Segurança Informação e os Objetivos da Organização

Author Photo
9:51 am - 14 de agosto de 2013

A Segurança da Informação está alinhada ao negócio? Está alinhada aos objetivos da Organização?Estas são perguntas que constantemente vêm à tona. Afinal, as boas práticas indicam que o processo de segurança da informação deve estar alinhado ao negócio. Aliás, a gestão da tecnologia da informação também. Ah, me lembrei de mais uma: a área de recursos humanos. Opa tem outra: a área de marketing!E o principal: a área de negócios deve estar alinhada com os objetivos da organização!Sendo assim, pensando com mais calma, todas as áreas e processos da organização devem estar alinhadas com os objetivos de negócio. Isto significa que estar alinhado com o negócio deve ser uma decisão e orientação organizacional. A organização, ou melhor, os executivos da organização precisam definir e querer que todas as partes da organização estejam alinhadas com os objetivos de negócio.Evidentemente que cada gestor de área e processos deve ter esta preocupação, porém, este alinhamento é uma via de mão dupla. Se a liderança da organização tem características tipo:- não transparência, – da filosofia do ?manda quem pode e obedece quem tem juízo?, – não se preocupa em fazer um planejamento conjunto, e- entende que as áreas devem correr atrás e cumprir o que foi definido,será mais difícil acontecer o tão esperado alinhamento. Haverá uma corrida para atender o que foi definido.Isto não quer dizer que a organização vai ter grande prejuízos. Apenas é uma maneira de trabalhar. Porém, que não podemos ter como expectativa um alinhamento adequado das áreas com os objetivos de negócio. Teremos correria em busca de atender ao negócio.Em termos do processo de segurança da informação indico algumas dicas para você identificar facilmente se existe o alinhamento com o negócio:1. Participação em projetos desde o inícioA área de segurança da informação participa (ou pelo menos tem conhecimento) dos projetos desde o seu (projeto) início. 2. Custo da segurançaOs requisitos de segurança que são originários de requisitos de negócio devem ser orçados e defendidos pelas áreas de negócio. Ao seguir esta filosofia, o orçamento de segurança da informação vai ser o necessário para sua manutenção. Custos de segurança para os projetos e justificativas de retorno devem estar nas áreas geradoras dos projetos.3. TreinamentoA conscientização e treinamento em segurança da informação deve ser uma atividade incluída nos processos de recursos humanos. Isto é um requisito de pessoas. Evidentemente o conteúdo deve ser de responsabilidade da área de segurança, mas a operacionalização do treinamento e a garantia de que as pessoas foram treinadas é de RH.4. Gestor de InformaçãoA existência do Gestor da Informação é fundamental para o processo de segurança. Isso faz com que as diversas áreas da organização sejam responsáveis pela liberação da informação, avaliação do nível de risco que a organização suporta e tenha a responsabilidade de identificar as necessidades de conformidade (compliance) que a organização deve seguir em relação àquela informação.5. Hierarquia da Área de Segurança da InformaçãoQuanto mais independente for a Área de Segurança da Informação, mais chances se tem de sucesso do processo de proteção da informação e mais chances se tem de um perfeito alinhamento com os objetivos de negócio.Entendo que existem outras evidencia de um bom alinhamento com as áreas de negócio. Mas, avalie a sua organização em relação a estes cinco itens citados acima. É um bom começo.Edison Fontes, CISM, CISA  Núcleo Consultoria em Seguranç[email protected]  

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.