Segurança da Informação no Brasil: muito se fala, pouco se pratica!
Excetuando o ambiente das instituições
financeiras, que comparativamente com os demais segmentos de mercado estão em
um excelente patamar de proteção da informação, no Brasil muito se fala em
segurança da informação mas pouco se implementa de maneira profissional,
estruturada e de maneira sustentável.
Não quero ser injusto: claro que existem
organizações especificas e não financeiras que tratam a segurança da informação
de maneira adequada. Mas, de uma maneira geral é muita fala e pouca ação
profissional. No ano passado a nossa Presidente da República soube da
vulnerabilidade de suas mensagens de correio eletrônico por causa de uma
reportagem do programa Fantástico no domingo à noite. Já imaginaram se ela não
assiste o Fantástico?
O que muito se fala?
1. Temos
segurança!
As organizações afirmam que têm segurança da
informação, mas na realidade possuem ações isoladas de segurança. Longe de se
ter um Processo Corporativo de Segurança da Informação.
2. Nossos
usuários são de confiança!
Normalmente esta afirmação é verdadeira. A
questão é que uma organização deve ter usuários de confiança e devem ter
controles de segurança da informação. A proteção da informação também existe
para evitar ou minimizar erros de pessoas honestas. Além do que os criminosos e
muitos concorrentes não são honestos e respeitadores da lei e politicamente
corretos.
3. Nunca
tivemos problema!
Também na maioria das vezes é uma afirmação
verdadeira. Mas, este fato não protege para o futuro. Além do que, está mais
perto da empresa ter problemas de erros ou com criminosos.
4. Existe
uma Área de Segurança da Informação na Organização.
Na maioria das vezes, quando vamos detalhar
esta situação, não é bem uma área: é uma pessoa, com pequena hierarquia e que
exerce outra função principal, normalmente operacional. Na prática, dedica
pouquíssimo tempo à Segurança da Informação. Sua melhor descrição seria
Bombeiro de Segurança da Informação (apaga fogo de problemas).
5. Temos
uma Política de Segurança da Informação.
Na maioria das vezes esta política é um
documento confuso que os usuários na prática não leem e não existem controles
que implementem e monitorem as regras descritas na política. Ou por questões de
exigência de clientes ou exigências legais existem muitos regulamentos que nem
a própria organização sabe (facilmente) o que tem e o que não tem de
regulamento.
E o que pouco se pratica?
1. Não existe
um Processo Corporativo de Segurança da Informação.
A organização não define um processo
estruturado de segurança da informação, elaborado para o seu perfil empresarial
e tipo de negócio. Este processo corporativo pode existir em uma organização de
grande, médio e pequeno porte. O conceito é o mesmo, porém a implementação será
adequada a cada organização.
Neste Processo Corporativo de Segurança da
Informação devem ser ser consideradas as seguintes Dimensões:
– Políticas e normas.
– Acesso à informação.
– Desenvolvimento de aplicativos e programas
produto.
– Classificação da informação.
– Continuidade do negócio.
– Uso de Internet, Redes Sociais e Correio
Eletrônico.
– Conscientização e treinamento de usuários.
– Ambiente físico.
– Proteção técnica.
– Flexibilidade operacional.
– Modelo operativo da S.I.
2. Não
existe um Planejamento da Área de Segurança da Informação.
Toda Área de Segurança da Informação deve ter
obrigatoriamente um planejamento para os próximos 36 meses, com prioridades e
ações justificadas no atendimento ao negócio no que diz respeito ao uso da
informação para o atendimento aos objetivos corporativos.
3. Não
existe um Gestor da Segurança da Informação.
Não existe um profissional experiente e
dedicado para o Processo de Segurança da Informação. A maioria das organizações
pode ter este profissional. Organizações menores podem ter consultores em tempo
parcial. Porém, uma questão é crítica, é Fator Crítico de Sucesso: este Gestor
precisa ter um nível hierárquico adequado. Deve ter autonomia e deve responder
para um Gestor Executivo.
4. Não
existe uma arquitetura para as Políticas e Normas de Segurança da Informação.
É fundamental que os regulamentos de segurança sejam
estruturadas e considerem todos os aspectos para a proteção da informação.
5. Não
existe o envolvimento das áreas de negócio.
As Áreas de Negócio são responsáveis pela
definição da rigidez dos controles de segurança da informação. Por exemplo, em
relação ao controle de autenticação de usuário: será feita somente por senha ou
será exigida a senha e a biometria? Na maioria das organizações
6. A
direção não é envolvida comprometida
O Processo de Segurança da Informação é um
processo corporativo. Ele existe para possibilitar que a organização alcance os
seus objetivos no que depende da informação e dos recursos de informação. Desta
maneira, o direcionamento e prioridade das ações de segurança precisam ser
validadas e apoiadas pela Direção Executiva da Organização. A segurança da
Informação existe para a Organização.
7. Não existe
um treinamento continuo para os usuários.
É Fator Crítico de Sucesso a existência
contínua de treinamento e conscientização dos usuários, sejam internos e
externos da organização. E em muitas organizações, também é necessário incluir
os clientes. É pela pessoa que a Segurança da Informação acontece na
Organização. Não considerar este fato, significa fracasso á frente na proteção
da informação.
Conclusão
Evidentemente existem outras ações que são
faladas e outras que nem são executadas. Entendo que estas citadas acima são as
mais comuns. Mas, para sua organização o mais importante é: como está a sua
organização? Ela faz segurança? Ou apenas fala e discute muito segurança mas
tem pouca implementação? Identifique a situação da sua organização. Somente assim,
poderá ser feito um planejamento de ações e o desenvolvimento de ações
concretas.
Grande abraço,
Edison Fontes.
Prof. Ms.
Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Gestão de
Risco, Continuidade de Negócio.
Autor de cinco livros sobre o tema segurança da
informação.
