Em segurança da informação como no mundo real temos uma grande opção: podemos começar pelo simples! As demais opções não são erradas, porém, podem ser colocadas em uma prioridade seguinte.
Até na vida dos nossos pais parece difícil começar pelo simples. As pessoas foram às ruas solicitando ações simples: prioridade para saúde e educaçã, nenhum gasto público com estádios, cadeia para os condenados por corrupção, mais combate a corrupção, bem estar em primeiro lugar. Transporte bom e honesto, saúde (com médicos brasileiros) com hospitais funcionando. Simples. Direto. Mas neste caso, os políticos decidiram desviar o assunto: constituinte, plebiscito, mudança para voto distrital e outras sugestões mirabolantes. Que tal fazer o simples? Evidentemente neste caso, existem interesses escusos por trás de tudo.
Mas, voltando ao nosso assunto segurança da informação, muitas organizações começam pelo mais complicado e complexo.
A Norma NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação apresenta 133 controles para o Processo Organizacional da Segurança da Informação. É fato que esta norma, nem nenhuma outra, descreve o como fazer o desenvolvimento e implantação destes controles, mas este é um caminho das pedras.
Como sugestão para o Simples da Segurança da Informação (SSI), defina um escopo de atuação para o Processo Organizacional da Segurança da Informação e desenvolva e implante estes 133 controles.
Ao identificar estes controles, verifique que cerca de 50 controles fazem referência a uma participação da direção da organização ou das áreas de negócio da organização.
É Simples. Pergunte a sua organização: deve-se estar em conformidade com a Norma Internacional, publicada no Brasil, em português, adotada pelo Governo Federal e usada na prática pelo TCU – Tribunal de Contas da União para as suas auditorias? Se a resposta for sim, defina um Gestor da Segurança da Informação com nome, sobrenome e CPF. Isto mesmo. Tem que ser uma pessoa, um profissional com experiência. Isto feito, este profissional vai começar a fazer acontecer o Processo Organizacional da Segurança da Informação, com a avaliação dos 133 controles da Norma, e consequentemente terá condições de planejar as ações. Evidentemente depois disto é executar as ações planejadas.
Outra opção (certa), porém não simples e mais complexa e com tempo indeterminado para conclusão. NÃO RECOMENDO que prioritariamente seja feita assim. Mas, muitas organizações seguem este caminho:
1. Identifique todos os ativos de informação. Aqui vale também definir a granularidade de ativo de informação.
2. Identifique todas as ameaças, todos os riscos e todas as vulnerabilidades para cada ativo de informação.
3. Identifique uma proteção para cada um dos casos identificados no item 2.
4. Inicie neste momento uma avaliação de riscos para o que foi identificado nos itens 1, 2 e 3.
5. Envolva todos os usuários para validar os resultados dos itens 1, 2, 3 e 4.
Todos os caminhos chegam ao fim. Alguns mais rápidos, outros, de maneira mais complexa. A escolha é sua. O final também.
No Anexo 2 da minha dissertação de mestrado, estão listados os 133 controles da norma. Para um primeiro contato.
Para realizar o trabalho de um Processo Organizacional da Segurança da Informação, você precisará ter acesso e estudar toda a norma
Comece pelo simples! É simples!