Como planejar a Segurança da Informação?

O assunto planejamento não é um assunto simples. Ouço com atenção muitos especialistas falares sobre o tema e toda vez após essas oportunidades sinto uma série de duvidas e às vezes me vêm um pensamento: ?Não vou conseguir fazer o planejamento necessário!? Será que primeiramente eu terei que entender toda a teoria do tema?Como estamos em início de ano, sempre é bom pensar e fazer planejamento. Sendo assim faço uma sugestão para alterar um pouco o título deste comentário: Como planejar de uma maneira prática a segurança da informação? Seguem algumas recomendações:1. Planejamento é um processo contínuo.Se esta é a primeira vez que você está planejando a segurança da informação da sua organização, parabéns! Mas, lembre-se só existe uma primeira vez. Com isso eu quero dizer que não vale você fazer o planejamento agora, esquecer tudo durante o ano e no início do próximo ano fazer um novo primeiro planejamento. O planejamento para ter sucesso é obrigatório que ele seja um processo contínuo.2. Delimite o campo que o planejamento consideraráÉ necessária que esteja bem definido e explícito qual a área de abrangência do planejamento. É de toda a Corporação? É somente de uma determinada área organizacional? Evidentemente quanto mais áreas forem consideradas, melhor. Mas seja honesto com você mesmo e faça a limitação do campo que será verdadeiramente considerado no planejamento.3. Considere o planejamento da organização A segurança da informação existe para possibilitar que a organização alcance seus objetivos de negócio no que depende dos recursos de informação. Sendo assim é fundamental saber o planejamento da organização para possibilitar que o planejamento da segurança da informação fique alinhado ao da organização.4. Considere o planejamento da Tecnologia da Informação (TI)Sabemos que segurança da informação é muito mais abrangente que o ambiente de TI. Mas, sem sombra de dúvidas a maioria das informações da organização está armazenada e é processada no ambiente de tecnologia, no ambiente computacional. Sendo assim precisamos conhecer o planejamento de TI para realizarmos o planejamento de segurança da informação de maneira coerente.5. Defina quem vai validar o planejamento da segurança da informaçãoA Governança Corporativa facilitou muito a compreensão de que planejamentos de Tecnologia da Informação e de Segurança da Informação devem ser validados ou referendados por Comitês Executivos.6. Conheça o seu grau de maturidade em segurança da informaçãoA segurança da informação possui várias dimensões. É necessário você saber como a sua organização está madura em cada uma delas. É preciso identificar as fraquezas da sua organização em termos de segurança da informação para criar um planejamento considerando o risco de segurança.7. Agora: planeje!Agora você tem condições de planejar como devem acontecer os projetos da segurança da informação. Se você seguir os itens anteriores terá mais facilidade na condução e fechamento do processo de planejamento da segurança da informação. Evidentemente você é responsável para elaborar o plano de ação, mas com certeza você estará mais amparado do porque da prioridade de cada elemento que deve ser feito: prioridade da organização ou uma fragilidade dos controles de segurança que precisas ser implantado ou aprimorado.8. Depois: acompanhe!Será de pouca valia se você fizer o planejamento, mas não acompanhar e não ficar sabendo dos ajustes que se farão necessários ou novas necessidades.Planejar não é uma tarefa fácil. Mas, também não é nada tão estratosférico como alguns especialistas querem nos convencer.  Planeje agora e planeje sempre!Edison Fontes, CISM, CISA  Núcleo Consultoria em Seguranç[email protected]