Segurança alinhada ao negócio
Definimos que a segurança da informação está alinhada quando ela possibilita que a organização desenvolva diversas formas de negócio por meio dos recursos de informação que estarão adequadamente protegidos e disponíveis. Esses recursos de informação viabilizarão os processos e as atividades da organização.
Se desejamos ter sucesso nessa questão, devemos entender que alinhamento ao negócio é um caminho de duas vias de sentidos opostos. Na primeira, o processo de segurança deve buscar atender aos requisitos de negócio. Na segunda, deve acontecer o prévio esclarecimento pela área de negócio ou produto de quais são os seus requerimentos e necessidades em relação aos recursos de informação. Quando não encarado dessa forma, o alinhamento pode até ser alcançado, porém acontecerá com mais atritos e em um tempo mais longo.
Identificamos se uma organização deseja esse alinhamento a partir de ações concretas. A área de segurança da informação deve:
a) Participar no desenvolvimento de produtos e sistemas
O gestor da segurança da informação deve participar, desde o início, do processo de desenvolvimento de sistemas e do processo de desenvolvimento de novos negócios. Envolver a segurança da informação apenas na última semana quando o sistema ou produto está prestes a entrar em produção não é uma boa prática para organizações que desejam verdadeiramente esse alinhamento.
b) Ter um nível hierárquico adequado
A área de segurança da informação deve se reportar a um nível hierárquico que possibilite a sua atuação sem sofrer restrições. Não deve estar limitada por um superior hierárquico que impeça que alguma vulnerabilidade seja identificada; principalmente a que se relaciona a esse superior. Tendo a independência adequada, o gestor da segurança da informação poderá influenciar no desenvolvimento de sistemas e produtos, definindo requisitos de proteção, mesmo que eles exijam um custo que não foi previsto pela área que conduz o projeto.
c) Conhecer o planejamento estratégico
É fundamental que o gestor da segurança da informação conheça o planejamento estratégico da organização para fazer o seu plano de pesquisa e ação. Por exemplo: se a organização pretende desenvolver produtos de forma descentralizada e precisa utilizar comunicação sem fio (uma tecnologia recente), é necessário que a área de segurança da informação se antecipe, encontre soluções e produtos que atendam à necessidade de negócio e sejam eficientes ao longo do tempo, bem como coerentes com a tecnologia legada da organização.
d) Planejar estrategicamente
A área de segurança, tendo recebido as devidas informações, deverá estruturar o seu planejamento estratégico e definir como serão as suas ações que cristalizarão esse planejamento e possibilitarão que o negócio aconteça de forma protegida em relação aos recursos de informação.
e) Seguir o negócio
Quem deve orientar o sentido e o ritmo dos acontecimentos é o negócio. A realização do negócio é o processo mais importante de qualquer organização. Muitas vezes o profissional de segurança é tentado a acreditar e a agir que a segurança precisa ser feita pela simples razão da organização existir. Não! A segurança existe por causa do negócio e deve ser adequada à sua forma de realização, respeitando a legislação, a conduta ética e as características da organização.
Falar de alinhamento da segurança ao negócio é fácil. Realizar as ações necessárias para que esse alinhamento aconteça é difícil. Mas a segurança da informação deve ser uma questão de estratégia da organização. É difícil no início, mas depois fica fácil.
