Planejamento de segurança da informação

Em sua montagem, o planejamento estratégico em segurança da informação deve ter orientações básicas que devem proteger a estratégia a ser adotada. Entre elas, consideramos:

Estar alinhada com a legislação e políticas da organização

Todas as ações voltadas para a segurança da informação devem respeitar a legislação vigente do país e não devem ir de encontro às políticas organizacionais.

Considerar as iniciativas de negócio

A realização dos negócios da organização é a ação mais importante. Afinal, delas depende a sobrevivência da empresa. E a segurança deve garantir que o uso da informação nas diversas iniciativas de negócio esteja acontecendo de forma adequada, assim como uma proteção extremada pode acabar inviabilizando a realização de negócios.

Definir a estrutura da área de segurança

Utilizar recursos humanos próprios ou de outras áreas para os projetos? Como a área de SI fica na estrutura organizacional? Essas e outras definições a respeito da área de segurança precisam ser pré-definidos.

Definir a forma de atuação

Juntamente com a definição de sua estruturação é necessário montar a forma e o escopo de atuação da área de segurança da informação. Normalmente, fica claro que o ambiente computacional deve ser contemplado. Porém, existem assuntos que ficam em uma área nebulosa e que variam entre as organizações. Por exemplo: a proteção física, o ambiente convencional, a proteção de pessoas.

Seguindo essas orientações básicas, uma boa estratégia deve ser dividida em três elementos:

Arquitetura

O processo de segurança da informação deve seguir uma arquitetura. E é importante que seja algo possível de ser implementado. Afinal, ela possibilita a visão completa da abordagem da proteção. No meu livro ?Vivendo a Segurança da Informação? sugiro a arquitetura.

Compromisso

O comprometimento do usuário é um pilar para que a segurança da informação seja efetiva para a organização.

Ações de proteção

Aqui se enquadram todos os procedimentos, técnicos ou não, que farão movimentar a proteção da informação. Muitas vezes, porém, queremos considerar apenas esse elemento.

Esse exemplo prático de planejamento estratégico não é uma regra fechada. Utilize e faça as adaptações necessárias para a realidade da sua organização e não deixe de planejar estrategicamente a segurança da informação!