Segurança da informação chegou na mesa do Conselho de Administração e do Corpo Diretivo. É uma verdade que acontece na prática pelo simples fato de que todo o investimento e planejamento para a sustentação e crescimento da organização pode vir abaixo por um incidente de segurança!
INCIDENTE DE SEGURANÇA AFETA A ORGANIZAÇÂO?
E pensemos que incidente de segurança não significa apenas uma invasão de criminosos. Pode ser um erro que acarrete perda de informação, uma negligencia em relação a conformidade legal da própria organização ou de seus clientes, um vazamento por colaborador insatisfeito ou alinhado a criminosos, ou um desastre que independe do controle corporativo. Qualquer uma dessas situações pode acarretar grande impacto negativo para a organização: financeiro, de reputação, operacional, de conformidade legal, de imagem, no ambiente profissional interno e em muitos outros aspectos do mundo corporativo. Pode tirar uma empresa do mercado e jogar fora todo o investimento dos acionistas.
RESPOSTAS QUE QUEREM
Porém o Conselho e o Corpo Diretivo não precisam saber detalhes. Mas eles querem informação integra e objetiva. E na minha opinião, sem o famoso "depende" e "parcialmente". Eles querem sim ou não, ou uma classificação explicita.
O QUE QUEREM SABER?
Sendo objetivo, destaco cinco informações críticas que o Conselho de Administração e o Corpo Diretivo precisam e querem saber.
- Qual o Nível de Maturidade Geral da Proteção da Informação da Organização?
Devemos ter níveis explícitos de fácil compreensão, considerando o tipo de negócio e os objetivos corporativos. Tipo:
– Inadequado – Compromete a organização
– Mínimo – Compromete a organização.
– Adequado – Organização protegida
- Se a empresa sofrer um ataque tipo sequestro de dados, ou um desastre de indisponibilidade de informação, ela sobrevive? Estaremos reféns dos criminosos? Temos processamento alternativo adequado?
Uma indisponibilidade de informação pode parar o negócio da organização. Necessário proteção contra criminosos e opções de processamento alternativo
- Existe um Plano de Ação para tornar a empresa em patamar Adequado?
Quando estaremos no patamar adequado? Quanto custará? Como foram definidas as prioridades?
- Nossos colaboradores estão satisfeitos profissionalmente e são cumpridores das suas responsabilidades de Controle de Proteção da Informação?
As pessoas realizam a proteção da informação. A organização tem uma abordagem profissional e menos emocional? Isto é, faz o que deve ser feito. Simples!
- Como garantimos a certeza das respostas anteriores?
Quem responder as perguntas tem que esclarecer o nível de garantia da efetividade do que foi dito. Por exemplo, se falamos de indisponibilidade de ambiente de informação, testes exigentes de continuidade são uma excelente evidencia. Pouca rotatividade de colaboradores é um fator de efetividade quando falamos de tratamento profissional da informação.
CONCLUSÃO
O simples e objetivo é complexo e exige muito esforço e conhecimento. Dizer "Sim" ou "Não" com certeza é necessário conhecimento e maturidade profissional. Além do que a organização não pode "enforcar o mensageiro de notícia ruim". Se tivermos medo de ser enforcados porque dizemos a realidade da organização, esta organização está em um nível abaixo de zero em maturidade profissional. Felizmente, atualmente, o Conselho de Administração e o Corpo Diretivo quer a verdade. Pois somente assim poderão apoiar e direcionar para o atendimento aos objetivos corporativos.
Edison Fontes, CISM, CISA, CRISC, Ms. , Chief Information Security Officer at NAVA – Technology for business.
