O Processo de Segurança da Informação, Cibersegurança e Proteção da Privacidade, assim definido nas Normas ISO Família 27000, precisa garantir a sua continuidade e a sua sustentabilidade. Para simplificar o termo, vamos chamar de segurança da informação ou proteção da informação.
O objetivo da proteção da informação é garantir que a organização alcance os seus objetivos corporativos, no que depende da informação. Simplesmente isso.
Muitas organizações implementaram vários controles (corretos) de segurança da informação, alguns com eventos festivos. Porém o mais importante é como conseguimos garantir a sustentabilidade e a melhoria contínua desta proteção. Recomendo aqui os principais desafios para garantir a continuidade, confiabilidade e aprimoramento dos controles.
- Definição da Arquitetura de Segurança da Informação
Já imaginou construir uma casa, e depois chamar o arquiteto para planejar o desenho de como deve ser a casa? Pois é isso que (incrivelmente) muitas organizações fazem em relação aos controles de segurança da informação.
Sem uma Arquitetura de Segurança da Informação especifica, a organização estará como como Alice no País das Maravilhas, quando pergunta ao Chapeleiro Maluco qual o caminho deve seguir. A resposta “Se você não sabe para onde quer ir, qualquer caminho serve.”
- Identificação da Maturidade da Gestão de Segurança
A maioria das organizações, exceto o segmento de instituições financeiras, não conhecem o Grau de Maturidade da Gestão da Segurança da Informação, isto é, o grau de Maturidade da Gestão dos Controles de Segurança. Muitas organizações implementam controles, mas não fazem Gestão dos Controles.
Fazer gestão de controle é ter definido para o controle: abrangência, regras, responsabilidade, garantia de continuidade, transparência, conformidade com legislação e comunicação com o Corpo Diretivo.
- Definição do Plano de Ação
Como consequência a Avaliação de Maturidade da Gestão de Segurança da Informação, deve ser definido um Plano de Ação baseado em um resultado de priorização, considerando impacto negativo e probabilidade de ocorrência, de cada fragilidade (vulnerabilidade) ou não conformidade que foi identificada na avaliação.
- Orientação à Gestão de Riscos
Todos os profissionais são a favor de gestão de riscos. Na prática, é pouco praticado! As organizações precisam aprender e a internalizar Gestão de Riscos, para poder implementar de maneira efetiva.
- Definição de responsabilidades
Cada organização é única. Algumas vão ter uma equipe/área de segurança da informação, outras terão um profissional dedicado que trabalha em parceria com as demais áreas da organização. O mais importante é ter muito bem definido as responsabilidades de cada ator na proteção da informação. E ter definido responsabilidades, não é simplesmente definir Matriz RACI. Desculpem, mas na minha experiencia quando começamos por aí, terminamos por aqui. É necessário elaborar um documento, fruto de um acerto prévio. Vamos fazer bem-feito!
CONCLUSÃO
Este tema é uma delícia, e podemos conversar ou escrever por horas. Apresentei aqui os principais desafios, considerando a minha experiencia e conhecimento. Existem outros desafios importantes. Mas, minha sugestão, comece por estes.
É um tema fascinante. Vamos conversar mais sobre este assunto?
Grande abraço!
