Planeje e Planeje a Segurança. Depois execute!

Planejar a segurança da informação de uma organização demonstra o grau de profissionalismo com que o assunto é tratado. Evidentemente a execução após o planejamento faz parte do posicionamento de tratar a segurança da informação de maneira profissional.No nosso dia a dia temos todas as desculpas e motivos para não planejar a segurança da informação: incidentes ocorrendo constantemente, mudanças de prioridades, novos projetos e produtos da organização que nos chega em cima da hora, o controle operacional da segurança  e os pedidos específicos da diretoria. Entendo que estes motivos citados acima e outros similares, são motivados em 99% pela falta de planejamento e execução do que foi planejado. Não quero fugir da realidade de que o inesperado e situações de exceção acontecem e precisam ser tratadas com a máxima urgência. Mas, vejam vocês, eu disse ?situações de exceção?. Um dos grandes erros que se comete na gestão do processo de segurança é considerar a exceção como a normalidade. Exceção é exceção. E tenha cuidado, pois todas as pessoas, isso mesmo, todas as pessoas impactadas pelo processo de segurança da informação vão querer incluir situações específicas e excepcionais como normais no processo de segurança da informação. Não caia nesta armadilha. E lembre-se que esta dica não existe em nenhum manual. É fruto da experiência.Mas, não somos educados a planejar! Verdade! Às vezes nem a própria organização se planeja (verdadeiramente) e segue o planejado e vai ajustando. Estamos chegando ao final do ano e quantas vezes eu ouço de algum profissional (inclusive de grandes empresas): ?estou sobrecarregado porque tem o planejamento e orçamento do próximo ano?. Este profissional em cargo de gestor vai começar o planejamento do próximo ano no dia 15 de dezembro e precisa entregar até o dia 27 de dezembro tudo ok. Me desculpem, mas isso não é planejamento: é preenchimento de planilha de números.O planejamento tem que ser feito, pelo menos mensalmente, porque estaremos ajustando o que foi planejado com o que foi realizado, e planejamos os ajustes e/ou novas ações.Se você não tem planejado em segurança da informação faça primeiro uma avaliação de como está a sua maturidade nos requisitos descritos na norma NBR ISO/IEC 27002:2005. Considere o impacto da situação na qual esses requisitos estão com maturidade fraca. Considere a probabilidade de ameaças se aproveitarem dessas fraquezas e também considere o custo (financeiro e de tempo) para a implantação desses requisitos. Monte um caminho de execução (road map). Valide sempre com os objetivos de negócio e os objetivos da organização. A segurança só deve existir para atender esses objetivos. Este é um dos princípios da Governança em Segurança.?Mas, Edison, isto gasta muito tempo! Não tenho tempo!?, você pode imaginar!Se lhe veio este pensamento, tenha certeza que é isto mesmo. Segurança gasta tempo, exige esforço e exige tratamento profissional. Entendo que este é o caminho de um processo de segurança da informação que pratica uma boa Gestão e caminha para a Governança da Segurança.Edison Fontes, CISM, CISA  Consultor em Segurança da InformaçãoNúcleo Consultoria [email protected]