O Corpo Diretivo, pessoa ou grupo de pessoas que são responsáveis pelo desempenho e conformidade da organização, tem a responsabilidade de “garantir que a abordagem para a segurança da informação seja eficiente, eficaz, aceitável e alinhada com os objetivos e estratégias de negócios”. É assim de maneira explícita e sem deixar dúvidas que a Norma NBR ISO/IEC 27014:2013 descreve a responsabilidade para o direcionamento da segurança da informação.
Entendo que na prática, é necessário que a organização possua um Gestor da Segurança da Informação, para propor a abordagem mais adequada para a organização, e baseado nesta proposição o Corpo Diretivo validará ou fará as devidas alterações/ajustes e definirá oficialmente qual o rumo e qual o direcionamento do Processo Corporativo da Segurança da Informação.
Um dos pontos básicos é a posição organizacional do Gestor da Segurança da Informação. Caso este profissional não tenha a independência adequada, a organização nunca terá uma segurança efetiva. Poderá ter boas ações de segurança, mas serão ações pontuais, ações para apagar fogo de situações críticas.
Outro ponto importante é o planejamento e priorização das ações para a segurança da informação. Para tanto, o Gestor da Segurança da Informação deve propor e o Corpo Diretivo deve validar esta proposição. Evidentemente o Gestor da Segurança da Informação deve conhecer os objetivos da organização e deve propor este planejamento baseado nestes objetivos. Porém, cabe ao Corpo Diretivo e somente a ele, a responsabilidade de aprovar este planejamento. Isto significa; cumpra-se.
A execução das ações de segurança da informação devem ser coordenadas pelo Gestor da Segurança da Informação, com o apoio da Gerência Executiva, que é a pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo Corpo Diretivo para a implementação de estratégias e políticas para alcançar o propósito da organização.
Na minha experiência, um dos primeiros elementos necessários para cristalizar, para corporificar a aprovação do Corpo Diretivo e pelo comprometimento da Gerência Executiva, é a elaboração (ou aprimoramento) das Políticas de Segurança da Informação. Os regulamentos gerados apresentarão o padrão de segurança que a organização obrigatoriamente deseja seguir, explicita as novas responsabilidades e declara a rigidez dos controles de segurança da informação. Isto feito, está traçado o que se quer e como sequer. Caberá agora a definição do ritmo de execução das atividades. Este ritmo depende de recursos de tempo, financeiro, dedicação das pessoas, pressão da legislação e pressão do mercado.
A organização que deseja ter uma boa segurança para a sua informação precisa estruturar de maneira profissional como acontecerá esta proteção. O comprometimento do Corpo Diretivo e da Gerência Executiva é fundamental, é fator crítico de sucesso. Além, evidentemente, do profissional dedicado para a Gestão da Segurança da Informação.
Como sua organização trata a segurança da informação? Abordagem profissional ou “faz de conta”?