DevSecOps

13 fev, 2015

Segurança da Informação no Brasil: muito se fala, pouco se pratica!

Publicidade

Excetuando o ambiente das instituições financeiras, que comparativamente com os demais segmentos de mercado estão em um excelente patamar de proteção da informação,  muito se fala em segurança da informação mas pouco se implementa de maneira profissional, estruturada e de maneira sustentável, em especial aqui no Brasil.

Não quero ser injusto: claro que existem organizações especificas e não financeiras que tratam a segurança da informação de maneira adequada. Mas, de uma maneira geral é muita fala e pouca ação profissional.

O que muito se fala?

 

Temos segurança

As organizações afirmam que têm segurança da informação, mas na realidade possuem ações isoladas de segurança. Longe de se ter um Processo Corporativo de Segurança da Informação.

Nossos usuários são de confiança

Normalmente esta afirmação é verdadeira. A questão é que uma organização deve ter usuários de confiança e devem ter controles de segurança da informação. A proteção da informação também existe para evitar ou minimizar erros de pessoas honestas. Além do que os criminosos e muitos concorrentes não são honestos e respeitadores da lei e politicamente corretos.

Nunca tivemos problema

Também na maioria das vezes é uma afirmação verdadeira. Mas, este fato não protege para o futuro. Além do que, está mais perto da empresa ter problemas de erros ou com criminosos.

Existe uma Área de Segurança da Informação na Organização

Na maioria das vezes, quando vamos detalhar esta situação, não é bem uma área: é uma pessoa, com pequena hierarquia e que exerce outra função principal, normalmente operacional. Na prática, dedica pouquíssimo tempo à Segurança da Informação. Sua melhor descrição seria “Bombeiro de Segurança da Informação” (apaga fogo de problemas).

Temos uma Política de Segurança da Informação

Geralmente tal política é um documento confuso, que os usuários, na prática, não leem, e não existem controles que implementem e monitorem as regras descritas na política. Ou, por questões de exigência de clientes ou exigências legais existem muitos regulamentos que nem a própria organização sabe (facilmente) o que existe ou não de regulamento.

E o que pouco se pratica?

Não existe um Processo Corporativo de Segurança da Informação

A organização não define um processo estruturado de segurança da informação, elaborado para o seu perfil empresarial e tipo de negócio. Este processo corporativo pode existir em uma organização de grande, médio e pequeno porte. O conceito é o mesmo, porém a implementação será adequada a cada organização.

Neste Processo Corporativo de Segurança da Informação devem ser ser consideradas as seguintes Dimensões:

  • Políticas e normas
  • Acesso à informação
  • Desenvolvimento de aplicativos e programas produto
  • Classificação da informação
  • Continuidade do negócio
  • Uso de Internet, Redes Sociais e Correio Eletrônico
  • Conscientização e treinamento de usuários
  • Ambiente físico
  • Proteção técnica
  • Flexibilidade operacional
  • Modelo operativo da Segurança da Informação

Não existe um planejamento da área de Segurança da Informação

Toda área de Segurança da Informação deve ter, obrigatoriamente, um planejamento para os próximos 36 meses, com prioridades e ações justificadas no atendimento ao negócio, no que diz respeito ao uso da informação para o atendimento aos objetivos corporativos.

Não existe um Gestor da Segurança da Informação

Não existe um profissional experiente e dedicado para o Processo de Segurança da Informação. A maioria das organizações pode ter este profissional, e organizações menores podem ter consultores em tempo parcial. Porém, uma questão é crítica, é Fator Crítico de Sucesso: este Gestor precisa ter um nível hierárquico adequado. Deve ter autonomia e deve responder para um Gestor Executivo.

Não existe uma arquitetura para as Políticas e Normas de Segurança da Informação

É fundamental que os regulamentos de segurança sejam estruturadas e considerem todos os aspectos para a proteção da informação.

Não existe o envolvimento das áreas de negócio

As Áreas de Negócio são responsáveis pela definição da rigidez dos controles de segurança da informação. Por exemplo, em relação ao controle de autenticação de usuário: será feita somente por senha ou será exigida a senha e a biometria? Na maioria das organizações

A direção não é envolvida e comprometida

O Processo de Segurança da Informação é um processo corporativo. Ele existe para possibilitar que a organização alcance os seus objetivos no que depende da informação e dos recursos de informação. Desta maneira, o direcionamento e prioridade das ações de segurança precisam ser validadas e apoiadas pela Direção Executiva da Organização. A segurança da Informação existe para a Organização.

Não existe um treinamento continuo para os usuários

É Fator Crítico de Sucesso a existência contínua de treinamento e conscientização dos usuários, sejam internos e externos da organização. E em muitas organizações, também é necessário incluir os clientes. É pela pessoa que a Segurança da Informação acontece na Organização. Não considerar este fato, significa fracasso à frente na proteção da informação.

Conclusão

Evidentemente existem outras ações que são faladas e outras que nem são executadas. Entendo que estas citadas acima são as mais comuns. Mas, para sua organização o mais importante é: como está a sua organização? Ela faz segurança? Ou apenas fala e discute muito segurança mas tem pouca implementação? Identifique a situação da sua organização. Somente assim, poderá ser feito um planejamento de ações e o desenvolvimento de ações concretas.