Os desafios do Security Officer

O cargo de Security Officer tomou destaque nos últimos anos em função do despertar das organizações para a questão da segurança da informação. Seja por causa de situações que aconteceram ou seja pela existência de legislação. Cada vez mais, fica evidente que essa proteção não pode se restringir à área de tecnologia, mas deve contemplar todo o negócio independente de como a informação se apresenta ou está armazenada. As organizações de grande porte devem ter um funcionário em nível de gestor executivo, dedicado a este aspecto. Para as médias e pequenas empresas, soluções internas ou de prestador de serviço devem ser avaliadas para uma solução específica para a organização. Em termos de Brasil, pensando de uma forma estruturada, foi no final da década de 80 que começou a surgir esta função profissional, apesar de não ter este nome específico. As instituições financeiras e as companhias aéreas representam os primeiros segmentos a se preocupar com o assunto. Isso se explica pelo tipo de informação que essas organizações utilizam. Porém naquela época, os profissionais designados para a função, estavam adentrando em um mundo desconhecido.Atualmente existem desafios que todo profissional designado para a função executiva de gestor da segurança da informação deve conhecer, enfrentar e superar. Evidentemente, sempre considerando o porte da organização e as características do negócio. De uma forma estratégica destacamos que o profissional deve:a) Estar ciente que o seu objetivo é fazer acontecer a segurançaO Security Officer é responsável pela execução do processo de segurança da informação. Ele tem que garantir que os requisitos de segurança existem, são de conhecimento dos envolvidos e são cumpridos ao longo do tempo. A responsabilidade por realizar a segurança da informação será de cada colaborador da organização: do usuário que realiza a mais simples função até o mais alto executivo.b) Construir estratégia da segurança da informaçãoO Security Officer tem que definir a abordagem estratégica que vai adotar para a organização. Esta estratégia deve:- estar alinhada às normas e procedimentos éticos da corporação; – definir a forma de atuação do grupo de segurança;- ter por base as normas e melhores práticas de mercado;- proteger os recursos de informação;- definir os controles para as novas iniciativas de negócio e – acompanhar a eficácia da proteção ao longo do tempo.c) Transmitir a visão estratégicaA direção da organização deve conhecer e compartilhar a visão estratégica da proteção da informação. De forma complementar a estratégia do negócio deve ser de conhecimento do Security Officer.Essa ?avenida de mão dupla? é um fator crítico de sucesso para a proteção da informação e possibilita a transformação da teoria em prática.d) Estruturar políticas, normas, padrões e procedimentosSou de opinião que devemos ter distintos documentos organizacionais, cada um com seu objetivo. A política explicita a filosofia da organização sobre o assunto segurança, deve ser de fácil lembrança e deve ser como os dez mandamentos: informar as regras básicas que devem ser seguidas. As normas e procedimentos tratarão do detalhamento e do como executar esses controles.e) Garantir a conscientização e treinamento das pessoasO sucesso do processo de segurança da informação depende do nível de comprometimento dos usuários. As pessoas precisam ser conscientizadas da necessidade de proteção da informação e também precisam ser treinada para fazer corretamente essa proteção.f) Lembrar que nem sempre o Security Officer sabe tudoA proteção da informação atua sobre um leque abrangente de assuntos, situações e novas tecnologias. Algumas vezes, o Security Officer não saberá detalhes de como implementar. Mas, deve saber contar com a colaboração de especialistas para a implantação adequada.Além desses desafios, o profissional de segurança da informação deve ter, pelo menos, duas características básicas: amar o que faz e ser ético. Com essas características e complementando com profissionalismo, o processo de segurança da informação existirá de forma efetiva na organização!