Se não melhorar, piora!

Confesso que já fui adepto da tese que ?em time que está ganhando não se mexe.? Mas confesso que já passei por esta fase. Foi por não mexer que (sob as pressões de patrocinadores e outras forças ocultas), que perdemos a Copa do Mundo na França. Em segurança da informação não se pode continuar sempre no estagio em que se está: se não melhorar piora!Temos que buscar uma melhoria continua. Não podemos, nem em segurança nem nas nossas vidas, permitir a estagnação. Parou, morreu! Quem não conhece pessoas que (muitas vezes com muitos recursos materiais) que parecem mais zumbis que não vivem mais, que não sabem sorrir, que não contam mais piada, que não vão para uma praia mais distante porque o carro pode se sujar?Mas, voltando a segurança da informação: é preciso que os controles e processos estejam vivos e melhorem cada dia. É importante que o nível de proteção deste mês seja melhor do que o mês passado e que o próximo mês seja melhor que o atual.Mas, primeiramente para a segurança estar viva e estar melhorando sempre, é necessário planejar. Responda rápido: sua organização sabe o que implantará em segurança da informação nos próximos doze meses? E nos próximos três anos? Se não existir este planejamento fica muito difícil a melhoria acontecer. Opa! Se você não conseguiu responder a pergunta em relação à sua organização, o sinal amarelo acendeu!Mas, para planejar é necessário saber como está o nível de segurança da informação da sua organização. Você sabe? A direção executiva sabe? Os acionistas, aqueles investidores que apostam na organização, sabem os pontos fracos e fortes em relação à proteção da informação? Eles sabem o risco que um eventual vazamento de informação pode impactar o investimento que eles fizeram?Quer melhorar: avalie como está o nível de proteção da informação, defina os controles necessários, planeje para os próximos trinta e seis meses, valide com a direção executiva, garanta que o planejamento da segurança está de acordo com as prioridades do negócio e então finalmente implante, monitore a implantação e melhore sempre.Na prática não conseguimos desenvolver um plano de segurança para todas as ameaças. Mas com avaliação periódica e planejamento sempre ajustado, a organização pode ter um nível de segurança adequado e provavelmente superior às organizações similares.Edison Fontes, CISM, CISAConsultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]?Pensar e planejar é ótimo, mas o importante é fazer e resolver!?, Zilda Arns (1935-2010).