A segurança da informação existe para que a organização alcance seus objetivos corporativos naquilo que depende da informação ou de recursos de informação. Elaborei esta definição, baseada nos ensinamentos do meu Guru Thomas Peltier. Portanto se o foco é o conjunto de objetivos corporativos, o CEO (Chief Executive Officer) deve estar comprometido.
Porém, o que um CEO deve saber de segurança da informação? Não precisa conhecer em profundidade. O CEO precisa receber informações confiáveis para priorizar as ações, considerando os requisitos do negócio, o porte e as limitações da organização. Descrevo abaixo os dez principais temas ou itens que este executivo precisa ter a obrigação de conhecer.
1. Segurança da Informação é um Processo Corporativo e o CEO é responsável pela sua existência!
A segurança da informação não é uma atividade exclusivamente da área de tecnologia da informação, nem existe para atender pontos de auditoria. O CEO deve garantir a existência do Processo Corporativo de Segurança da Informação da organização. Este processo deve considerar o ambiente digital (bits) e o ambiente material (átomos). Ele considera todas as áreas da organização e todas as formas de comunicação e tratamento da informação: estruturada ou não estruturada como redes sociais ou redes de mensagens.
2. O sucesso da Segurança da Informação é proporcional ao poder de independência da área.
Quanto mais autonomia a Área de Segurança da Informação possuir, mais chances de sucesso o Processo Corporativo de Segurança da Informação terá. Minha sugestão é que esta área reporte ao CEO. Desta maneira ela poderá transmitir com total liberdade o grau de maturidade de segurança da informação a organização possui e como as demais áreas estão colaborando ou impedindo a proteção da informação.
3. É obrigatória a existência de um Gestor da Segurança da Informação. Com nome e sobrenome.
O Processo Corporativo de Segurança da Informação exige para o seu andamento adequado a dedicação de um gestor específico. Que tenha experiência e conheça o assunto da maneira completa. Evidentemente em organizações menores, este gestor pode ser um consultor que pode ter dedicação parcial.
4. O grau de maturidade da sua organização em Segurança da Informação e receber uma recomendação de planejamento.
O Gestor da Segurança da Informação deve apresentar ao Corpo Diretivo da organização, a situação do nível de maturidade em segurança da informação da organização e deve também propor uma priorização de ações que será validada ou alterada pelo CEO junto com o Corpo Diretivo da organização.
5. Segurança da Informação não é Compliance. Segurança possibilita o Compliance.
A segurança da informação se cristaliza pelos regulamentos (políticas e normas) e pelas ações que implementarão estes regulamentos. Com a existência dos controles definidos nos regulamentos, o Compliance pode ser realizado.
6. Segurança da Informação é um processo proativo. O CEO não deve receber notícias bomba.
O Processo Corporativo de Segurança da Informação deve ser estruturado e deve planejar todos os macrocontroles que a organização deve ter, o CEO deve saber quais os macrocontroles estão implementados e os que não tem. Mas, nunca um CEO pode ser pego “de surpresa” sobre um ponto que ninguém nunca o alertou: seja em uma reunião do conselho, seja em um relatório de auditoria. Pontos de auditoria não são surpresas para o CEO, quando o CEO contratou um bom e experiente Gestor da Segurança da Informação.
7. O CEO deve apoiar a Segurança da Informação, deve ser exemplo e exigir que seu Corpo Diretivo seja exemplo.
O CEO deve explicitamente apoiar o Processo Corporativo de Segurança da Informação, ser um exemplo e deve exigir que o primeiro escalão da organização também seja um exemplo. Apoiar não significa que a segurança vai estar acima de todas as prioridades. Apoiar significa que a segurança da informação será considerada de maneira profissional e compatível com a organização.
8. A organização deve buscar 100% de segurança.
Muitos dizem que 100% em segurança é impossível. Essas mesmas pessoas querem 100% de garantia de que o voo que vão fazer de São Paulo para o Rio de Janeiro é seguro. Eu afirmo que é possível termos 100% de segurança desde que seja definido os controles que queremos considerar e ter um escopo e cenário definidos. É um esforço e uma sabedoria profissional. Mas, se não seguirmos nesta linha, a organização vai ficar lamuriando que 100% não é possível e por isto a segurança não está boa. O CEO deve exigir 100% de segurança com controles explícitos.
9. É necessário seguir uma estrutura.
Recomendo que seja tomada por base teórico-prática a Família de Normas ISO/IEC 27000. É um padrão internacional, da ISO, traduzido para o português, aprovada e publicada pela ABNT, utilizada pelo Banco Central, SUSEP e outros órgãos regulamentadores. No exterior é tomada por base para atender a lei americana SOX (Sarbanes-Oxley).
10. A Segurança da Informação exige recursos.
O Processo Corporativo de Segurança da Informação exige recursos. Não acontece por milagre ou obra e graça de uma entidade divina. A organização utiliza recursos: financeiros, tempo, de criação, de cultura, de espaço na agenda do Corpo Diretivo e outros recursos. O recurso financeiro é o mais falado, mas não é o único. Muito pode ser feito com pouco recurso financeiro. Porém, ainda hoje existem organizações que no seu planejamento estratégico e no planejamento operacional com seus respectivos orçamentos, não consideram a segurança da informação.
O CEO não precisa ser um especialista em segurança da informação para proteger adequadamente a organização. Precisa estar consciente das suas responsabilidades e precisa contar com um bom Gestor da Segurança da Informação.
A propósito, o CEO da sua organização sabe de tudo isto?