Gestão de pessoas é essencial para segurança da informação

Um dos maiores e principais desafios dos profissionais que cuidam da Segurança da Informação nas empresas é o de garantir que nenhuma ocorrência deixe de receber a devida resposta, no momento em que ela acontece.

No entanto, o monitoramento efetivo, a identificação dos incidentes e a velocidade nas respostas vêm sendo um dos maiores gaps de boa parte dos planos de respostas a incidentes colocados em prática atualmente. Um dos maiores erros é não levar em conta o tripé: pessoas, processos e tecnologias.

Esta é a avaliação do especialista em Segurança da Informação e diretor da Strong Security Brasil, Dario Caraponale, que orienta as empresas a levarem estes três aspectos em conjunto e não separadamente, como geralmente acontece. 

“Não adianta ter as melhores ferramentas e tecnologias se a gestão dos processos e pessoas não for levada em conta e colocada no topo das prioridades. As ações não devem ser baseadas em ‘apagar incêndios’, para que as equipes corram desesperadamente para corrigirem os erros”, alerta.

O especialista sugere as seguintes cinco ações para os profissionais responsáveis pela área de Segurança da Informação:

1 – Definir política de Segurança da Informação alinhada com a Norma ISO/IEC 27000 

Muitas empresas passam anos elaborando políticas de Segurança da Informação que dificilmente conseguem ser implementadas, já que estão em desconexão com a cultura da empresa e objetivos de Negócio. 

Isso acontece também porque a capacidade de investimento da empresa em suportar a implementação desta política não foi levada em consideração;

2- Implementar Sistema de Gestão da Segurança da Informação (SGSI) 

Para a implantação deste sistema de gestão deve usar a abordagem da Norma ISO/IEC 27000, ou seja, o modelo conhecido como PDCA (Plan-Check-do-Act);

3- Manter de forma sistemática todos os processos e procedimentos 

Eles são necessários para controlar a efetiva implementação e monitoramento da política de Segurança da Informação. Nesta área, não basta apenas implementar controles. Estes devem necessariamente gerar evidências da sua existência e ser realizados de forma sistemática;

4- Realizar planos de educação e conscientização dos usuários 

Todos devem conhecer bem a política de segurança, assim como nos processos e procedimentos a serem implementados. 

Um dos elos mais fraco da corrente em um processo ou procedimento envolvendo Segurança da Informação são pessoas. Sendo assim, treinar, treinar e treinar nunca é demais;

5- Investimentos em um Security Operations Center (SOC)

O Centro de Operações de Segurança reúne uma série de procedimentos e de detecção e reação a incidentes de segurança. O SOC envolve cinco operações proativas: geração de eventos de segurança, coleta, análise e armazenamento de informações, e reação aos incidentes;

Este conjunto básico de ações deve ser mantido em operação 24 horas por dia com a utilização de ferramentas tecnológicas avançadas e adequadas. Além de garantir uma segurança da informação efetiva, o SOC permite otimizar os recursos – pessoal e infraestrutura – e garantir os melhores resultados de ROI (retorno dos investimentos).

“Somente assim será possível avançar rumo à uma Segurança da Informação com resultados positivos com indicadores e retorno dos investimentos, independente das ferramentas utilizadas”, afirma o especialista.