O tema Governança da Segurança da Informação tem sido cada vez mais tratado nas mídias e nas organizações. Com certeza você já participou de eventos ou de roda de conversa em que este tema foi tratado. Artigos são escritos, e digamos apresentam uma boa base teórica. Mas, fica a pergunta: como faço para implementar e ter razoável sucesso na organização em que trabalho ou presto serviço? Seguem abaixo algumas recomendações que permitirá que você siga o “Caminho das Pedras” e consiga atravessar o rio do dia a dia das organizações.
1. A Governança da Segurança da Informação é única para a sua organização.
Apesar do tema ser geral, aplicável para todas as organizações, a implementação na sua organização é única. Cuidado para não se apegar a certos conceitos e engessar (e não ter sucesso) com a Governança da Segurança da Informação. Por exemplo, eu já presenciei criação de Comitês de Segurança onde não era necessário. A própria diretoria cumpre bem este papel. Analise a organização, identifique suas características e adeque aos conceitos de governança.
2. Defina os direcionadores da Segurança da Informação.
Definindo os direcionadores para o Processo Corporativo de Segurança da Informação estaremos explicitando as bases de todas as ações e faremos a ligação com controles de governança corporativa. Desta maneira estaremos elaborando a Governança da Segurança da Informação.
Considero dois tipos de direcionadores: Estruturais e Obrigatórios.
2.1. Direcionadores estruturais.
São os direcionadores que ajudam na construção do processo de segurança. Ao apresentar estes direcionadores para o Corpo Diretivo da organização, estaremos informando que nossa estrutura de controles está baseada em estruturas formais. Exemplo: Norma 27002 e demais normas da Família 2700, ITIL, COBIT, conceitos de governança.
2.2. Direcionadores obrigatórios.
São os direcionadores que a organização deve obrigatoriamente seguir. Ao apresentar estes direcionadores para o Corpo Diretivo da organização, validamos o que devemos seguir ou não. Exemplo: legislação, regulamentos do Banco Central, auditorias internas/externas, exigências de mercado tipo PCI.
Recomendo que uma das principais ações seja um cruzamento destes direcionadores com os controles de segurança considerados pelos direcionadores estruturais.
3. Desenvolva o conjunto de políticas e normas de segurança da informação.
Os regulamentos de segurança da informação devem ser desenvolvidos especificamente para a organização. Não existe receita pronta. Um Processo Corporativo de Segurança da Informação somente acontece em uma organização quando existe uma estrutura de políticas e normas de segurança da informação que reflete o que a organização (gestores) deseja de proteção da informação. Apresente para os gestores da organização as responsabilidades deles. O Presidente ou o Conselho de Administração da Organização deve assinar a política principal. Mas isto não impede que um presidente assine uma norma.
4. Avalie a maturidade em Segurança da Informação da Organização.
É fator crítico de sucesso para alcançarmos o entendimento e o comprometimento do Corpo Diretivo da Organização a apresentação da maturidade dos controles de segurança da informação. Divida pelas dimensões de segurança ou também por efetividade dos controles. É muito importante que se apresente uma fotografia desta maturidade em um slide. O presidente e os demais executivos vão gostar de saber como está a organização. Sem entrar em detalhes. Evidentemente esteja preparado para a pergunta: o que falta para a nossa organização chegar em um nível adequado?
5. Apresente um planejamento.
Baseado na maturidade dos controles de segurança da informação, apresente um planejamento de ações, considerando prioridades, facilidade de implementação, atendimento aos aspectos legais e características da organização. Explique o que será implementado de imediato e os riscos que a organização terá em função deste seu planejamento. O Corpo Diretivo da Organização precisa saber de maneira transparente estas implementações e os riscos da decisão (priorização) tomada.
Implementando a Governança da Segurança da Informação.
Na medida em que o Corpo Diretivo da Organização entende, questiona, altera e finalmente valida este conjunto de ações descritas acima, entendo que estamos praticando Governança da Segurança da Informação. Esta governança se cristaliza quando a Gestão da Segurança da Informação acontece de maneira coerente com as diretrizes acima descritas.
Evidentemente governança tem outros aspectos que devem ser considerados, mas entendo que de uma maneira prática podemos começar por estes cinco itens declarados acima.
É necessário suar muito, trabalhar muito, conhecer muito bem o processo de segurança da informação para poder levar estas questões para o Corpo Diretivo da Organização. Mas, tenha certeza na medida em que estes passos forem acontecendo, estaremos construindo uma base sólida, alinhada com os objetivos da organização, transparente, com base teórica e desenvolvida especificamente para a organização. É base para o alcance da Governança da Segurança da Informação.