zece pagini. Daca ar fi cu mult mai lungi decat atat, atunci ar deveni foarte dificile implementarea si mentinerea lor.
Cu alte cuvinte, securitatea informatiei este o problema prea complexa pentru a fi definita intr-o singura politica – deoarece pentru diferitele aspecte ale SMSI si diferitele “grupuri tinta” ar trebui sa existe politici diferite. Intreprinderile medii isi elaboreaza pana la cincisprezece politici pentru SMSI.
S-ar putea argumenta ca acest numar de politici nu reprezinta decat o povara pentru o companie. Acest lucru ar fi, desigur, adevarat daca astfel de politici ar fi scrise numai in vederea auditului de certificare – ele nu ar contribui decat la cresterea birocratiei. Cu toate acestea, daca o politica este scrisa cu intentia reducerii riscurilor, atunci ea isi va arata, cel mai probabil, valoarea – daca nu imediat, atunci probabil in doi sau trei ani, prin reducerea numarului de incidente.