Arquitetura da segurança da informação
Para desenvolver, aprimorar, implantar e dar sustentabilidade na proteção de dados da organização é necessário a definição da Arquitetura de Segurança que estamos seguindo. Sem esta definição não podemos responder adequadamente questões teóricas, de poder e práticas do porque estamos implementando e gastando recursos da organização na proteção da informação.
A figura acima é fruto da experiência de mais de três décadas de dedicação profissional ao tema segurança da informação.
Descrevemos abaixo de maneira resumida o que é cada um dos blocos da figura acima. Evidentemente cada bloco é um novo portal de controles e características que precisaremos conhecer e detalhar, para assim implementar na nossa organização.
- Processo Organizacional de Segurança da Informação.
É o processo que tem por objetivo garantir a adequada proteção da informação da informação sob responsabilidade da organização de maneira continua ao longo do tempo. Este processo define, implanta, coordena, supervisiona ou realiza controles para garantir a privacidade, o sigilo, a integridade, a autenticidade, a legalidade, a auditabilidade e a disponibilidade da informação.
Como diremos adiante, a Norma NBR ISSO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação, ABNT, 2013, é um de nossos direcionadores, definimos conceitualmente o Processo Organizacional de Segurança da Informação.
- Governança da Segurança da Informação
É a estrutura organizacional ligada à Governança Corporativa que permite garantir que as atividades de segurança da informação estão sendo executadas e direcionadas em conformidade com os objetivos da organização. A Figura 3 apresenta a Governança da Segurança da Informação.
- Direcionadores
São elementos que são tomados por base para a definição dos controles de segurança da informação. Como direcionadores obrigatórios existem a legislação brasileira, tipo a Lei de Proteção de Dados Pessoais, o Marco Cível da Internet e a Lei de Crimes Informáticos; a legislação internacional, tipo o Regulamento Europeu (EU) 2016/679 que trata de Proteção de Dados Pessoais; e padrões de mercado que a organização deve seguir, tipo PCI – Padrões de Segurança de Dados da Industria de Cartões de Pagamento ou Resoluções da Agência Reguladora.
- Gestão da Segurança da Informação
É o conjunto de ações gerenciadas que têm o objetivo garantir que o processo está controlado e sendo implementado conforme previsto e aprovado pela organização. É recomendado que seja designado um profissional experiente para exercer as funções de Gestor de Segurança da Informação. A dedicação ou se este profissional é da própria organização ou um consultor, dependerá do porte, tipo de negócio e características da organização.
- Planejamento de Ações
É necessário que exista um planejamento de ações de segurança da informação para, pelo menos, o período dos próximos três anos. Evidentemente este planejamento deve ser consequência de uma avaliação da maturidade dos controles de segurança da informação existentes na atualidade na organização e como consequência, a definição de uma priorização das ações. Este planejamento, em conformidade com a Governança da Segurança da Informação, deve ser aprovado pelo Corpo Diretivo da Organização.
A Arquitetura da Segurança da Informação proporciona a estrutura que a organização precisa seguir, baseada em necessidades de negócio. A Segurança da Informação não existe por si só. Não existe para satisfazer o ego de profissionais de proteção de dados. Bem como, ela não é exigente por acaso. Tudo acontece porque a organização tem objetivos definidos pelo Corpo Diretivo e que precisam ser atingidos. A Segurança da Organização possibilita que a organização atinja seus objetivos, no que depende do recurso informação.
Como está a segurança da informação da sua organização?
Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Segurança da Informação, Proteção de Dados Pessoais, Gestão de Risco, Continuidade de Negócio.
Núcleo Consultoria em Segurança
www.nucleoconsult.com.br