Em segurança da informação, como no mundo real, temos uma grande opção: podemos começar pelo simples! As demais opções não são erradas, porém podem ser colocadas em uma prioridade seguinte.
Até na vida do nosso país parece difícil começar pelo simples. As pessoas foram às ruas solicitando ações simples: prioridade para saúde e educação; nenhum gasto público com estádios, cadeia para os condenados por corrupção, mais combate à corrupção, bem estar em primeiro lugar. Transporte bom e honesto, saúde (com médicos brasileiros) com hospitais funcionando. Simples. Direto. Mas, nesse caso, os políticos decidiram desviar o assunto: constituinte, plebiscito, mudança para voto distrital e outras sugestões mirabolantes. Que tal fazer o simples? Evidentemente, nesse caso, existem interesses escusos por trás de tudo.
Mas, voltando ao nosso assunto segurança da informação, muitas organizações começam pelo mais complicado e complexo.
A Norma NBR ISO/IEC 27002 -Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação apresenta 133 controles para o Processo Organizacional da Segurança da Informação. É fato que essa norma descreve como fazer o desenvolvimento e a implantação destes controles, mas esse é um caminho das pedras.
Como sugestão para o Simples da Segurança da Informação (SSI), defina um escopo de atuação para o Processo Organizacional da Segurança da Informação e desenvolva e implante esses 133 controles. Ao verificá-los, veja que cerca de 50 controles fazem referência a uma participação da direção da organização ou das áreas de negócio da organização.
É simples. Pergunte à sua organização: deve-se estar em conformidade com a Norma Internacional, publicada no Brasil, em português, adotada pelo Governo Federal e usada na prática pelo TCU – Tribunal de Contas da União para as suas auditorias? Se a resposta for sim, defina um Gestor da Segurança da Informação com nome, sobrenome e CPF. Isso mesmo. Tem que ser uma pessoa, um profissional com experiência. Isso feito, esse profissional vai começar a fazer acontecer o Processo Organizacional da Segurança da Informação, com a avaliação dos 133 controles da Norma, e consequentemente terá condições de planejar as ações. Depois disso, é só executar as ações planejadas.
Há outra opção (certa), porém não simples e mais complexa e com tempo indeterminado para conclusão. NÃO RECOMENDO que prioritariamente seja feita assim, mas muitas organizações seguem este caminho:
- Identifique todos os ativos de informação. Aqui vale também definir a granularidade de ativo de informação.
- Identifique todas as ameaças, todos os riscos e todas as vulnerabilidades para cada ativo de informação.
- Identifique uma proteção para cada um dos casos identificados no item 2.
- Inicie neste momento uma avaliação de riscos para o que foi identificado nos itens 1, 2, e 3.
- Envolva todos os usuários para validar os resultados dos itens 1, 2, 3 e 4.
Todos os caminhos chegam ao fim. Alguns mais rápidos, Outros, de maneira mais complexa. A escolha é sua. O final também.
No Anexo 2 da minha dissertação de mestrado, estão listados os 133 controles da norma. Para um primeiro contato. Veja aqui.
Para realizar o trabalho de um Processo Organizacional da Segurança da Informação, você precisará ter acesso e estudar toda a norma.
Comece pelo simples! É simples!