O Processo de Segurança da Informação deve existir enquanto a organização existir. Opa! Corrijo: também depois da organização parar suas atividades. Tive a experiência de preparar os controles e procedimentos dos dados de uma organização que deixou o Brasil, e por conformidade legal e contratual, precisou deixar os dados disponíveis para autoridades do judiciário ou para o cliente que recebeu o serviço, caso alguma demanda neste sentido.
Mas, Pensando em uma situação mais comum, o Processo de Segurança de Informação deve existir bem, eficiente, eficaz e de maneira sustentável. Para existir ao longo do tempo é necessário a existência de macrocontroles que possibilitem a boa longevidade da proteção da informação. Como fazer acontecer? Considero que é possível e factível a implementação destes macrocontroles, de que que a organização trate o processo de segurança da informação de maneira profissional. Recomendo:
- Arquitetura de Segurança da Informação
A organização deve definir qual é a sua arquitetura, que será específica para a organização, considerando suas características, tipo de negócio, porte, exigências de conformidade legal e outros aspectos. Uma empresa tipo holding de várias empresas, terá uma arquitetura diferente de uma indústria tradicional, ou mesmo de uma startup de meios de pagamentos.
Esta arquitetura será a direcionadora das ações ao longo do tempo.
- Avaliação constante da Maturidade de Segurança da Informação
Recomendo a cada seis meses que a organização realize ou contrate uma consultoria para realizar a avaliação da maturidade da gestão da segurança da informação. Esta avaliação periódica sinalizará se algum controle ou tipo de controle está "começando" a sair do padrão. Na prática se a periodicidade da avaliação for mais de seis meses a identificação de fragilidade de controles pode ser tarde e os impactos negativos para a organização já estarem acontecendo.
- Canal transparente com o Conselho de Administração e/ou Corpo Diretivo.
Conheço muitos profissionais que são adeptos de que "ninguém gosta de levar má notícia". E encobrem diversas situações de riscos com impactos negativos, não comunicando a situação com o a alta administração. Pessoalmente já levei "chave de galão" de um Diretor ao qual me reportava, para não mostrar ao presidente uma situação em que a disponibilidade do ambiente de tecnologia estava piorando visivelmente. Lamentável.
- Profissionais capacitados
Este é um macrocontrole delicado. Mas sejamos honestos. Experiência faz a diferença e normalmente gera serviços e produtos de qualidade. O profissional de segurança da informação, estou tratando no singular para facilitar, é o oficial que dobra o seu paraquedas. E você só vai agradecer do fundo do coração, quando você precisar soltar de paraquedas e ele funcionar sem problemas.
Garanta que a sua organização tenha os melhores profissionais de segurança da informação possíveis.
- Políticas e demais normativos
São as políticas e demais normativos que definem as responsabilidades, escopo de atuação, controles e demais implementações para uma segurança efetiva da informação.
Este conjunto de regulamentos devem ser aprovados e assinados pelo executivo compatível com a importância organizacional dos controles. A Política Organizacional de Segurança da Informação deve ser assinada/aprovada pelo Presidente da empresa ou pelo Conselho de Administração. Um regulamento tipo regras para autenticação do usuário pode ser aprovado pelo Gestor de Segurança da Informação ou Gestor de Tecnologia da Informação.
CONCLUSÃO
Evidentemente você pode identificar outro macrocontrole que faça sentido na sua implementação da segurança. O que apresentei acima é um conjunto que considero base e obrigatório. Mas aceito sugestões.
Edison Fontes, CyberSecurity & Privacy Head and Advisor.
