Como planejar a segurança da informação?

Pontos básicos para elaboração do planejamento

Na minha experiência, a maioria das organizações não possuem um planejamento para a segurança da informação. Não pense em algo sofisticado. De uma maneira simples, prática e objetiva, planejar a segurança da informação é ter, após um longo processo, um slide, uma folha de papel ou algo equivalente com as ações previstas para os próximos 36 meses. Algo que se o presidente da empresa perguntar o que será realizado em segurança da informação, você mostra este slide e descreve as ações com início, tempo de duração, fim e prioridade.

É uma informação simples. Mas, porque na maioria das vezes as organizações, melhor dizendo, o gestor da segurança da informação não tem este plano? Respondo: porque para chegar a esta simplicidade do plano final, é necessário: experiência, conhecimento do assunto, experiência, visão de gestão, abordagem profissional e uma grande paciência.

A elaboração do planejamento da segurança da informação pode ser realizada de diversas maneiras, mas considero que alguns pontos são básicos.

Planejar é um projeto e exige tempo.
A atividade de planejamento da segurança da informação exige tempo, estudo, reuniões com outros profissionais. Planeje o tempo de planejar. Não é efetivo fazer planejamento nas sobras de tempo.

Siga um padrão de controles.
Minha sugestão é que você siga a Norma 27002:2013 que apresenta os controles suficientes para um processo de segurança da informação na organização. Todos os outros padrões, em relação à segurança da informação, se baseiam nesta norma.

Faça uma avaliação para guiar o planejamento.
Não se preocupe com detalhes. Faça uma avaliação macro dos controles de segurança descritos na Norma 27002:2013, em trinta dias. Sim, trinta dias. Mais que isto, você será convidado a deixar a organização. Alguns detalhes não serão considerados, porém este é o tempo aceitável por toda organização.

Dependendo do tamanho da sua organização, considere a participação de outros profissionais para revisar o seu trabalho.

A partir desta avaliação faça uma priorização utilizando o conceito de gestão de risco de segurança da informação. Tome por base a Norma 27005: 2008. Desta maneira você estará embasado para o item a seguir.

Proponha um plano de ações.
Baseado na avaliação de riscos e na sua experiência, proponha um plano de ações, considerando prioridades e esforço.

Faça uma primeira avaliação/apresentação.
Considere a hierarquia da sua organização e faça uma primeira apresentação para seu nível superior e se possível com as demais áreas envolvidas nas ações planejadas. Demostre o porquê da priorização e debata a coerência do plano que você propõe com as características da organização, e outros projetos.

Apresente para o Corpo Diretivo da Organização.
Considere o porte da organização e apresente para os gestores. Não esqueça que o nível de detalhamento (principalmente o falado), é inversamente proporcional ao nível hierárquico dos gestores.

Em uma apresentação para o presidente, foque nas ameaças que a organização sofre e no produto final de cada atividade ou conjunto de atividades. Se o presidente se interessar e quiser saber detalhes, aí sim, você explica minuciosamente.

Evidentemente que estes passos recomendados acima, devem ser ajustados à sua organização e às características da mesma. Mas é um rumo. Tenha a sabedoria para fazer a adaptação necessária.

Você pode questionar, tipo: “… mas, estamos em uma situação crítica, como vamos pensar em planejar?” Já fui chamado para colaborar com organizações que receberam vários pontos de auditoria relacionados a controles de segurança da informação e a foto do presidente na reunião do Conselho de Administração estava seguida de bolinhas vermelhas indicando estes apontamentos. Em uma situação destas, o planejamento imediato é atender os pontos de auditoria. Mas, este fato não deve impedir que o eficiente Gestor de Segurança da Informação planeja as ações de segurança. Vale a pena lembrar que a auditoria indica pontos e a gestão da segurança da informação é muito mais do que pontos isolados. É responsabilidade do Gestor da Segurança da Informação identificar outras ameaças e vulnerabilidades além das apontadas pela auditoria.

Conclusão
Com certeza seu planejamento vai precisar de vários ajustes e mudanças de prioridade ao longo do tempo. Ok! Bem-vindo ao mundo real. Mas tenha certeza: mesmo com planejamento não perfeito, é muito melhor do que nenhum planejamento.

À proposito, o que sua organização planeja para os próximos 36 meses em segurança da informação? Está bom! Para os próximos 12 meses, pode ser? Vá lá, e para os próximos 6 meses? Não tem? Volte para o início deste comentário.