Como planejar estrategicamente a Segurança da Informação?

Author Photo
2:08 pm - 10 de junho de 2015

Atividades para a segurança da informação são
realizadas todos os dias em todas as organizações. São importantes, mas estas
ações estão cuidando de uma árvore. A organização, principalmente a Direção,
precisa ter o conhecimento e a visão da floresta e do futuro desta floresta.
Para isto é preciso planejar estrategicamente o Processo Corporativo de
Segurança da Informação.

 

Mas como fazer este planejamento? O que deve
ser levado em consideração? Como envolver a Direção e os demais executivos,
inclusive o Conselho de Administração?

 

Recomendo alguns elementos que devem ser
considerados no planejamento estratégico da segurança da informação. Não saia
para o planejamento sem eles: você pode não sobreviver!

 

1.
Conheça os direcionadores do negócio da sua organização.

A chave do sucesso da frase acima está na
palavra direcionadores. Na maioria das vezes se diz que é necessário conhecer o
negócio. Concordo. Porém, mais importante e estrutural é conhecer os
direcionadores que movem o negócio ou obrigam o negócio a mover-se. São este
direcionadores que devem também ser os direcionadores da segurança da
informação. O que são direcionadores de negócio? Exemplo: seguir as regras do Banco
Central, respeitar (verdadeiramente) o cliente, ser a melhor empresa no seu
segmento.

 

2. Tome
por base uma estrutura de segurança da informação.

De uma maneira simples e direta: tome por base
a Família de Normas 27.000 e outras de assuntos complementares à segurança da
informação. Mas, você precisa conhecer de verdade estes normativos. Será pouco
efetivo você ser um profissional de segurança da informação se você não leu
pelo menos três vezes todas as normas relacionadas à segurança da informação. Ao
considerar esta estrutura, teremos uma base teórica para a nossa construção
prática. Acredite, isto é muito importante.

 

3. Defina,
desenvolva, aprove e publique as políticas e normas de segurança da informação
da organização.

Se a sua organização ainda não tem um conjunto
efetivo de políticas e normas para a segurança da informação, a primeira etapa
do planejamento estratégico é a implantação destes regulamentos. Havendo este
conjunto de políticas e normas, considere os controles definidos nestes
regulamentos e defina o próximo elemento.

 

4. Avalie
como está a efetividade dos controles existentes de segurança da informação.

Para cada controle ou macrocontrole identifique
a efetividade do mesmo. Isto é, identifique se o controle está funcionando de
maneira adequada e se ele minimiza a probabilidade (o risco) de uma ameaça prejudicial
à organização se concretizar.

 

5. Considere
o Risco em Segurança da Informação como parte do Risco Operacional da
Organização.

Estruture, elabore e implante a Gestão de Riscos
em Segurança da Informação. Mas, faça isto de maneira alinhada com a Gestão do
Risco Operacional da organização. Se a sua organização não tem este conceito,
apresente o mesmo no planejamento estratégico.

 

6. Desenvolva
a Governança da Segurança da Informação

Considere a Governança da Segurança da
Informação alinhada à Governança Corporativa. Apresente no planejamento
estratégico como acontecerá a Governança de Segurança e como será garantida
este alinhamento. Inclusive a validação, pela Direção, do planejamento estratégico
é uma das ações deste alinhamento.

 

7. Siga
obrigatoriamente a legislação e os normativos

Primeiramente identifique quais os normativos e
leis que a organização está obrigada a cumprir. Muitas organizações não têm
identificado formalmente qual a legislação e os regulamentos específicos que
ela precisa seguir. Neste caso, na prática a organização vive levando sustos.
Sempre é aparece uma surpresa: por erro, por fraude ou por auditoria. Estes
regulamentos e a legislação serão entradas junto com o resultado da avaliação
de efetividade dos controles, para a elaboração do planejamento estratégico.

 

8.
Identifique certificações obrigatórios

Dependendo do tipo de negócio da organização algumas
certificações são obrigatórias para o atendimento aos objetivos corporativos.
Por exemplo, as empresas que tratam com dados de cartão crédito/débito precisam
ter a Certificação PCI. Outras certificações não são obrigatórias, mas,
dependendo (novamente) do tipo de negócio, são altamente recomendadas.

 

Bem, após construir os elementos acima, estamos
prontos para elaborar o planejamento estratégico. A boa notícia é que estes
elementos estão interligados. Por exemplo, quando a organização faz ações para
conseguir uma certificação, com certeza ela estará melhorando a efetividade dos
seus controles de segurança da informação.

 

Um fator fundamental: para elaborar o
planejamento estratégico da segurança da informação é necessária uma boa
vivência profissional prática em segurança da informação. Muitos questionamentos
serão feitos e você precisa ter as respostas teóricas e práticas.

 

A existência de um Planejamento Estratégico da
Segurança da Informação permitirá uma maior transparência que facilitará a
aprovação de prioridades e consequentemente permitirá uma boa Gestão da
Segurança da Informação.

 

Grande abraço,

 

Edison Fontes.

Prof. Ms.
Edison Fontes, CISM, CISA, CRISC

Consultor-Gestor em Segurança da Informação,
Gestão de Risco, Continuidade de Negócio.

Autor de livros sobre segurança da informação.

[email protected]

www.nucleoconsult.com.br

 

 

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.