Segurança da Informação: Diretiva ou Estrutural?

0

O termo diretiva foi utilizado pelo criador do sistema de financiamento de ciência nos EUA (Vannervar Bush, 1890-1974) que acreditava que a ciência não podia ser dirigida. Ciência Dirigida é você pesquisar focado em um resultado específico. Para esclarecer, a descoberta da penicilina foi uma descoberta de uma pesquisa não dirigida: Alexander Fleming (1881-1955) não buscava descobrir a penicilina. Ele estava fazendo trabalhos científicos de pesquisa, quando algumas placas foram contaminadas com um fungo. Ele resolveu analisar este fato e identificou que com este fungo as bactérias não cresciam. Este composto tornou-se a penicilina, o primeiro antibiótico.

Tomo a liberdade de trazer para a Segurança da Informação a essência destes conceitos, fazendo minha devida adequação. Pois fazemos isto na prática, no nosso mundo real. Os profissionais que têm responsabilidade na proteção da informação atuam de forma dirigida e estrutural, talvez sem estar atinado para estas duas formas de tratamento do processo de segurança da informação da organização.

Segurança Dirigida

Segurança da Informação Dirigida acontece quando tratamos de um problema específico, focado em segurança da informação, proteção de dados pessoais, cibersegurança, continuidade, resiliência digital ou similar. Aqui chamaremos este conjunto de segurança da informação.

Nestes casos temos uma situação ou sabemos que teremos uma (problema incidente, ataque, erros ou similar) em futuro próximo e precisamos focar e colocar todos os esforços para as situação ou minimização de riscos desta situação. É urgente e precisamos resolver ou pesquisar para resolver.

Podemos citar alguns exemplos práticos:

  1. Uma situação problema que precisamos identificar a causa raiz. 

Caso contrário o problema se repete. Quem desenvolve programas seja em que plataforma tecnológica for, caso este programa funcione bem durante um tempo e "do nada" (assim pensamos" ele cancela ou entra em um looping lógico e consome toda capacidade de processamento do equipamento (servidor físico ou lógico). E tudo para! Temos que literalmente pesquisar de maneira dirigida. Precisamos tratar a segurança de maneira dirigida. Quando entramos numa situação destas não sabemos com certeza o tempo para encontrar a solução.

  1. Uma ação criminosa sofisticada aconteceu.

Uma ação criminosa sofisticada aconteceu burlando todo o controle de identidade e acesso. Teremos pessoal técnico mas também pessoal de processos e outros envolvidos trabalhando urgentemente, fortemente e de maneira focada.

Uma característica da situação da Segurança da Informação Dirigida é que ela "tem que ser" resolvida. Pesquisaremos até a solução, ou pelo menos até a identificação da causa raiz.

Segurança Estrutural

Segurança da Informação Estrutural não estamos focados em um problema específico. Estamos tratando da proteção com uma abordagem completa. Estamos estudando, pesquisando e implementando um conjunto de controles que permitirão que outros controles possam ser implementados. Digamos controles generativos. Não uso este termo para não confundir com o comercial termo utilizado na Inteligência Artificial. Já que neste caso é pura Inteligência Humana.

Podemos citar alguns exemplos práticos:

  1. Arquitetura de Segurança da Informação

Ao definirmos a arquitetura de segurança definimos como faremos a implementação dos controles definidos nas Estruturas de Referência e Legislações que definimos que a organização vai seguir obrigatoriamente. Desta maneira poderemos definir controles específicos para todas as situações que necessitam de proteção. E se precisar de ações em um momento emergencial para uma Segurança Dirigida, estaremos dentro de uma estrutura organizacional de controles.

  1. Identificação do Nível de Maturidade da Gestão da Segurança da Informação

Esta é uma ação que permite a definição de um Plano de Ação e a implementação de várias ações e existência de controles em projetos tipo Segurança Dirigida. 

  1. Políticas e Normas

Este macrocontrole não resolve um problema específico, mas possibilita que vários controles específicos e direcionados para as dimensões de segurança sejam implementados de uma maneira correta, alinhados com a Governança Corporativa e para o atendimento aos objetivos da organização.

CONCLUSÃO

A implementação e sustentação da segurança da informação em uma organização, considerando nossa vida neste mundo real com situações mais inusitadas que o ambiente corporativo nos traz no dia a dia, exige ações estruturais e ações específicas. Ou como estou trazendo, Segurança Estrutural e Segurança Dirigida. 

Minha sugestão é que você entenda o conceito e aplique considerando as características da organização, tipo de negócio e momento da empresa.

Devemos começar sempre pela Segurança Estrutural e nos momentos seguintes ou de necessidade urgente e emergencial, implementar a Segurança Dirigida.

Entendo estes conceitos como um facilitador para a organização mental do Gestor de Segurança da informação (CISO – Chief Information Security Officer). Ajuda o nosso raciocínio e ajuda a explicar aos executivos e demais envolvidos a "vida real" da segurança da informação na organização.

Evidentemente o ideal é a Segurança Estrutural caminhar na frente, porém se a proteção da informação da organização estiver um caos, uma bagunça, um tiroteio… Segurança Dirigida, mas por um tempo. Se for eterna, uma grande avaliação e planejamento da segurança precisa ser realizado.

Se a organização estiver organizada, este seria um bom KPI para a proteção da informação. Mas somente depois de você entender a sua organização.

Edison Fontes, CISM, CISA, CRISC, Ms, Chief Information Security Officer at NAVA – Technology for business

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.