Lei de acesso a informação e o processo de segurança da informação

A partir desta semana fica valendo a Lei de Acesso à Informação. Um caminho democrático para uma maior transparência das informações dos órgãos de governo em todos os níveis, das empresas onde o governo tem participação e das organizações que recebem dinheiro do governo.

A lei apresenta tempos curtos para que a entidade questionada apresente os dados solicitados. Com algumas prorrogações. Evidentemente estão fora do escopo dados classificados como secretos no seu patamar de sigilo.

Para atender estas solicitações e as demais solicitações do dia a dia, mais do que nunca os órgãos de governo e as empresas submetidas a esta lei, precisam ter um processo de segurança da informação estruturado, implantado e bem gerenciado continuamente. Este processo de segurança permite que todos os aspectos relacionados ao tratamento de proteção da informação foram seguidos e a organização pode, de maneira correta e passível de auditoria, disponibilizar as informações solicitadas pelos cidadãos.

Mas quem dentro da organização disponibilizará a informação? Quem pode disponibilizar a informação? Quem autorizou alguém a disponibilizar a informação? O acesso de leitura da informação foi apenas de leitura? Como garantir que quem acessou não fez alguma alteração? Tudo que foi feito foi registrado?  E o que foi tentado fazer, também foi registrado? E o arquivo de registro de acessos pode ser alterado?

Estas e outras questões serão levantadas ainda mais a partir desta lei. Entendo que a existência de um processo de segurança da informação é fundamental para todas as organizações. Mas, infelizmente muitas organizações (submetidas ou não a esta lei) ainda não sabem como está a gestão do seu processo de segurança. Algumas não sabem nem o que é um processo de segurança da informação.

E sua organização como está?