Segurança precisa de planejamento
Em todos os casos, a organização está em uma situação de emergência. Neste momento, sem sombra de dúvida, a prioridade é sair dessa situação através de uma força tarefa que concentre todos os esforços. Mas, como já dizia a vovó: “prudência e caldo de galinha não fazem mal a ninguém!” No nosso caso, o planejamento seria uma atitude muito mais prudente.
Há alguns anos o planejamento dos recursos da tecnologia da informação começou a se estruturar e tomar vida própria. Plano Diretor de Informática ou Planejamento Estratégico da Tecnologia da Informação, foram alguns dos nomes atribuídos a essa atividade. Evidentemente, os recursos de tecnologia da informação deveriam estar à serviço do negócio da organização. Passaram-se alguns anos até que este planejamento começou a existir de forma efetiva e em plena coerência com o seu negócio.
De forma mais ou menos semelhante, o processo de segurança e proteção da informação necessita de um planejamento adequado ao negócio da organização. Uma dúvida que surge é: o que deve ser considerado em um planejamento de segurança da informação Sugerimos alguns aspectos que não devem ser esquecidos.
a) Características do negócio
O processo de segurança precisa estar alinhado com as características do negócio da organização. Se estamos falando de uma universidade pública, por exemplo, ela exige requisitos diferentes de uma instituição financeira. A exigência do nível de disponibilidade e a confidencialidade da informação sempre é diferente.
b) Estrutura do negócio
Centralização ou descentralização da administração do negócio; distribuição ou concentração de poder? A forma como a organização trata a sua informação influencia a gestão da segurança do dados.
c) Plano estratégico da segurança
Depois de definidas a organização e a estrutura, pode-se elaborar um planejamento estratégico de segurança para a empresa. É o momento de definir políticas, responsabilidades, escopo dos recursos a serem protegidos, cenários a serem considerados e outros aspectos que servirão de contexto para o processo de segurança.
d) Mapear as fraquezas e priorizar ações
Com vários tipos de recursos envolvidos e várias plataformas tecnológicas, um mapeamento para a identificação das fraquezas e a definição de prioridades para a execução de ações é uma atividade fundamental. Dependendo do grau de maturidade da organização em proteção da informação, esta é uma atividade que a própria companhia pode desenvolver. Outra opção é a contratação de uma empresa especializada no tema.
e) Identificar os recursos necessários
Muitas vezes pensamos apenas na aquisição de software e equipamentos. E eles são importantíssimos, porém, muitas vezes necessitamos de um recurso que é difícil de se comprar: o tempo dos usuários. Todas as organizações precisam, sem exceção, de tempo para que seus usuários estejam conscientes na proteção a informação. Esta é a mais eficaz da saídas contra todas as situações adversas.
f) Definir níveis de segurança
Quando falamos em segurança é necessário mudar de patamar. Por exemplo: pode-se ter a melhor gestão de autenticação de usuário através de senha. Para melhorar este nível, pode-se apenas mudando o patamar com a utilização de autenticação biométrica.
Cada companhia deve definir que patamar de segurança é compatível com o seu negócio. Não existe solução certa ou errada, e sim a opção mais ou menos adequada. Como qualquer outro planejamento, é um rumo com objetivos definidos. Planeje seu processo de segurança da informação ou viva em situação de emergência! Por profissionalismo, a primeira opção é o caminho!
