O que o executivo deve saber sobre Segurança da Informação

25 de novembro de 2013
Compartilhe

O executivo de uma Organização não precisa saber tudo sobre segurança da informação. Mas, ele tem a responsabilidade legal de agir para a segurança da informação. O executivo precisa estar ciente dos seguintes aspectos/características da segurança da informação:

1. O executivo é o responsável pela existência do Programa Organizacional de Segurança da Informação

O Programa Organizacional de Segurança da Informação é um processo, como o seu próprio nome diz, da companhia que tem como objetivo proteger a informação da organização. Este executivo precisa apoiar explicitamente este processo porque as regras e os controles que serão implantados trarão impactos no poder das pessoas e exigirão novas responsabilidades.

2. A segurança é para a organização. Não é para a TI

A Área de Tecnologia da Informação é importantíssima para uma efetiva segurança da informação. Mas ela é um meio e não o fim. Não se faz a segurança para TI, mas se faz a segurança com a TI.

3. Existe espionagem pelos concorrentes

Em vários e diferentes graus de sofisticação e de procedimentos politicamente não corretos, os concorrentes da organização buscam informação da sua empresa. E os espiões não chegam com uma vestimenta de espião. Pode ser um funcionário de vários anos na companhia, um chefe que tem toda a confiança da direção, um simples estagiário que realiza as cópias de documentos e tira uma cópia a mais, um prestador de serviço de uma grande empresa tipo o espião Edward Snowden que abriu os segredos da NSA, ou um simples faxineiro que acessa todos os relatórios… jogados fora.

4. A segurança da informação exige um Gestor dedicado

Para que o processo de segurança da informação exista e se mantenha, é necessário um profissional dedicado ao assunto. Este profissional será o responsável pelo Programa Organizacional da Segurança da Informação, fará com que este programa seja adequado aos objetivos da organização e, consequentemente, atenda à Governança Corporativa, planeje as ações e monitore estas ações. Este Gestor da Segurança é a pessoa de confiança do executivo e, por isso, ele precisa ter um nível hierárquico adequado. Ele não deve ficar embaixo da Área de Tecnologia da Informação. Caso isto aconteça, as prioridades de segurança estarão subordinadas às prioridades de TI e às limitações do Gestor de TI. De repente, o Gestor de TI bloqueia uma ação de segurança porque vai comprometer o orçamento de TI ou porque vai apresentar uma vulnerabilidade em TI que o Gestor deveria, há muito, ter solucionado.

5. O executivo é quem aprova (ou não) o planejamento das ações em segurança da informação.

O Gestor da Segurança da Informação tem a obrigação de manter um planejamento e priorização de ações para os próximos três anos. Este plano de ação deve ser levado ao executivo da organização para que ele verifique se as prioridades propostas pelo Gestor da Segurança da Informação estão alinhadas com as prioridades e os objetivos da organização. Esta validação, alteração ou rejeição do plano de ação é uma responsabilidade obrigatória do executivo.

6. Buscar o bom e depois o ótimo

Falo isto com bastante tranquilidade, pois sou defensor do Ótimo em segurança da informação. Porém, na maioria das vezes precisamos primeiro atingir o Bom para depois partirmos para o Ótimo. Isto é, ter os pés no chão. Porém, se um executivo exige que o Gestor de Segurança implante (de cara) o Ótimo, poderá fazer com que este Gestor de Segurança, se não tiver maturidade suficiente para questionar o executivo, comece a desenvolver projetos faraônicos, lindos, com belos nomes, desenvolvidos em parcerias com grandes empresas, porém que levarão anos a serem implantados. E neste período (normalmente longo) a organização fica desprotegida.

7. O executivo não pode “lavar as mãos” como Pilatos

O executivo precisa decidir sobre o Programa Organizacional de Segurança da Informação e informar isso para os acionistas, evidentemente se ele não for o acionista principal. É preciso porque, em caso de problemas graves, o executivo arruma sua pasta e parte para outra, enquanto os acionistas ficam com o prejuízo.

*Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir