O que são Políticas e Procedimentos? Política vs Procedimento Explicado

Ao longo da minha carreira, tive a fantástica experiência de trabalhar com pequenas empresas que não conheciam a ideia de serem auditadas .

Já vi organizações em todos os níveis de prontidão, desde “Temos isso, estamos preparados” até “Por que isso é tão difícil?” Ainda me surpreende que as auditorias mais difíceis sejam sempre uma função do mesmo problema: políticas e procedimentos. Diz a equipe Gazeta Mineira. Aqui estão alguns dos benefícios que você pode obter lendo jornais diários.

No mundo da segurança da informação, políticas e procedimentos são melhores que ouro. Elas são mais importantes do que suas chaves de segurança sem fio, mais vitais do que a vaga de estacionamento do seu CEO. Eles são tão importantes, na verdade, que toda grande auditoria de segurança da informação importante tem pelo menos uma seção inteira dedicada completamente às políticas e procedimentos subjacentes à sua operação.

A estrutura de auditoria do PCI DSS tem a seção 12, a estrutura de auditoria SOC 2 tem governança e conformidade como um quarto completo de seus objetivos de auditoria e os regulamentos da HIPAA têm uma subseção inteira dedicada à política.

Você está pegando a ideia, certo? Políticas e procedimentos são vitais. Mas… o que são?

Fonte de reprodução: Adobe Stock

Política vs Procedimento: O que são Políticas e Procedimentos?

No setor de segurança da informação, as políticas e procedimentos referem-se à documentação que descreve como seu negócio é executado. Uma política é um conjunto de regras ou diretrizes para sua organização e funcionários seguirem ou alcançarem a conformidade. As políticas respondem a perguntas sobre o que os funcionários fazem e por que o fazem. Um procedimento são as instruções sobre como uma política é seguida. Os procedimentos são as instruções passo a passo de como as políticas devem ser alcançadas. Uma política define uma regra e o procedimento define quem deve fazê-lo e como se espera que o faça.

O que é uma política?

A definição de política é um conjunto de regras ou diretrizes para sua organização e funcionários seguirem para atingir um objetivo específico (ou seja, conformidade).

Qual é o objetivo de uma política?

Uma política eficaz deve delinear o que os funcionários devem ou não fazer, orientações, limites, princípios e orientação para a tomada de decisões. As políticas respondem a perguntas como: O quê? Por quê?

O que é um procedimento?

Um procedimento é a contrapartida de uma política; é a instrução sobre como uma política é seguida.

É a instrução passo a passo de como as políticas descritas acima devem ser alcançadas. Uma política define uma regra e o procedimento define quem deve fazê-lo e como se espera que o faça. Os procedimentos respondem a perguntas como: Como? Quando? Onde?

Por que as políticas, procedimentos e protocolos documentados são importantes?

Muitas empresas veem as políticas e procedimentos como um mal necessário, sem considerar seu propósito. Não se trata de melhores práticas ou de se tornar uma entidade corporativa sem alma; o propósito das políticas e procedimentos é explicar o que a administração deseja que aconteça e como isso acontece.

Cheguei a acreditar que a principal distinção entre uma pequena e média empresa não está na quantificação da maturidade de uma empresa por receita ou número de funcionários, mas sim, se a administração dedicou ou não tempo para desenvolver, implementar e manter políticas e procedimentos.

Até agora, não fiquei desapontado com esta definição; as empresas com políticas, procedimentos e sistemas maduros são mais fáceis de auditar, têm uma melhor compreensão de sua postura e risco de segurança e, geralmente, parecem estar operando de maneira muito mais sustentável do que aquelas que não prestaram muita atenção à governança.

O Propósito das Políticas e Procedimentos versus a Dor das Políticas e Procedimentos

Depois que a gerência entende as definições de políticas e procedimentos, eles param de perguntar: “O que são políticas e procedimentos?” ou “qual é o propósito de uma política?” e passar para “Por que eu tenho que escrever políticas e procedimentos?” A administração de pequenas empresas geralmente tem o mesmo conjunto de objeções à redação de um conjunto de políticas e procedimentos, todos relacionados à dificuldade, cultura da empresa e restrições de tempo. Mas, vamos lembrar: os benefícios superam a dor das políticas e procedimentos. O propósito das políticas e procedimentos é muito maior do que escrever algumas regras. Minha explicação desses benefícios geralmente soa mais ou menos assim:

Fonte de reprodução: Adobe Stock

É difícil escrever políticas e procedimentos

“ Mas é muito difícil!” Bem, sim… mas não. A maioria das empresas sem políticas e procedimentos maduros está operando razoavelmente bem ou ainda não estaria no mercado. Certamente é mais fácil definir segurança desde o início, mas isso não significa que não pode ser fácil começar com o que você está fazendo agora e depois refiná-lo mais tarde.

Às vezes, a verdadeira objeção não é a dificuldade de escrever políticas e procedimentos, mas o medo que a maioria das pessoas tem de que escrevam como estão fazendo as coisas erradas. Comece com onde você está, então seja realista sobre para onde você está indo. Você pode não estar de acordo com o padrão de melhores práticas em algumas áreas, mas se você está deixando que esse constrangimento o impeça de estabelecer políticas no papel, então você está perdendo o ponto. Saber exatamente o que você está fazendo agora é como você descobre o que deve fazer amanhã . É como você pode montar um orçamento real, identificar riscos reais para a empresa e como você pode responder de forma eficaz quando algo dá errado.

A dica de um auditor: se sua prática não é “correta”, mas você é honesto sobre isso, é um problema muito menor do que se você não tiver nada escrito.

Políticas e Procedimentos Mudarão Minha Empresa

“Mas isso vai mudar minha empresa!” Talvez sim. Não vou mentir para você – escrever tudo, colocar as mãos em processos formais e definir expectativas força você a sacrificar alguma flexibilidade. Essas adições extras adicionam um pouco de sobrecarga e podem resultar em mudanças necessárias na estrutura corporativa, cultura da empresa, pipeline de receita ou processos “informais, mas muito bons” para suportar os requisitos que você definiu. Dependendo de sua estrutura existente, você pode até descobrir que precisa de uma equipe adicional para lidar com novas responsabilidades, ou alguns processos podem se mover um pouco mais devagar.

Por exemplo, com novas políticas e procedimentos implementados, seu engenheiro de rede agora precisa ter a aprovação do gerenciamento em uma mudança de firewall. Sua equipe pode não conseguir simplesmente pegar o telefone e obter uma nova permissão para alguma parte adicional da rede. Isso vai adicionar algum tempo e talvez até um pouco de frustração ao processo, certo? Por outro lado, quanto você perderia se perdesse a pessoa que entendeu exatamente por que seu firewall está configurado do jeito que está? Sem anotar esses processos, você cria vulnerabilidades massivas. Pessoas, treinamento, padrões, aplicativos  quanto vale essa pequena sobrecarga se garantir que você tenha controle sobre o que está acontecendo dentro de sua empresa, suas redes e sua empresa?

Você pode mitigar um pouco a mudança, no entanto, escrevendo a cultura da sua empresa em suas políticas e procedimentos. Em nenhum lugar está escrito que as políticas e procedimentos devem ser documentos horrivelmente formais, chatos de ler, cheios de juridiquês e dor. Quais são as coisas que fazem as pessoas quererem trabalhar lá? Ajuste suas políticas e procedimentos à cultura de sua empresa, seu negócio e como seu pessoal interage. Isso minimizará as dificuldades de implementá-los e ajudará a preservar o que torna sua organização única.

Fonte de reprodução: Adobe Stock

Não há tempo para escrever políticas e procedimentos

“Mas não há tempo!” Este é o argumento mais válido. Em um mundo de funcionários enxutos, retorno rápido e ênfase em fazer muito com pouco, encontrar tempo para a governança pode ser extremamente difícil. Com isso dito… não importa. Posso entregar a você livro de gerenciamento após livro de gerenciamento, ensaio após ensaio, whitepaper após whitepaper, tudo sobre como as políticas e procedimentos definidos melhorarão seus negócios em todos os níveis se você seguir o processo. Você simplesmente não pode passar em nenhuma auditoria formal sem eles. O tempo para fazer o trabalho e documentar suas políticas e procedimentos deve ser encontrado.

Se você puder se comprometer a implementar suas políticas e aplicá-las, ficará chocado com a vitória a curto prazo na facilidade com que uma auditoria se torna e ainda mais chocado com as vantagens de longo prazo que você obtém. Suas operações serão menos estressantes, seu pessoal terá mais direção e, se bem feito, você finalmente saberá exatamente o que está gerenciando e por quê.

As vantagens superam a dor das políticas e procedimentos. Comprometer-se com o processo traz sérios benefícios. Sua organização vê políticas e procedimentos maduros como um mal necessário? Você entende o propósito das políticas e procedimentos? Que obstáculos sua organização encontrou ao desenvolver ou implementar políticas e procedimentos? Como você construiu o tempo para se comprometer com a aplicação de políticas e procedimentos?

Estilo de Redação de Políticas

A última peça para criar boas políticas é entender o estilo de redação e o conteúdo de uma política. As diretrizes de estilo de redação da política sugerem que o título da política deve caracterizar totalmente o conteúdo da política. Isso permitirá que o índice seja claro e conciso, sabendo imediatamente o que cada política envolve e a quem se refere. Alguns exemplos disso seriam uma “Política de Gerenciamento de Mudanças”, “Política de Acesso Remoto”, “Política de Dispositivos Pessoais”, etc. As políticas devem ser escritas de forma organizada para facilitar a navegação e devem seguir o fluxo natural de negócios (primeiro isso, depois isto). Ao escrever políticas sempreseja claro, conciso e direto, mantendo-o simples e certificando-se de não ser muito prolixo. Outra coisa importante a ser lembrada ao elaborar a linguagem de suas políticas é que as políticas são regras, portanto, escreva-as como tal. Use palavras como “will” e “must” em vez de “should” para não deixar dúvidas. Usar a voz ativa e o tempo presente permite que você seja positivo e diretivo. É importante ser factual, mas ainda mais importante ser preciso com seus fatos, então verifique-os duas vezes. Os termos específicos de cada departamento usados ​​em uma política devem estar devidamente definidos e localizados no glossário. Você deve estar na mentalidade de alguém do lado de fora. Se eles estivessem lendo isso pela primeira vez, eles entenderiam a que a política está se referindo? Os acrônimos devem ser explicitados na primeira vez em que são mencionados em uma política e, em seguida, incluídos no glossário.

Depois que suas políticas forem escritas, elas devem passar pelo processo de aprovação apropriado. Quem tem autoridade para aprovar esse tipo de política? Gestão? Conselho Administrativo? Vice presidente? O processo de aprovação deve acontecer com novas políticas, bem como com a revisão (no mínimo) anual de todas as políticas, para garantir que suas políticas ainda se apliquem e sejam precisas e atualizadas. Uma vez que as políticas estejam claramente definidas e aprovadas, elas devem ser disseminadas apropriadamente para todo o pessoal apropriado e armazenadas em algum lugar que todos possam ter acesso fácil a elas, como a intranet.

Fonte de reprodução: Adobe Stock

Criando uma nova política

Existem vários componentes que entram na criação de uma nova política. Os requisitos de formato e conteúdo, requisitos de aprovação de política, requisitos de revisão anual de política (no mínimo), disseminação de uma política, aplicação de uma política e as funções e responsabilidades dentro de uma política. As políticas devem ter um formato e uma estrutura padrão que geralmente incluem um título, quem é o proprietário da política, quando a política entra em vigor, qual versão ela substitui e quem a aprovou. A organização de uma política, como regra geral, inclui o pano de fundo e o propósito de uma política, escopo, a declaração de política real que comunica o que sãoas regras, funções e responsabilidades daqueles que podem ser referidos na política, referências a outras políticas ou procedimentos que estão inter-relacionados, um glossário de quaisquer termos que foram usados ​​e um registro de revisão mostrando o histórico do processo de revisão e atualização de uma política.

O que incluir em suas políticas

Não tem certeza do que entra em uma política? As políticas podem ser regras, comportamentos aceitáveis ​​ou inaceitáveis, limites, autoridades de aprovação (quem precisa aprovar uma decisão – relatórios de despesas, descontos etc.), consequências por não conformidade (se estaria sujeita a rescisão), quem precisa saber , e como ele é gerenciado. Coisas que não pertencem a uma política são coisas como procedimentos. O passo a passo deve ser separado da própria política. Além disso, as políticas não são aspiracionais, portanto, se você não estiver fazendo algo hoje, não faça a política dizer que você está fazendo algo que planeja fazer no próximo ano. As políticas também não são um local para informações repetitivas que colidem com outras políticas.

Fonte: https://www.gazetamineira.com.br/minas-gerais/gestao-de-romeu-zema-e-classificada-como-otima-em-indice-internacional-de-transparencia/

Deixe um comentário

O seu endereço de e-mail não será publicado.