Inimigos da segurança da informação – Meliante 4
=> Não ter um plano de ação estruturado, priorizando as ações de segurança e possibilitando o alinhamento com as atividades do negócio da organização.Este comportamento é o nosso quarto inimigo para um processo de segurança de informação efetivo.Tenho contato com muitos gestores de segurança da informação. Na grande maioria dos casos esse gestor até sabe do que a organização precisa, mas não tem isso formalizado (Vide inimigo 2) e muito menos tem isso priorizado em um plano de ação. Algumas vezes está tudo para o próximo semestre que evidentemente não vai poder ser cumprido e ai fica um círculo vicioso: não recebe recursos porque não entrega produto visível para a organização e não entrega produto porque tem muita coisa por fazer.Tenho ousado recomendar um plano de ação quando realizo uma consultoria sobre a gestão da segurança. Sei que às vezes pode parecer algo arriscado: dizer que o plano de contingência somente deve ser iniciado nos próximos 12 meses para que seja implantado nos próximos 24 meses é uma dessas situações. Chega um purista (inocente ou cara de pau): ?Mas como? Plano de contingência é a sobrevivência da companhia! Temos que começar ontem!? E aí nunca começa. Porque era para começar ontem e ontem já foi e amanhã ainda não chegou. Prefiro ser profissional e recomendar a implantação de um plano de contingência somente no vigésimo quarto mês, porque a organização está uma bagunça em termos de segurança: não tem gestor da informação, não tem política de cópias de segurança (Backup), não possui políticas e outros regulamentos em relação ao acesso à informação, os usuários não estão conscientizados e além do que se for implantado melhorias físicas simples o ambiente de tecnologia estará bem protegido e com um baixo nível de risco para ameaças tipo incêndio, falta de energia e outras situações.Na situação acima citada é mais prioritário fazer a melhoria física, elaborar regulamentos, garantir a existência de cópias de segurança e outras ações estruturais. Vamos começar pelo começo. Em segurança vale muito pouco o ôba ôba. Em segurança é importante começar pela base e aí construir um belo edifício, porém, realizando manutenção constante.Ouse planejar! Dessa forma você terá a possibilidade de alinhar a segurança com as prioridades das ações de negócio e sem notar estará praticando a Governança da Segurança da Informação. Edison Fontes, CISM, CISA.Consultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]?Meu corpo está na terra, minha cabeça nas estrelas?, RUTH GORDON, Filme: Ensina-me a viver.