DevSecOps

30 dez, 2015

Como planejar estrategicamente a segurança da informação?

Publicidade

Este artigo foi publicado em 01/07/2015. Por ter sido considerado um dos melhores artigos de 2015, foi republicado hoje.

Atividades para a segurança da informação são realizadas todos os dias em todas as organizações. São importantes, mas essas ações estão cuidando de uma árvore. A organização, principalmente a direção, precisa ter o conhecimento, a visão da floresta e do futuro desta floresta. Para isso, é preciso planejar estrategicamente o processo corporativo de segurança da informação.

Mas como fazer esse planejamento? O que deve ser levado em consideração? Como envolver a direção e os demais executivos, inclusive o conselho de administração?

Recomendo alguns elementos que devem ser considerados no planejamento estratégico da segurança da informação. Não saia para o planejamento sem eles – você pode não sobreviver!

1. Conheça os direcionadores do negócio da sua organização

A chave do sucesso da frase acima está na palavra direcionadores. Na maioria das vezes, diz-se que é necessário conhecer o negócio. Concordo. Porém, mais importante e estrutural, é conhecer os direcionadores que movem o negócio ou obrigam o negócio a se mover. São esses direcionadores que devem também ser os direcionadores da segurança da informação. O que são direcionadores de negócio? Exemplo: seguir as regras do Banco Central, respeitar (verdadeiramente) o cliente, ser a melhor empresa no seu segmento.

2.Tome por base uma estrutura de segurança da informação

De uma maneira simples e direta: tome por base a Família de Normas 27.000 e outras de assuntos complementares à segurança da informação. Mas você precisa conhecer de verdade esses normativos. Será pouco efetivo você ser um profissional de segurança da informação se você não leu pelo menos três vezes todas as normas relacionadas à segurança da informação. Ao considerar essa estrutura, teremos uma base teórica para a nossa construção prática. Acredite, isso é muito importante.

3. Defina, desenvolva, aprove e publique as políticas e normas de segurança da informação da organização

Se a sua organização ainda não tem um conjunto efetivo de políticas e normas para a segurança da informação, a primeira etapa do planejamento estratégico é a implantação desses regulamentos. Havendo esse conjunto de políticas e normas, considere os controles definidos nesses regulamentos e defina o próximo elemento.

4. Avalie como está a efetividade dos controles existentes de segurança da informação

Para cada controle ou macrocontrole, identifique a efetividade dele. Isto é, identifique se o controle está funcionando de maneira adequada e se ele minimiza a probabilidade (o risco) de uma ameaça prejudicial à organização se concretizar.

5. Considere o risco em segurança da informação como parte do risco operacional da organização

Estruture, elabore e implante a gestão de riscos em segurança da informação. Mas faça isso de maneira alinhada com a gestão do risco operacional da organização. Se a sua organização não tem esse conceito, apresente-o no planejamento estratégico.

6.Desenvolva a governança da segurança da informação

Considere a governança da segurança da informação alinhada à governança corporativa. Apresente no planejamento estratégico como acontecerá a governança de segurança e como será garantido esse alinhamento. Inclusive a validação, pela direção, do planejamento estratégico é uma das ações desse alinhamento.

7. Siga obrigatoriamente a legislação e os normativos

Primeiramente identifique quais os normativos e as leis que a organização está obrigada a cumprir. Muitas organizações não têm identificado formalmente qual a legislação e os regulamentos específicos que ela precisa seguir. Nesse caso, na prática, a organização vive levando sustos. Sempre aparece uma surpresa: por erro, por fraude ou por auditoria. Esses regulamentos e a legislação serão entrados junto com o resultado da avaliação de efetividade dos controles, para a elaboração do planejamento estratégico.

8. Identifique certificações obrigatórias

Dependendo do tipo de negócio da organização, algumas certificações são obrigatórias para o atendimento aos objetivos corporativos. Por exemplo, as empresas que tratam com dados de cartão crédito/débito precisam ter a Certificação PCI. Outras certificações não são obrigatórias, mas, dependendo (novamente) do tipo de negócio, são altamente recomendadas.

 

Bem, após construir os elementos acima, estamos prontos para elaborar o planejamento estratégico. A boa notícia é que esses elementos estão interligados. Por exemplo, quando a organização faz ações para conseguir uma certificação, com certeza ela estará melhorando a efetividade dos seus controles de segurança da informação.

Um fator fundamental: para elaborar o planejamento estratégico da segurança da informação, é necessária uma boa vivência profissional prática em segurança da informação. Muitos questionamentos serão feitos, e você precisa ter as respostas teóricas e práticas.

A existência de um planejamento estratégico da segurança da informação permitirá uma maior transparência que facilitará a aprovação de prioridades e, consequentemente, permitirá uma boa gestão da segurança da informação.

Grande abraço!