Atividades para a segurança da informação são realizadas todos os dias em todas as organizações. São importantes, mas estas ações estão cuidando de uma árvore. A organização, principalmente a Direção, precisa ter o conhecimento e a visão da floresta e do futuro desta floresta. Para isto é preciso planejar estrategicamente o Processo Corporativo de Segurança da Informação.
Mas como fazer este planejamento? O que deve ser levado em consideração? Como envolver a Direção e os demais executivos, inclusive o Conselho de Administração?
Recomendo alguns elementos que devem ser considerados no planejamento estratégico da segurança da informação. Não saia para o planejamento sem eles: você pode não sobreviver!
- Conheça os direcionadores do negócio da sua organização.
A chave do sucesso da frase acima está na palavra direcionadores. Na maioria das vezes se diz que é necessário conhecer o negócio. Concordo. Porém, mais importante e estrutural é conhecer os direcionadores que movem o negócio ou obrigam o negócio a mover-se. São estes direcionadores que devem também ser os direcionadores da segurança da informação. O que são direcionadores de negócio? Exemplo: seguir as regras do Banco Central, respeitar (verdadeiramente) o cliente, ser a melhor empresa no seu segmento.
- Tome por base uma estrutura de segurança da informação.
De uma maneira simples e direta: tome por base a Família de Normas 27.000 e outras de assuntos complementares à segurança da informação. Mas, você precisa conhecer de verdade estes normativos. Será pouco efetivo você ser um profissional de segurança da informação se você não leu pelo menos três vezes todas as normas relacionadas à segurança da informação. Ao considerar esta estrutura, teremos uma base teórica para a nossa construção prática. Acredite, isto é muito importante.
- Defina, desenvolva, aprove e publique as políticas e normas de segurança da informação da organização.
Se a sua organização ainda não tem um conjunto efetivo de políticas e normas para a segurança da informação, a primeira etapa do planejamento estratégico é a implantação destes regulamentos. Havendo este conjunto de políticas e normas, considere os controles definidos nestes regulamentos e defina o próximo elemento.
- Avalie como está a efetividade dos controles existentes de segurança da informação.
Para cada controle ou macrocontrole identifique a efetividade do mesmo. Isto é, identifique se o controle está funcionando de maneira adequada e se ele minimiza a probabilidade (o risco) de uma ameaça prejudicial à organização se concretizar.
- Considere o Risco em Segurança da Informação como parte do Risco Operacional da Organização.
Estruture, elabore e implante a Gestão de Riscos em Segurança da Informação. Mas, faça isto de maneira alinhada com a Gestão do Risco Operacional da organização. Se a sua organização não tem este conceito, apresente o mesmo no planejamento estratégico.
- Desenvolva a Governança da Segurança da Informação
Considere a Governança da Segurança da Informação alinhada à Governança Corporativa. Apresente no planejamento estratégico como acontecerá a Governança de Segurança e como será garantido este alinhamento. Inclusive a validação, pela Direção, do planejamento estratégico é uma das ações deste alinhamento.
- Siga obrigatoriamente a legislação e os normativos
Primeiramente identifique quais os normativos e leis que a organização está obrigada a cumprir. Muitas organizações não têm identificado formalmente qual a legislação e os regulamentos específicos que ela precisa seguir. Neste caso, na prática a organização vive levando sustos. Sempre aparece uma surpresa: por erro, por fraude ou por auditoria. Estes regulamentos e a legislação serão entradas junto com o resultado da avaliação de efetividade dos controles, para a elaboração do planejamento estratégico.
- Identifique certificações obrigatórias.
Dependendo do tipo de negócio da organização algumas certificações são obrigatórias para o atendimento aos objetivos corporativos. Por exemplo, as empresas que tratam com dados de cartão crédito/débito precisam ter a Certificação PCI. Outras certificações não são obrigatórias, mas, dependendo (novamente) do tipo de negócio, são altamente recomendadas.
Bem, após construir os elementos acima, estamos prontos para elaborar o planejamento estratégico. A boa notícia é que estes elementos estão interligados. Por exemplo, quando a organização faz ações para conseguir uma certificação, com certeza ela estará melhorando a efetividade dos seus controles de segurança da informação.
Um fator fundamental: para elaborar o planejamento estratégico da segurança da informação é necessária uma boa vivência profissional prática em segurança da informação. Muitos questionamentos serão feitos e você precisa ter as respostas teóricas e práticas.
A existência de um Planejamento Estratégico da Segurança da Informação permitirá uma maior transparência que facilitará a aprovação de prioridades e consequentemente permitirá uma boa Gestão da Segurança da Informação.