COMUNIDADE

Somente organizações seguras sobreviverão! Como está a sua?

Na atual exigência de padrão corporativo e de regulamentação de mercado, somente as organizações que considerem a segurança da informação como um dos pilares mestres de governança, estarão funcionando nos próximos dez anos. Mas, tem que ser a verdadeira segurança. Não vale a “segurança faz de conta” ou a “segurança perfumaria” onde tem um belo […]

Na atual exigência de padrão corporativo e de regulamentação de mercado, somente as organizações que considerem a segurança da informação como um dos pilares mestres de governança, estarão funcionando nos próximos dez anos. Mas, tem que ser a verdadeira segurança.

Não vale a “segurança faz de conta” ou a “segurança perfumaria” onde tem um belo odor, mas passageiro. Ou a segurança onde se trabalha muito, mas totalmente sem estrutura e planejamento.

Entendo que o Processo Corporativo de Segurança da Informação garante, no que diz respeito à informação, a sobrevivência da organização, em função dos controles exigidos. Vejamos:

  1. O negócio da organização existe porque existe o conjunto de conhecimento.

Novos produtos, processos, inovação. Tudo existe porque o conhecimento da organização existe. Mesmo que este conhecimento esteja na mente das pessoas. Um processo de segurança da informação vai identificar este conjunto de conhecimento e vai planejar para que estas informações formem uma base de conhecimento e seja adequadamente compartilhada de maneira segura. A segurança da informação trabalha junto com a gestão de conhecimento.

  1. O processo de segurança é um processo corporativo.

A segurança da informação considera todos os ambientes de informação e deve ser corporativo. Apesar da maioria das informações da organização estar no ambiente de tecnologia, a segurança da informação não é um processo da Área de Tecnologia. Evidentemente deve existir a segurança tecnológica. Mas, a proteção da informação considera as pessoas, a cultura e o ambiente convencional da organização. Para ter a abrangência corporativa é necessária a existência de políticas e normas aprovadas pela presidência e pela direção da organização.

  1. Comprometimento da direção da organização

Sendo um processo corporativo, a direção da organização é envolvida. Mais que isto, ela está comprometida quando da validação de estratégia e do planejamento da segurança da informação, garantindo desta maneira o alinhamento da Governança Corporativa com a Governança da Segurança da Informação. Este comprometimento também acontece quando o Corpo Diretivo define o grau de risco aceito pela organização. Considerando que o Corpo Diretivo representa os interesses dos acionistas, as decisões estarão possibilitando o atendimento aos objetivos corporativos.

  1. Sustentabilidade da organização

O processo Corporativo da Segurança da Informação considera Planos de Continuidade da Organização para que a mesma possa enfrentar situações de dificuldade operacional e possa sobreviver de maneira adequada. Junto com a Gestão de Riscos de Segurança da Informação, esta proteção cobrirá de maneira proativa uma enorme gama de situações que podem acarretar grandes prejuízos e/ou retirar a organização do mercado. A segurança da informação permite a sustentabilidade da organização.

  1. Combate à fraude de informação

Uma das principais dimensões do processo Corporativo de Segurança da Informação é a Dimensão Acesso à Informação. A grande maioria das fraudes ocorridas, estão relacionadas ao conhecimento e/ou uso da informação pelos criminosos internos e externos. Controlar o acesso à informação é uma proteção que garante que a organização sobreviverá naquilo que depende da informação. Para combater a fraude interna e externa é necessário a existência de um processo de segurança da informação.

  1. Funcionários ou Prestadores de Serviço

Um eficiente Processo Corporativo de Segurança da Informação garantirá rígidos controles para o uso da informação e dos recursos de informação. Independente se estamos tratando com funcionários ou com prestadores de serviço. Isto permite que a organização mude com rapidez o modelo que desejar para a gestão dos recursos e dos negócios: próprios ou terceiros. Quando uma organização não possui um eficiente controle de segurança, por exemplo, desenvolvedores terminam módulos de programas e implantam no ambiente de produção, aumentando exponencialmente o risco de incidentes e problemas. Os acionistas não querem correr este tipo de risco e o processo de segurança da informação pode evitar esta situação.

  1. É um processo estruturado

O Processo Corporativo de Segurança da Informação é estruturado e permite a sua avaliação de maturidade. Esta característica possibilita a apresentação para a direção da organização da verdadeira situação dos controles, isto é, explicita a maturidade em segurança da informação, possibilitando a elaboração de um planejamento de ações baseado em critérios concretos. Desta maneira, a direção validará a recomendação de prioridade, garantindo assim que as ações de segurança estarão totalmente alinhadas com os objetivos corporativos. Isto significa exercício da governança na organização. Segurança da informação é elemento de governança.

  1. Independência da Área de Segurança da Informação

Quanto mais independente for a Área de Segurança da Informação mais chance de sucesso terá a efetividade dos controles de segurança da informação e consequentemente a sobrevivência da organização no que depende da informação. As áreas operacionais são pressionadas pela urgência do momento e muitas vezes resolvem um problema, mas aumentam exponencialmente o risco de outros incidentes muitas vezes mais devastadores ou de potencial devastador. A independência da Área de Segurança da Informação faz o contraponto para que em situações críticas, o Corpo Diretivo defina o apetite de risco para os objetivos corporativos. Porém esta independência possibilitará uma maior proatividade das ações de proteção da informação. Somente com um Processo Corporativo de Segurança da Informação independente, a organização pode garantir controles efetivos para a informação.

Conclusão

A segurança da informação é um dos pilares mestres da organização. Sem ele, a organização não alcança seus objetivos corporativos de maneira com risco controlado. Sem ele a organização não sobrevive. Mas, se ao ler os itens acima, você chegue à conclusão que “na sua organização não é bem assim”, sugiro que trate de buscar que “seja assim”, pois do contrário a sobrevivência da sua organização “não estará garantida assim”.

Evidentemente as organizações, normalmente, estão bem em alguns controles e fracos em outros controles. Avalie e planeje a melhora da segurança da informação da sua organização. Pois na hora da verdade, a segurança será como gravidez: existe ou não existe. Não pode ser meia gravidez. Nem meia segurança.

Tenho certeza que os acionistas querem realizar as ações necessárias para a sobrevivência e sucesso da organização. Trate profissionalmente a segurança da informação.

Grande abraço.

 Edison Fontes, CISM, CISA, CRISC

Coordenador do Comitê de Segurança da Informação da ABSEG.

Estrategista, Consultor e Gestor: Segurança da Informação, Riscos, Continuidade e Combate à Fraude, Compliance.

edison@pobox.com

www.nucleoconsult.com.br

 

Comentários
As opiniões dos artigos/colunistas aqui publicados refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nessa publicação.

Notícias Relacionadas

Copyright 2017 IT Mídia. Todos os direitos reservados.
É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da IT Mídia.