Planejamento Estratégico da Segurança da Informação

O planejamento estratégico da segurança da informação é fator crítico de sucesso para uma proteção efetiva da informação. Pode-se proteger a informação sem um planejamento estratégico? Sim, é possível. Porém, esta proteção será momentânea e não haverá uma garantia de que ao longo do tempo esta proteção continue.

Muitas organizações fazem segurança da informação por espasmo, em resposta a uma situação específica, ou “vai tocando para ver no que vai dar”. Cada organização precisa saber o que vai fazer em segurança da informação nos próximos três anos. Qual é a prioridade da implantação dos controles? Todas as organizações têm muitas vulnerabilidades e se somarmos o tempo para resolução de cada uma delas, chegaremos à eternidade. Só resta uma solução: priorizar as ações.

Para priorizar as ações, precisamos planejar e definir o que será feito e qual a prioridade. Evidentemente, tudo isto alinhado aos objetivos da organização. Por não conhecimento ou má-fé, muitas organizações começam suas ações fazendo teste de invasão, que aparece bem para a direção, mas não possui um conjunto de políticas e demais regulamentos. Estão brincando de proteger a informação.

Outra questão fundamental é que estamos tratando da segurança da informação da organização. Não se trata da segurança da informação da Área de Tecnologia da Informação. Evidentemente, o ambiente computacional é muito importante. Porém, ele é somente um dos ambientes onde a informação é utilizada.

Esta abordagem da segurança da informação da organização somente acontece de verdade se a Área de Segurança da Informação possuir a independência adequada. Se estamos tratando de segurança da informação da organização, esta área tem que estar subordinada a uma estrutura que defenda os objetivos de negócio, independentemente de onde a informação esteja: no ambiente físico (convencional), no ambiente digital (computadores) ou no ambiente humano (mente).

Para elaborar o planejamento estratégico da segurança da informação, a organização precisa conhecer como está a sua maturidade em relação a cada uma das Dimensões de Segurança, baseadas nas Normas da Família 27000.

Sua organização sabe como está a gestão de cada Dimensão da Segurança? Sua organização sabe como vai desenvolver, implantar e manter nos próximos três anos os controles de segurança da informação?

*Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.