Cyber Security (Segurança Cibernética) nas manchetes da mídia. Desde a guerra cibernética onde na maioria das vezes tem o objetivo de obtenção de segredos comerciais e econômicos, até os ataques criminosos ao nosso celular. Mas, para uma organização, a proteção da sua informação exige um Processo Corporativo de Segurança da Informação que contempla muitos mais aspectos do que a tecnologia. E além disto a própria Ciber Segurança precisa de normativos e definições de responsabilidade, tipo a proteção tecnológica será realizada por pessoal próprio ou prestador de serviço? Qual o nível de rigidez de proteção que teremos? Quem define e patrocina os custos desta proteção tecnológica?
Pensando em organizações, não em proteção de Estado, normalmente o ambiente tecnológico está razoavelmente protegido, com boas ferramentas e implementações. Porém os processos, responsabilidades e pessoas não estão adequadamente preparadas em segurança da informação.
O Gestor da Segurança da Informação tem a obrigação e a responsabilidade de elaborar um Processo Corporativo de Segurança da Informação estruturado, planejado, alinhado à Governança Corporativa, documentado, baseado em normativos teóricos e principalmente: implementado especificamente para a organização, considerando o seu tipo de negócio, seu porte e seu momento empresarial. Considerar o mundo teórico e o mundo “pés no chão” é o grande desafio do Gestor da Segurança da Informação. Mas como fazer tudo isto? Abaixo defino algumas orientações práticas, respeitando o espaço do texto.
1. Estruture o Processo de Segurança da Informação
Tome por base uma arquitetura de Gestão de Segurança da Informação. Minha sugestão é que você deve seguir a Norma NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de segurança – Código de prática para controles de segurança da informação, e os demais normativos da Família ISO/IEC 27000.
2. Priorize a elaboração das Políticas e Normas
A Norma 27002 define um conjunto de dimensões que compõem a segurança da informação. Todas elas são importantes, porém, eu considero algumas delas como estruturais: são dimensões que facilitam que outras dimensões sejam implementadas.
Ao elaborar as políticas e normas de segurança da informação, estaremos definindo:
– Responsabilidades (como isto é importante!!!);
– Quais controles serão considerados para a proteção da organização;
– A rigidez dos controles;
– O ciclo de vida dos controles, e;
– A abordagem para a cultura e para as pessoas.
Defina ou adote uma arquitetura para as políticas e normas de segurança. A Norma 27002 não define este detalhe. No meu livro “Políticas e Normas para a Segurança da Informação” está definida uma arquitetura para os regulamentos.
3. Realize uma Gestão de Riscos simples
Defina um escopo e um objetivo simples para a sua primeira avaliação da Gestão de Riscos de Segurança da Informação. Sugiro: avaliar a maturidade dos controles definidos nas políticas e normas de segurança da informação.
4. Documente as ações e projetos realizados
Gere a documentação para registrar suas ações em segurança. Fez avaliação de riscos? Gere um relatório. Ao longo do tempo a organização terá facilmente a descrição de como aconteceu o Processo Corporativo de Segurança da Informação.
5. Elabore um planejamento para as ações e projeto de segurança da informação
Preferencialmente após uma avaliação de riscos, mas não necessariamente. O importante é que exista o planejamento e a descrição de como foi, ou em que foi baseado este planejamento. Após elaborar o planejamento, submeta o mesmo ao Corpo Diretivo da organização. Você precisa ter a certeza que as prioridades definidas para a segurança, estão alinhadas com as prioridades da organização. Formalize este encontro e gere um documento sobre o resultado.
6. Considere as pessoas e a cultura da organização
As pessoas formam o conjunto mais influenciador para o sucesso (ou fracasso) da segurança da informação na organização. Considere a cultura da organização, analise todos os aspectos e identifique o que será necessário mudar na cultura da organização. E lembre-se: mudar cultura não é fácil, mas é possível e você é responsável em relação aos aspectos que comprometem a segurança da informação da organização.
Uma atividade constante é o treinamento periódico para todos os usuários da informação. No máximo a cada 12 meses deve existir um treinamento formal para todos os funcionários, prestadores de serviço, estagiários, menor aprendiz e conselheiros. Ou outros tipos de usuário que existam.
7. O Gestor de Segurança é amplamente responsável
Os controles de segurança da informação são necessários em uma ampla e variada gama de assuntos. Alguns destes assuntos estão sob responsabilidade direta do gestor de segurança da informação. Outros não. Mas, mesmos estes que não estão diretamente subordinados ao gestor da segurança, também estarão. Por exemplo, na sua organização, a segurança do acesso físico pode estar sob a responsabilidade de uma outra área, tipo Administração. Mas, mesmo neste caso onde a Área de Segurança da Informação não é responsável direta, o Gestor de Segurança da Informação será um responsável em segundo nível. Ele deverá saber se o responsável direto, Área de Administração no exemplo dado, está executando os controles de acesso físico de maneira adequada. A missão do Gestor de Segurança da Informação é fazer a proteção da informação acontecer, e se manter ao longo do tempo. Para tanto este gestor deve estar atento às suas obrigações, bem como às responsabilidades dos gestores.
8. Não esqueça da Ciber Segurança
A proteção técnica é importante e precisa estar inserida no processo de segurança. A Ciber Segurança tem que ser um elemento a mais que vai proteger a informação. Não esqueça que os USA tem uma excelente Ciber Segurança, mas Hilary Clinton comprometeu esta segurança do Estado quando achou mais fácil utilizar o seu e-mail particular. Nas eleições este fato foi altamente explorado pelos seus adversários, e no final perdeu a eleição para a presidência dos USA.
A segurança da informação da sua organização vai valer pela estruturação, equilíbrio, profissionalismo da implementação e sustentabilidade dos controles.