A Insegurança da informação

Muitos executivos de organizações optam pela Insegurança da Informação, apesar da existência de uma norma internacional adotada pelo Brasil (NBR/ISO? 27002:2005 ? Tecnologia da Informação ? Técnicas de segurança ? Código de prática para a gestão da segurança da informação) e do artigo 1011 do Código Civil: O administrador deverá ter, no exercício das suas funções, o cuidado e diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios. Com certeza não considerar as recomendações da norma não é um bom exemplo de probidade de executivo. Entendo que na prática, algumas questões ajudam para a existência da Insegurança da Informação: 1. A Organização não está submissa a uma legislação 2. A Organização não tem tido problemas de indisponibilidade da informação. 3. A direção não sabe que existe vazamento de informação. 4. Existe uma reação muito forte (consciente ou inconsciente) de gestores intermediários e da alta administração contra o processo de segurança da informação, pois acarretará controles e colocará regras. 5. O impacto (financeiro ou de imagem) em não se ter uma determinada informação não está adequadamente avaliado. 6. Como uma filial de uma corporação, a organização cumpre tudo o que foi exigido pela matriz. A Organização não avalia se a recomendação da matriz é suficiente e adequada às ameaças locais. 7. Até agora a área de tecnologia tem resolvido todos os problemas. 8. A existência de uma maioria de funcionários antigos cria uma falsa confiança. 9. Os principais sérviços de tecnologia da organização foram entregues a fornecedores de primeira linha e a Organização entende que eles farão a segurança. 10. Para muitos gestores a segurança vai gastar recursos e vai atrasar projetos. Se considerarmos as pequenas e médias empresas uma bela desculpa: segurança é para grandes empresas! Para esses empreendedores lembro que um problema de segurança no maior banco braileiro lhe afetará pouco, mas um problema na sua empresa, pode lhe “quebrar as pernas!” Todas as organizaçõe podem ter uma segurança adequada e compatível com seu porte.Viver em Insegurança é um atestado que o executivo não pensa na sustentabilidade do negócio da organização. A organização vive da sorte! Edison Fontes, CISM, CISA. Consultor, Professor e Autor de Livros de Segurança da Informação. Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil. [email protected] Ética: um princípio sem fim!