Elementos estruturais de segurança da informação!

Para facilitar a vida daqueles que desejam implementar e manter um processo de segurança da informação existem hoje normas (ISO 27001, ISO 27002, ISO 27005, ISO15999 Partes 1 e 2) e estruturas de gestão de TI (COBIT) e de serviços de TI (ITIL). A grande questão para aqueles que estão iniciando e/ou já assumiram responsabilidades de gestor da segurança da informação em organizações é como iniciar ou manter da forma mais efetiva, isto é, de maneira eficiente e eficaz ao longo do tempo.Para complicar temos o operacional que consome todo o tempo disponível.Existem alguns elementos no processo de segurança da informação que são estruturais e permitirão que as demais ações sejam realizadas com mais facilidade. Destaco:a) Gestor da informaçãoToda informação deve ter o seu gestor que é a pessoa que autorizará (ou não) quem poderá ou que perfil/grupo poderá ter acesso à informação. Qualquer tipo de acesso a essa informação terá que ter a autorização deste gestor. Ele deve ser da área que da organização que gera e é responsável pela informação. Informação de pessoas, o gestor deve ser o executivo da área de RH.b) Gestor do usuárioCada usuário (funcionário, prestador de serviço e estagiário) deve ter um gestor responsável pela vida da identificação desse usuário. Normalmente é o chefe para os funcionários e estagiários e o gestor de contratos para o prestador de serviço. É de responsabilidade desse gestor garantir que quando um funcionário deixar a organização a sua identificação será bloqueada/cancelada. Dependendo da sofisticação do ambiente de tecnologia essa ação será mais ou menos automática.c) Políticas e normas A organização precisa ter políticas e normas de segurança da informação, de maneira estruturada e fácil de todos entenderem. Adianta muito pouco ter um único documento de muitas páginas com todas as recomendações, regras, responsabilidades e outras orientações. d) Conscientização e treinamento de usuárioOs usuários precisam ser treinados e conscientizados periodicamente. Pelo menos uma vez por ano é necessário se ter um treinamento formal. A segurança da informação acontece pelas pessoas. e) Exemplo dos executivosOs executivos e gestores são a personificação da organização. Se eles não cumprirem e não derem exemplo a mensagem para os demais usuários é de que a segurança é um monte de regulamentos que ficarão guardados na estante, ou melhor, na Intranet.f) Consciência de que segurança exige recursoImplementar e manter um processo de segurança da informação na organização exige recursos: financeiros, de tempo e de pessoas. Todo que possuir segurança terá um custo maior. Evidentemente teremos benefícios posteriores: menor risco, retorno de investimento, menor perda. Mas, não podemos esquecer: segurança custa recursos.Se você tiver esses elementos bem definidos e bem resolvidos na organização tenha certeza que os demais passos em segurança da informação serão mais simples, porém continuarão muito trabalhosos e exigirão dedicação completa.Edison Fontes, CISM, CISA.Consultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]?Tudo que deve ser feito, merece ser bem feito.?