Com a falha na segurança da informação na guarda de senhas dos usuários por parte do LinkedIn, os jornais noticiaram vários comentários de especialistas analisando as falhas. Normalmente nestes casos são comentadas as vulnerabilidades técnicas e/ou a implementação não bem feita de controles para o ambiente computacional em questão. Mas no caso do LinkedIn, um item divulgado pela mídia me chamou muita atenção: a empresa LinkedIn não possui um Gestor da Segurança da Informação, isto é, não tem um Information Security Officer.
Não vou ser simplista garantindo que caso o LinkedIn tivesse um Gestor da Segurança da Informação, o problema do vazamento de senhas não teria acontecido. Mas, sendo confirmada esta notícia divulgada pela mídia, posso afirmar com toda certeza que a não existência de um Gestor de Segurança da Informação indica que o LinkedIn não considera a proteção da informação um fator crítico de sucesso para o seu negócio. E considerando o seu tipo de negócio, esta não é uma abordagem profissional. Eu arrisco afirmar que o LinkedIn se mostrou muito amador no assunto segurança da informação.
Ter um profissional responsável pelo processo de segurança da informação possibilita de maneira mais profissional a Organização:
a) Ter um ponto focal para o assunto proteção da informação.
b) Ter maiores chances de sucesso com o processo de segurança da informação.
c) Tratar a segurança da informação como um processo organizacional e não apenas de tecnologia da informação
d) Poder interagir a gestão de riscos em segurança da informação com a gestão de riscos corporativos.
e) Ter condições de apresentar à direção executiva uma avaliação da maturidade da segurança da informação, contemplando todas as suas dimensões e realizar um planejamento estruturado.
f) Garantir o atendimento às conformidades que a organização está submetida.
g) Implementar para a segurança da informação um tratamento estruturado e compatível com o porte e negócio.
Não ter um profissional dedicado à Gestão da Segurança da Informação não é uma garantia de sucesso total para a organização, no que diz respeito à proteção da informação. Mas, não ter este profissional é garantia de fracasso. E fracasso em segurança da informação pode levar ao fracasso da organização.