Como planejar a segurança da informação?

Final de ano sempre nos lembra (ou nos obriga) a fazermos promessas e planejamento. Os profissionais de segurança da informação também são pressionados para tal. Sendo assim vem a pergunta, mas como devo fazer o planejamento da segurança da informação? Escrevo abaixo algumas orientações objetivas e pragmáticas sobre o assunto.1. Se você está pensando somente agora em planejamento da segurança, acenda a luz amarela no seu desempenho profissional.O planejamento de segurança da informação deve ser feito e revisto mais vezes durante o ano. Se você fizer a cada três meses é um bom período. Evidentemente cada organização têm as suas características e momentos de vida. Em um período de muitas mudanças e turbulências, rever e planejar a cada mês será bastante prudente.2. O planejamento do processo de segurança da informação existe de maneira efetiva se o planejamento das áreas de negócio existir.A segurança da informação não existe por si só. Ela existe para atender os objetivos da organização. Se as áreas que planejam e executam ações para atingir esses objetivos da organização não fizerem o seu planejamento, o planejamento da segurança será limitado. Diga isto aos executivos e acionistas.3. Defina metas possíveis considerando a realidade e as características da organizaçãoPrecisamos de uma sala cofre. Porém a organização não possui um efetivo controle de acesso físico. A infra-estrutura é de chorar. Com certeza a compra de uma sala cofre (ação corretíssima em segurança) deverá ter uma prioridade menor em relação a outras ações de proteção. Vamos manter o pé no chão.4. Cuidado com as novidades. São para valer!Computação em nuvem tem sido falada constantemente. Lembre-se que o mais importante é que os requisitos de segurança da informação estejam formalizados nos regulamentos (políticas e normas). As novidades técnicas ou as novas formas de se fazer coisas antigas terão que cumprir esses requisitos.5. Não tenha medo de planejar.Planejamento e acompanhamento são ações obrigatórias de um bom profissional de segurança. Com certeza vão ter momentos da organização em que isto fica muito confuso. Mas é melhor estar confuso com um planejamento do que perdido e confuso. Faça o planejamento da melhor forma possível e formalize para os executivos e acionistas da organização. É sua obrigação profissional.6. Faça periodicamente uma avaliação da gestão do processo de segurançaEu defino que o processo de segurança da informação contém várias dimensões, tipo: acesso à informação, planejamento para contingências, ambiente físico, infra-estrutura tecnológica, conscientização das pessoas, entre outras conforme explico no meu recente livro. Mas, tudo no contexto da Norma ISO 27002. Sendo assim é imprescindível que se faça uma avaliação da efetividade dessas dimensões e que se mostre aos executivos e acionistas. Dessa maneira quando você apresentar o planejamento (que tenta melhorar essas dimensões) os executivos e acionistas já saberão do que se trata e se quiser vão continuar bancando o risco da existência de vulnerabilidades. Essa definição de aprovar (ou não) fazer é dos executivos e acionistas. A responsabilidade do profissional de segurança da informação é realizar a avaliação e planejar ações, considerando os riscos.Em resumo: planeje sempre considerando os objetivos de negócio. Se as áreas de negócio não lhe dizem o que vão fazer, planeje como fazer para que as áreas de negócio lhe digam o que vão fazer. Simples? Não! Trabalhoso e complexo porque estamos tratando com pessoas.Edison Fontes, CISM, CISAConsultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]“Meça duas vezes e corte uma!”, do grupo Imagineers criado por Walt Disney.