O Executivo de uma Organização não precisa saber tudo sobre segurança da informação. Mas, ele tem a responsabilidade, legal, de agir para a Segurança da Informação. O Executivo precisa estar ciente dos seguintes aspectos-características da Segurança da Informação
1. O Executivo é o responsável pela existência do Programa Organizacional de Segurança da Informação.
O Programa Organizacional de Segurança da Informação é um processo, como seu próprio nome diz, da companhia que tem como objetivo proteger a informação da Organização. Este executivo precisa apoiar explicitamente este processo porque as regras e controles que serão implantados trarão impactos no poder das pessoas e exigirão novas responsabilidades.
2. A segurança é para a organização. Não é para a TI.
A Área de Tecnologia da Informação é importantíssima para uma efetiva Segurança da Informação. Mas, ela é um meio. Não é o fim. Não se faz a segurança para TI, mas se faz a segurança com a TI.
3. Existe espionagem pelos concorrentes.
Em vários e diferentes graus de sofisticação e de procedimentos politicamente não corretos, os concorrentes da Organização buscam informação da sua empresa. E os espiões não chegam com uma vestimenta de espião. Pode ser um funcionário de vários anos na companhia, um chefe que tem toda a confiança da direção, um simples estagiário que realiza as cópias tipo Xerox de documento e tira uma cópia a mais, um prestador de serviço de uma grande empresa tipo o espião Edward Snowden que abriu os segredos da NSA ou um simples faxineiro que acessa todos os relatórios… jogados fora.
4. A Segurança da Informação exige um Gestor dedicado.
Para que o processo de Segurança da Informação exista e se mantenha é necessário um profissional dedicado ao assunto. Este profissional será o responsável pelo Programa Organizacional da Segurança da Informação, fará com que este programa seja adequado aos objetivos da Organização e consequentemente atenda à Governança Corporativa, planeje as ações e monitore estas ações. Este Gestor da Segurança é a pessoa de confiança do executivo e por isso ele precisa ter um nível hierárquico adequado. Ele não deve ficar em baixo da Área de Tecnologia da Informação. Caso isto aconteça às prioridades de segurança estarão subordinadas às prioridades de TI e as limitações do Gestor de TI. De repente o Gestor de TI bloqueia uma ação de segurança porque vai comprometer o orçamento de TI ou porque vai apresentar uma vulnerabilidade em TI que o Gestor de TI deveria a muito ter solucionado.
5. O Executivo é quem aprova (ou não) o planejamento das ações em Segurança da Informação.
O Gestor da Segurança da Informação tem a obrigação de manter um planejamento e priorização de ações para os próximos três anos. Este plano de ação deve ser levado ao Executivo da Organização para que ele verifique se as prioridades propostas pelo Gestor da Segurança da Informação estão alinhadas com as prioridades e objetivos da Organização. Esta validação ou alteração ou rejeição do plano de ação é uma responsabilidade obrigatória do Executivo.
6. Buscar o bom e depois o Ótimo.
Falo isto com bastante tranquilidade, pois sou defensor do Ótimo em Segurança da Informação. Porém, na maioria das vezes precisamos primeiro atingir o Bom para depois partirmos para o Ótimo. Isto é ter os pés no chão. Porém, se um Executivo exige que o Gestor de Segurança implante (de cara) o Ótimo, poderá fazer com que este Gestor de Segurança, se não tiver maturidade suficiente para questionar o Executivo, comece a desenvolver projetos faraônicos, lindos, com belos nomes, desenvolvidos em parcerias com grandes empresas, porem que levarão anos a serem implantados. E neste período (normalmente longo) a Organização fica desprotegida.
7. O Executivo não pode “lavar as mãos” como Pilatos.
O Executivo precisa decidir sobre o Programa Organizacional de Segurança da Informação e informar isso para os acionistas, evidentemente se ele não for o acionista principal. É preciso porque, em caso de problemas graves, o Executivo arruma sua pasta e parte para outra, enquanto os acionistas ficam com o prejuízo.