A função do Security Officer

Quando comecei a trabalhar em segurança da informação, no ano de 1989, algumas organizações já se movimentavam para ter uma coordenação do processo de segurança da informação. E dois segmentos estavam claramente preocupados com o tema: o financeiro e o das companhias de transporte aéreo. Em um dos bancos com quem conversei na época, o mesmo já estava com uma equipe trabalhando no assunto deste 1984.

Nas diversas organizações os nomes da função variavam, mas o objetivo era o mesmo. Havia uma situação momentânea: naquele tempo existiam muitas expectativas sobre o assunto e poucas experiências a nível Brasil. Mas quais seriam as características de um Security Officer?

a)Fazer acontecer a segurança

A principal função de um Security Officer é fazer a segurança da informação na organização acontecer. A segurança da informação é responsabilidade de todos! Não algo exclusivo do Security Officer.Evidentemente, para que esse processo de proteção da informação aconteça pelas pessoas, o Security Officer tem que proporcionar meios, políticas, regras, conscientização e acompanhamento constante são ações que facilitam para que as pessoas possam materializar essa proteção.

b)Soluções adequadas a organização

Cada corporação deve implementar soluções coerentes com a sua realidade, seu porte e negócio. Digo mais, de acordo com o momento em que a organização está vivendo. Evidentemente que este nível de segurança a ser implementado deve ser validado com a alta administração que representa os acionistas da empresa. Devemos estar expondo para eles que existe uma proporção direta entre o nível de segurança e os gastos com recursos financeiros, pessoal e de tempo.

c)Estruturar o processo de segurança

Os processos de segurança envolvem vários elementos e áreas da organização. Podemos dizer que esse processo interfere em praticamente todas as atividades corporativas: do notebook do presidente, passando pelo acesso dos usuários, até o lixo que deve ser destruído pelo servente. Estruturar a cadeia de processos é fundamental para que o Security Officer não fique dando voltas sem alcançar os seus objetivos. O contato com outros colegas que exercem esta mesma função, a leitura de livros e casos ou a contratação de uma consultoria são algumas das ações que podem ajudar.

d)Trabalhar em paralelo com a auditoria

A função de auditor não deve ser confundida com o trabalho do Security Officer. Eles devem operar em paralelo. No momento em que um dos dois começa a realizar o trabalho do outro, quem sai perdendo é a organização. Além do mais, o Security Officer precisa ser auditado e a auditoria precisa seguir as políticas de segurança da informação.

e)Saber por onde começar

Definir prioridades de ações em segurança da informação não é fácil. “Por onde devo começar?” é uma das perguntas mais freqüentes que se ouve por aqueles que receberam a missão de coordenar o processo de segurança. Conhecer bem o negócio da organização, saber a tendência desse negócio e ter uma visão estruturada da proteção da informação são ações básicas para ter condições de priorizar o que deve ser implementado primeiro. Lembrando sempre que em algum momento alguém vai questionar essa ordem. Por isso é fundamental a validação com a alta direção da organização.

Se o espaço permitisse poderíamos citar inúmeras características e responsabilidades de um Security Officer. Mas, termino apenas com mais uma, que deve ser a primeira de todas: devemos ser apaixonados pela segurança da informação. Ler e estudar sobre esse assunto deve dar um grande prazer. Montar um projeto, ver sua implementação e seu sucesso gradativo com proteção crescente é uma realização pessoal muito grande. Dificuldades existirão e não serão poucas, mas todas possíveis de serem superadas.