Politica-Seg

Segurança da Informação: Fazendo Acontecer

Estratégia, gestão, política e tecnologias são os elementos essenciais para uma efetiva proteção dos ativos de qualquer organização. Os desafios são grandes, mas alguns fundamentos ajudam você a fazer a segurança da informação acontecer. Quais são eles?

A segurança da informação é papel de todos, sem exceção

De nada adianta a própria área ou departamento conhecer as ações e necessidades de segurança da informação, se ainda há pessoas na organização que não sabem os objetivos e, pior, não se sentem responsáveis pela preservação da confidencialidade, integridade e disponibilidade das informações.

O que é fundamental é a existência de política de segurança sólida, que determina o tom da segurança para toda a empresa e informa aos funcionários o que é esperado deles. Todos os funcionários devem estar cientes dos objetivos de segurança da organização, que por sua vez são definidos por uma estratégia clara, que leva em consideração os resultados da gestão de riscos, dos requisitos de negócios e dos requisitos legais.

Política de segurança da informação acessível

A política de segurança direciona as ações de segurança da informação na organização, e só possui utilidade se for conhecida por todos da empresa.

A forma tradicional de fazer com que todos conheçam a política de segurança da organização é a assinatura de um termo, normalmente no momento da contratação, com a leitura e o compromisso de cumprimento de cada ponto estabelecido.

Já na prática, o que faz com que a política seja cumprida é o uso de ações que envolvem campanhas de segurança da informação e o uso de tecnologias que não deixam os desvios ocorrerem.

Além disso, um dos aspectos mais importantes é o uso de uma linguagem simples, clara e direta na política de segurança. E, algo que muitas vezes é subestimado pelas organizações, é a estruturação adequada da política de segurança, de modo que as pessoas tenham condições de poderem ler somente o trecho que lhe é pertinente. Um profissional da área financeira, por exemplo, não precisaria ler um trecho destinado aos administradores de sistemas, e vice-versa. A divisão entre política(s), procedimento(s) e processo(s) ajuda nesta estruturação da política de segurança, que no fundo é um conjunto de diferentes documentos que contemplam todas as diretrizes para que os negócios da organização sejam protegidos, sob o ponto de vista da segurança da informação.

Porém, o fundamento “matador” que faz com que uma política de segurança seja cumprida é a formação de uma cultura em segurança da informação.

Cultura em segurança da informação move montanhas

Um ponto que percebo em diferentes organizações é a presença (ou não) da cultura em segurança da informação. A forma como são feitos o controle de acesso físico, a existência de documentos em mesas, os acessos a áreas críticas, o nível de conectividade de rede e o que é falado nas conversas com os funcionários indicam o nível de presença de uma cultura em segurança da informação.

Em segurança da informação, vale a máxima em que o ser humano é extremamente inteligente e adaptativo, de modo que as pessoas só irão se preocupar de fato com algo se perceberem que esse algo está sendo feito. É assim com a Teoria das Janelas Quebradas, em que um sinal de deterioração leva à depredação, e é assim com a segurança da informação, em que a despreocupação da alta direção leva à negligência.

A cultura em segurança da informação é como outras culturas, que precisam de tempo, esforço e dedicação para entrar na veia de todas as pessoas da organização. Ajudam nesta formação da cultura as campanhas de conscientização, e a adoção de ações constantes, ao invés de ações isoladas.

Para se conseguir o engajamento de todos, deve ser algo compensador para todos, e deve ser baseada em interações com as tarefas do dia-a-dia, sendo incorporada em tudo o que é feito na empresa e pela empresa. Assim, a cultura deve também influenciar naquilo que a organização entrega ou vende, devendo ser incorporada nos produtos e serviços.

Abordagem top-down

A segurança da informação é de responsabilidade de todos, a começar pelo corpo executivo da organização. Para passar a mensagem a todos de que a preocupação pela preservação da organização é legítima, como membro da alta administração, participe constantemente dos programas de conscientização, cumpra à risca os procedimentos determinados (que devem ser simples), e passe mensagens positivas a todos da organização, como certificar profissionais em segurança da informação. Crie também uma comunidade ou comitê de segurança da informação.

Outro ponto que também auxilia na percepção de uma forte cultura em segurança da informação é a atualização constante, pelo menos anual, da política de segurança. Deste modo, todos da organização verão que há uma preocupação em manter atualizados as diretrizes que direcionam as ações em segurança da informação.

Lembre-se que a gestão de segurança da informação envolve o ciclo de planejar, fazer, verificar e agir, com a constante evolução da visão de segurança da sua organização. Lembre-se também que a gestão de segurança da informação está diretamente relacionada com a gestão de riscos, que inclui também o monitoramento dos riscos e a comunicação.

A realização constante e periódica de avaliação de riscos é, assim, um excelente instrumento adicional para fazer a segurança da informação acontecer, por permitir que todos da organização participem do processo e entendam os impactos envolvidos. Além disso, a gestão de riscos ajuda também no processo inverso, de “vender” a necessidade de segurança da informação para a alta administração.

Em segurança da informação, não basta estar envolvido. Todos têm que participar.

Emilio Nakamura

Mestre em Ciência da Computação pela Unicamp, possui MBA Executivo e as certificações CISSP-ISSAP, ISSMP. Já proferiu treinamentos e palestras no Brasil, Alemanha, Austrália e Inglaterra. Contribui com a comunidade de segurança da informação e comunicação há mais de 18 anos, trabalhando e criando soluções para empresas dos setores de telecomunicações, financeiro, energia, governo e varejo. Autor do livro "Segurança de Redes em Ambientes Cooperativos" que está na 10. edição, possui pedidos de patentes em áreas como proteção de infraestrutura crítica, autenticação e segurança Web. Consciente do papel da segurança da informação na evolução dos negócios e das pessoas, tem aplicado sua experiência em projetos que envolvem arquiteturas e tecnologias de segurança para tornar os negócios e sistemas mais confiáveis tanto para os usuários quanto para as empresas.