Como manter (com sucesso) a Segurança da Informação

27 de maio de 2013
Compartilhe

Manter com sucesso o Processo Organizacional de Segurança da Informação é um desafio que precisa ser alcançado todo dia. A cada dia é necessário realizar ações para que a segurança da informação não caia no lugar comum. Muitas organizações começam a proteger a sua organização, fazem aquela festa inicial e depois a coisa muda de figura: regulamentos de segurança ficam desatualizados, as regras são quebradas pelas várias situações de exceção, os usuários não sabem o que é mandatório e o que não é, a direção já não dedica o tempo necessário para as decisões estratégicas e ninguém sabe mais para onde vai a segurança nos próximos anos.

A efetividade da segurança acontece pelas ações do dia a dia, baseadas em um planejamento estratégico e operacional para este processo.

Algumas abordagens possibilitam a continuidade da segurança da informação na organização:

1. Existência do Plano Estratégico da Segurança da Informação.

Baseado em uma avaliação da efetividade da gestão das dimensões da segurança da informação, deve-se elaborar o Plano Estratégico da Segurança da Informação. Uma das maiores dificuldades na gestão da segurança é a priorização das ações em segurança da informação. Tudo em segurança é importante. Mas temos a limitação de tempo e outros recursos e precisamos priorizar ações. Além disso, algumas dimensões ou controles são estruturais. Somente com este plano é que o Gestor de Segurança poderá validar as ações de segurança com a Direção Executiva da Organização.

2. Existência de um Gestor da Segurança da Informação.

O Processo Organizacional da Segurança da Informação precisa ter um Gestor dedicado. Empresas médias e de grande porte têm condições de ter (internamente ou como consultoria) um recurso dedicado à segurança da informação. A dedicação é motivada pela responsabilidade sobre o tema. Não é conveniente este gestor ser responsável por outras funções na Organização. Na minha experiência, na prática, se este profissional tiver outras atividades, a segurança será a atividade que ficará em segundo plano e a consequência é a não efetividade da proteção da informação.

3. Comitês de Segurança da Informação deve ser para validar a estratégia.

Comitês de Segurança da Informação devem existir para validar, ajustar, alterar o plano de segurança proposto pelo Gestor da Segurança da Informação. Este Comitê tem a responsabilidade de garantir o alinhamento com os objetivos da Organização. Porém, entendo que um Comitê de Segurança não pode ficar discutindo se será concedido o acesso à informação para um determinado usuário. Se o Gestor da Informação fez um bom trabalho, existirá na Organização políticas, normas e procedimentos que definirão o Gestor da Informação; e a autorização de acesso à informação é uma questão que apenas seguirá as regras. Isto não deve impedir da existência de um Grupo Operacional de Segurança da Informação que pode se reunir em um período mais curto para debater e solucionar questões operacionais não previstas ou emergenciais.

4. O foco da Segurança da Informação são os objetivos da Organização.

A segurança da informação não existe por si só. Não existe para ela mesma. Não existe por causa de relatórios de auditoria. Como diz em todas as suas palestras e cursos, o meu Guru Thomas Peltier, segurança da informação existe para permitir que a organização alcance seus objetivos, no que depende da informação e dos recursos de informação. Existindo esta diretriz e estando clara para todos, o Processo Organizacional de Segurança da Informação acontecerá com mais profissionalismo e consequentemente com mais facilidade.

5. Não esquecer as pessoas.

O sucesso da segurança da organização depende das pessoas, de todos os usuários. Independente do cargo hierárquico. Evidentemente cada cargo ou cada função tem responsabilidades diferentes. Mas, temos que lembrar que antes de ser um recurso de informação, a pessoa é um recurso da organização. Antes de tudo, a organização é responsável sobre como o recurso pessoas será tratado e valorizado dentro desta organização. Se o clima organizacional está péssimo, consequentemente o processo de segurança da informação terá maiores dificuldades. Por outro lado, se as pessoas são valorizadas, provavelmente elas terão uma postura profissional e atenderão os controles da segurança da informação com uma reação de cumprir regras para o bem da organização.

Ter a informação segura de maneira compatível com o porte e com o tipo de negócio é uma tarefa complexa, trabalhosa, porém possível. Exige tempo, experiência profissional do gestor de segurança, desejo verdadeiro da direção e comprometimento dos usuários.

Além do que, não existe segurança grátis! Nem almoço!

*Edison Fontes. Mestre em Tecnologia; possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

 

Últimas Notícias
FIAP MARCA PRESENÇA NO WEBSUMMIT RIO 2024 Leia mais
STARTUP ONE MBA 2024 – 1° SEMESTRE: CONHEÇA O TOP 10 Leia mais
PROFESSORES DA FIAP PARTICIPAM DA III BUSINESS WEEK DA MUST UNIVERSITY Leia mais
MBA em Product Management é opção para transição de carreira Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.