Manter com sucesso o Processo Organizacional de Segurança da Informação é um desafio que precisa ser alcançado todo dia. A cada dia é necessário realizar ações para que a segurança da informação não caia no lugar comum. Muitas organizações começam a proteger a sua organização, fazem aquela festa inicial e depois a coisa muda de figura: regulamentos de segurança ficam desatualizados, as regras são quebradas pelas várias situações de exceção, os usuários não sabem o que é mandatório e o que não é, a direção já não dedica o tempo necessário para as decisões estratégicas e ninguém sabe mais para onde vai a segurança nos próximos anos.
A efetividade da segurança acontece pelas ações do dia a dia, baseadas em um planejamento estratégico e operacional para este processo.
Algumas abordagens possibilitam a continuidade da segurança da informação na organização:
1. Existência do Plano Estratégico da Segurança da Informação
Baseado em uma avaliação da efetividade da gestão das dimensões da segurança da informação, deve-se elaborar o Plano Estratégico da Segurança da Informação. Uma das maiores dificuldades na gestão da segurança é a priorização das ações em segurança da informação. Tudo em segurança é importante. Mas temos limitação de tempo e outros recursos e precisamos priorizar ações. Além do que, algumas dimensões ou controles são estruturais. Somente com este plano é que o Gestor de Segurança poderá validar com a Direção Executiva da Organização, as ações de segurança.
2. Existência de um Gestor da Segurança da Informação
O Processo Organizacional da Segurança da Informação precisa ter um Gestor dedicado. Empresas médias e de grande porte têm condições de ter (internamente ou como consultoria) um recurso dedicado à segurança da informação. A dedicação é motivada pela responsabilidade sobre o tema. Não é conveniente este gestor ser responsável por outras funções na Organização. Na minha experiência, na prática, se este profissional tiver outras atividades, a segurança será a atividade que ficará em segundo plano e a consequência é a não efetividade da proteção da informação.
3. Comitês de Segurança da Informação deve ser para validar a estratégia
Comitês de Segurança da Informação devem existir para validar, ajustar, alterar o plano de segurança proposto pelo Gestor da Segurança da Informação. Este Comitê tem a responsabilidade de garantir o alinhamento com os objetivos da Organização. Porém, entendo que um Comitê de Segurança não pode ficar discutindo se será concedido o acesso à informação para um determinado usuário. Se o Gestor da Informação fez um bom trabalho, existirá na Organização políticas, normas e procedimentos que definirão o Gestor da Informação e a autorização de acesso à informação é uma questão que apenas seguirá as regras. Isto não deve impedir a existência de um Grupo Operacional de Segurança da Informação que pode se reunir em um período mais curto para debater e solucionar questões operacionais não previstas ou emergenciais.
4. O foco da Segurança da Informação são os objetivos da Organização
A segurança da informação não existe por si só. Não existe para ela mesma. Não existe por causa de relatórios de auditoria. Como diz em todas as suas palestras e cursos o meu Guru Thomas Peltier, segurança da informação existe para permitir que a organização alcance seus objetivos, no que depende da informação e dos recursos de informação. Existindo esta diretriz e estando clara para todos, o Processo Organizacional de Segurança da Informação acontecerá com mais profissionalismo e consequentemente com mais facilidade.
5. Não esquecer as pessoas
O sucesso da segurança da organização depende das pessoas, de todos os usuários. Independente do cargo hierárquico deste usuário. Evidentemente cada cargo ou cada função possui responsabilidades diferentes. Mas, temos que lembrar que antes de ser um recurso de informação, a pessoa é um recurso da organização. Antes de tudo a organização é responsável como o recurso pessoas será tratado e valorizado dentro desta organização. Se o clima organizacional está péssimo, consequentemente o processo de segurança da informação terá maiores dificuldades. Por outro lado, se as pessoas são valorizadas, provavelmente elas terão uma postura profissional e atenderão os controles da segurança da informação com uma reação de cumprir regras para o bem da organização.
Ter a informação segura de maneira compatível com o porte e com o tipo de negócio é uma tarefa complexa, trabalhosa, porém possível. Exige tempo, experiência profissional do gestor de segurança, desejo verdadeiro da direção e comprometimento dos usuários.
Além do que, não existe segurança grátis! Nem almoço!