Excetuando o ambiente das instituições financeiras, que comparativamente com os demais segmentos de mercado estão em um excelente patamar de proteção da informação, no Brasil muito se fala em segurança da informação, mas pouco se implementa de maneira profissional, estruturada e de maneira sustentável.
Não quero ser injusto: claro que existem organizações específicas e não financeiras que tratam a segurança da informação de maneira adequada. Mas, de uma maneira geral é muita fala e pouca ação profissional. No ano passado a nossa Presidente da República soube da vulnerabilidade de suas mensagens de correio eletrônico por causa de uma reportagem do programa Fantástico no domingo à noite. Já imaginaram se ela não assiste o Fantástico?
O que muito se fala?
1) Temos segurança!
As organizações afirmam que têm segurança da informação, mas na realidade possuem ações isoladas de segurança. Longe de se ter um Processo Corporativo de Segurança da Informação.
2) Nossos usuários são de confiança!
Normalmente esta afirmação é verdadeira. A questão é que uma organização deve ter usuários de confiança e devem ter controles de segurança da informação. A proteção da informação também existe para evitar ou minimizar erros de pessoas honestas. Além do que os criminosos e muitos concorrentes não são honestos e respeitadores da lei e politicamente corretos.
3) Nunca tivemos problema!
Também na maioria das vezes é uma afirmação verdadeira. Mas, este fato não protege para o futuro. Além do que, está mais perto da empresa ter problemas de erros ou com criminosos.
4) Existe uma Área de Segurança da Informação na Organização.
Na maioria das vezes, quando vamos detalhar esta situação, não é bem uma área: é uma pessoa, com pequena hierarquia e que exerce outra função principal, normalmente operacional. Na prática, dedica pouquíssimo tempo à Segurança da Informação. Sua melhor descrição seria Bombeiro de Segurança da Informação (apaga fogo de problemas).
5) Temos uma Política de Segurança da Informação.
Na maioria das vezes esta política é um documento confuso que os usuários na prática não leem e não existem controles que implementem e monitorem as regras descritas na política. Ou por questões de exigência de clientes ou exigências legais existem muitos regulamentos que nem a própria organização sabe (facilmente) o que tem e o que não tem de regulamento.
E o que pouco se pratica?
1) Não existe um Processo Corporativo de Segurança da Informação.
A organização não define um processo estruturado de segurança da informação, elaborado para o seu perfil empresarial e tipo de negócio. Este processo corporativo pode existir em uma organização de grande, médio e pequeno porte. O conceito é o mesmo, porém a implementação será adequada a cada organização.
Neste Processo Corporativo de Segurança da Informação devem ser consideradas as seguintes dimensões:
- Políticas e normas;
- Acesso à informação;
- Desenvolvimento de aplicativos e programas produto;
- Classificação da informação;
- Continuidade do negócio;
- Uso de Internet, Redes Sociais e Correio Eletrônico;
- Conscientização e treinamento de usuários;
- Ambiente físico;
- Proteção técnica;
- Flexibilidade operacional;
- Modelo operativo da S.I.
2) Não existe um Planejamento da Área de Segurança da Informação.
Toda Área de Segurança da Informação deve ter obrigatoriamente um planejamento para os próximos 36 meses, com prioridades e ações justificadas no atendimento ao negócio no que diz respeito ao uso da informação para o atendimento aos objetivos corporativos.
3) Não existe um Gestor da Segurança da Informação.
Não existe um profissional experiente e dedicado para o Processo de Segurança da Informação. A maioria das organizações pode ter este profissional. Organizações menores podem ter consultores em tempo parcial. Porém, uma questão é crítica, é Fator Crítico de Sucesso: este Gestor precisa ter um nível hierárquico adequado. Deve ter autonomia e deve responder para um Gestor Executivo.
4) Não existe uma arquitetura para as Políticas e Normas de Segurança da Informação.
É fundamental que os regulamentos de segurança sejam estruturados e considerem todos os aspectos para a proteção da informação.
5) Não existe o envolvimento das áreas de negócio.
As Áreas de Negócio são responsáveis pela definição da rigidez dos controles de segurança da informação. Por exemplo, em relação ao controle de autenticação de usuário: será feita somente por senha ou será exigida a senha e a biometria? Na maioria das organizações
6) A direção não é envolvida e comprometida.
O Processo de Segurança da Informação é um processo corporativo. Ele existe para possibilitar que a organização alcance os seus objetivos no que depende da informação e dos recursos de informação. Desta maneira, o direcionamento e prioridade das ações de segurança precisam ser validadas e apoiadas pela Direção Executiva da Organização. A segurança da Informação existe para a Organização.
7) Não existe um treinamento contínuo para os usuários.
É Fator Crítico de Sucesso a existência contínua de treinamento e conscientização dos usuários, sejam internos e externos da organização. E em muitas organizações, também é necessário incluir os clientes. É pela pessoa que a Segurança da Informação acontece na Organização. Não considerar este fato, significa fracasso à frente na proteção da informação.
Conclusão
Evidentemente existem outras ações que são faladas e outras que nem são executadas. Entendo que estas citadas acima são as mais comuns. Mas, para sua organização o mais importante é: como está a sua organização? Ela faz segurança? Ou apenas fala e discute muito segurança, mas tem pouca implementação? Identifique a situação da sua organização. Somente assim, poderá ser feito um planejamento de ações e o desenvolvimento de ações concretas.