Primeiro: Política Segurança ou Gestão Risco?

O que fazer primeiro? Política de segurança da informação ou Gestão de Risco?Ao desenvolver (ou aprimorar) um processo de segurança da informação, o profissional que tem esta responsabilidade enfrenta uma questão básica: qual a prioridade a ser dada para os elementos ou dimensões da segurança? Isto se torna mais crítico quando estamos no começo de uma implantação da proteção da informação.As normas referentes à segurança da informação indicam o que deve ser feito, mas indicam muito pouco como deve ser feito. Na questão que estamos considerando, ter políticas e normas é importante e recomendável pelas normas, bem como ter uma gestão de riscos de segurança da informação. Porém na no momento em que começamos a implementar, vem a questão: o que fazer primeiro?Confesso que já tive esta dúvida. Aliás, esta e muitas outras dúvidas. Mas, umas das coisas que aprendi nestes anos em segurança da informação é que as ações não precisam ser exatamente seqüenciais. Podemos ter ações em paralelo. Sendo assim podemos estar desenvolvendo políticas e garantindo a existência e realizando a gestão de risco.Porém, a Norma NBR ISO/IEC 27005:2008 – Tecnologia da informação ? Técnicas de segurança ? Gestão de riscos de segurança da informação nos orienta:a) Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da informação e aplicada tanto à implementação quanto à operação cotidiana de um SGSI. (ABNT, 2008, p. 3).b) Em um SGSI, a definição do contexto, a análise/avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco, fazem parte da fase ?planejar?. (ABNT, 2008, p. 6).c) O escopo e os limites da gestão de riscos de segurança da informação estão relacionados ao escopo e aos limites do SGSI ? Sistema de Gestão de Segurança da Informação. (ABNT, 2008, p. 9).De maneira complementar e bem direta a Norma NBR ISO/IEC 27002:2005 ? Tecnologia da informação ? Técnicas de segurança ? Código de prática para a gestão da segurança da informação orienta o uso de controles como ponto de partida e a utilização da gestão de riscos para a identificação da relevância da implantação e existência desses controles:a) Um certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Estes controles são baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas.b) Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinado segundo os riscos específicos a que uma organização está exposta. Por isso, embora o enfoque acima seja considerado um bom ponto de partida, ele não substitui a seleção de controles, baseado na análise/avaliação de riscos. (ABNT, 2005, p. xii)Desta maneira, para uma melhor definição do escopo de controles e de ambientes em que vamos considerar para todo o processo de segurança da informação, é recomendável que a Norma Principal (Diretriz) seja definida em primeiro lugar e que a análise/avaliação de riscos seja considerada para a definição da relevância dos controles.Edison Fontes, CISM, CISA  Núcleo Consultoria em Seguranç[email protected]