Por onde (re) começar a segurança da informação?

É muito importante entendermos que existe um conjunto de dimensões que devem ser consideradas no processo de segurança da informação: políticas, gestão de risco, conformidade (compliance), acesso à informação, desenvolvimento de sistemas, aquisição de produtos, proteção técnica, continuidade de negócio, flexibilidade operacional, classificação da informação e ambiente físico.Sempre que apresento o assunto segurança faço questão de explicitar esse conjunto de ações. Afinal a segurança será tão boa quanto for o pior nível desses elementos. É importante que todos os aspectos sejam contemplados. É pouco efetivo estar excelente em uma dimensão e estar péssimo em outra.Porém, na prática, no nosso mundo real cheio de limitações e restrições, sou constantemente exigido de indicar quais as dimensões mais importantes. É uma situação delicada pois como eu falei não existe mais ou menos importante. Porém, como (muitas vezes) não podemos (re) iniciar todas as dimensões, posso orientar que existem dimensões estruturais. São aquelas que formam a base para outras dimensões ou facilitam a implementação do conjunto.Seguem abaixo as dimensões estruturais para um processo de segurança da informação:1. Políticas e normasA existência de regulamentos tipo políticas e normas facilita a implantação das demais dimensões em segurança da informação. É através desses regulamentos que a organização explicita a sua diretriz e o nível de proteção desejado. Quando uma política indica que a organização deve estar preparada para funcionar, sob certos parâmetros, quando de uma situação de contingência, está indicando que deve-se ter um projeto de continuidade de negócio, com o objetivo de se ter recursos de informação disponíveis mesmo em situação de contingência.2. Acesso à informaçãoEsta dimensão trata do uso da informação pelos usuários. É básica para garantir que a informação é acessada por usuários autorizados e válidos na organização. Problemas e fraudes acontecem na maioria das vezes por falta de controle no acesso à informação. Este aspecto também exige a concretização do conceito de gestor da informação e do gestor do usuário. A organização começa a entender que a área de negócio também tem responsabilidades.3. Conscientização dos usuáriosConforme o título do meu segundo livro, o usuário faz a diferença. Sempre se diz que a pessoa humana é o elo frágil no processo de segurança. É verdade. Digo, é uma meia verdade. É meia verdade porque a pessoa humana também pode ser o elemento forte e o elemento que vai fazer a segurança da informação acontecer. O usuário precisa ser conscientizado e treinado em segurança da informação.Esses são os aspectos estruturais da segurança da informação. (Re) Comece por eles, mas, não esqueça dos demais.Edison Fontes, CISM, CISA.Consultor ExecutivoNúcleo Inteligência Consultoria, Participa ABSEG, ISACA e InfoSecCouncil.[email protected]Ética! Um princípio sem fim!