1. Home >
  2. Colunas >

Segurança da informação alinhada ao negócio

Author Photo
9:51 am - 14 de agosto de 2013

A segurança da informação não existe para si mesma. Ela existe para possibilitar que o negócio seja realizado com sucesso no que diz respeito aos recursos de informação. Esses recursos devem ser confiáveis, isto é:- disponíveis para a operacionalização do negócio, – corretos na informação apresentada, e – acessados apenas pelos usuários autorizados.Defino recurso de informação como qualquer elemento ou meio que possua ou registre informação de forma temporária ou permanente: computador, pessoa, papel, anotação escrita em quadro de reunião, conversa informal e todas as possíveis combinações. Afinal, atualmente respiramos informação.Sendo o negócio a razão principal do processo de segurança da informação podemos afirmar que ela deve estar sempre alinhada com o processo de negócio. Bingo! A questão é: como praticar esse alinhamento. Falar isso em palestras e em orientações de consultoria é válido, porém fica muito teórico. Compartilho com os leitores que algumas vezes fiquei frustrado com a dificuldade de algo tão simples. Após alguns quilômetros de projetos executados cheguei a alguns pontos concretos que podemos avaliar para saber se a segurança da informação está alinhada ao negócio. Destaco os principais:a) O alinhamento ao negócio é um caminho com dois sentidos.Para que haja esse alinhamento é necessário que o negócio, através dos executivos da organização desejem que a segurança da informação aconteça alinhada ao negócio. Ter uma política de segurança da informação assinada pelo presidente é um bom sinal.b) Existência do gestor da informaçãoO gestor da informação é o responsável pelo tratamento a ser dado à informação. Ele deve ser o executivo da área que cria e gerencia a informação. Os dados financeiros devem ter como gestor da informação o executivo da área financeira. É esse gestor que vai autorizar (ou não) o acesso à informação financeira por qualquer usuário que precisa dessa informação para o desempenho das suas funções profissionais.c) Continuidade do negócio: é uma questão de negócio!O tempo desejado de recuperação dos recursos de informação após uma situação de contingência que impeça a realização do negócio deve ser fornecido pelas áreas de negócio. As áreas de tecnologia e de segurança da informação devem ajudar para que essa resposta seja estruturada e viabilizar essa necessidade. Nunca a área de tecnologia deve definir esse tempo de recuperação. Essa é uma responsabilidade de negócio pois lida com a sobrevivência da organização e recursos para garantir essa sobrevivência.d) Recursos para o processo de segurança da informaçãoO processo de segurança para se concretizar precisa de recursos. Nada é grátis. É necessário o recurso financeiro, porém, não apenas isto. O tempo dos usuários para treinamento e processos de conscientização também é necessário. Posso afirmar com tranqüilidade que todas as organizações têm condições de realizar um processo de segurança da informação coerente com seu porte como organização e com o tipo do seu negócio. Não existência de recursos é um sinal de que a organização não deseja (no momento) a segurança da informação. Os motivos podem ser vários, mas, neste caso fica difícil a segurança conseguir estar alinhada ao negócio.e) Inclusão de uma etapa no desenvolvimento de novos produtosQuando a organização vai lançar (ou melhorar) um produto que exige desenvolvimento de uma solução em tecnologia da informação, normalmente temos as etapas: especificação do produto, especificação técnica, desenvolvimento da solução na tecnologia da informação, testes e implantação da solução. É necessário que após a especificação do produto exista uma especificação de segurança. Nesta etapa, antes de qualquer desenvolvimento, é necessário especificar: requisitos de disponibilidade, exigências para situações de contingência, definição do gestor da informação, definição da identificação dos usuários, tempo de guarda de cópias de segurança e alguma questão específica de controle. São requisitos de segurança para o novo produto/serviço.Cada um desses aspectos não cai do céu. Precisa ser trabalhado arduamente pela área de segurança e pela organização. Algumas vezes a organização não está esclarecida que a segurança precisa estar alinhada ao negócio. Outra característica desses aspectos é que eles exigem tempo para se concretizarem. Pode ser que na sua organização já tenham acontecido: ótimo! Se ainda não: mãos à obra e bom trabalho!

Notícias relacionadas

Notícias
Dell, Intel e FAS: projeto ESG contribui na transformação de comunidades indígenas e ribeirinhas
Notícias
Infosys compra alemã in-tech para reforçar posição na indústria automobilística
Notícias
Hospitais apostam em tecnologia para ganhar eficiência operacional
Notícias
7 oportunidades de ingressar na área de tecnologia
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.