Elementos estruturais de Segurança da Informação

Edison Fontes*Para facilitar a vida daqueles que desejam implementar e manter um processo de segurança da informação, existem hoje normas, estruturas de gestão de TI e de serviços de TI. A grande questão é como iniciar ou manter este processo de forma mais efetiva, isto é, de maneira eficaz ao longo do tempo. Para complicar, temos o operacional, que consome todo o tempo disponível.Existem alguns elementos no processo de segurança da informação que são estruturais e permitirão que as demais ações sejam realizadas com mais facilidade. Destaco: a) Gestor da informaçãoToda informação deve ter o seu gestor, que é a pessoa que autorizará (ou não) quem ou que perfil/grupo poderá ter acesso à informação. Qualquer tipo de acesso a essa informação terá que ter a autorização deste gestor. Ele deve ser da área que gera e é responsável pela informação. Por exemplo: o gestor de informação de pessoas deve ser o executivo da área de RH. b) Gestor do usuárioCada usuário (funcionário, prestador de serviço e estagiário) deve ter um gestor responsável pela identificação desse usuário. Normalmente é o chefe para os funcionários e estagiários e o gestor de contratos para o prestador de serviços. É de responsabilidade desse gestor garantir que quando um funcionário deixar a organização, a sua identificação será bloqueada/cancelada. Dependendo da sofisticação do ambiente de tecnologia, essa ação será mais ou menos automática. c) Políticas e normasA organização precisa ter políticas e normas de segurança da informação, de maneira estruturada e fácil de todos entenderem. Adianta muito pouco ter um único documento de muitas páginas com todas as recomendações, regras, responsabilidades e outras orientações.d) Conscientização e treinamento de usuárioOs usuários precisam ser treinados e conscientizados periodicamente. É necessário um treinamento formal pelo menos uma vez por ano. A segurança da informação acontece através das pessoas. e) Exemplo dos executivosOs executivos e gestores são a personificação da organização. Se eles não cumprirem as normas e não derem exemplo, a mensagem para os demais usuários é de que a segurança é uma série de regulamentos que ficará guardada na estante, ou melhor, na intranet. f) RecursosImplementar e manter um processo de segurança da informação na organização exige recursos financeiros, de tempo e de pessoas. Tudo que possuir segurança terá um custo maior. Evidentemente, teremos benefícios posteriores, tais como menor risco, retorno de investimento e menor perda. Mas não podemos esquecer que segurança necessita de recursos.Se você tiver esses elementos bem definidos e bem resolvidos na organização, tenha certeza que os demais passos em segurança da informação serão mais simples, porém continuarão muito trabalhosos e exigirão dedicação completa. *Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.