Somente organizações seguras sobreviverão! Como está a sua?

Na atual exigência de padrão corporativo e de regulamentação de mercado, somente as organizações que considerem a segurança da informação como um dos pilares mestres de governança, estarão funcionando nos próximos dez anos. Mas, tem que ser a verdadeira segurança.

Não vale a “segurança faz de conta” ou a “segurança perfumaria” onde tem um belo odor, mas passageiro. Ou a segurança onde se trabalha muito, mas totalmente sem estrutura e planejamento.

Entendo que o Processo Corporativo de Segurança da Informação garante, no que diz respeito à informação, a sobrevivência da organização, em função dos controles exigidos. Vejamos:

1. O negócio da organização existe porque existe o conjunto de conhecimento.
Novos produtos, processos, inovação. Tudo existe porque o conhecimento da organização existe. Mesmo que este conhecimento esteja na mente das pessoas. Um processo de segurança da informação vai identificar este conjunto de conhecimento e vai planejar para que estas informações formem uma base de conhecimento e seja adequadamente compartilhada de maneira segura. A segurança da informação trabalha junto com a gestão de conhecimento.

2. O processo de segurança é um processo corporativo.
A segurança da informação considera todos os ambientes de informação e deve ser corporativo. Apesar da maioria das informações da organização estar no ambiente de tecnologia, a segurança da informação não é um processo da Área de Tecnologia. Evidentemente deve existir a segurança tecnológica. Mas, a proteção da informação considera as pessoas, a cultura e o ambiente convencional da organização. Para ter a abrangência corporativa é necessária a existência de políticas e normas aprovadas pela presidência e pela direção da organização.

3. Comprometimento da direção da organização.
Sendo um processo corporativo, a direção da organização é envolvida. Mais que isto, ela está comprometida quando da validação de estratégia e do planejamento da segurança da informação, garantindo desta maneira o alinhamento da Governança Corporativa com a Governança da Segurança da Informação. Este comprometimento também acontece quando o Corpo Diretivo define o grau de risco aceito pela organização. Considerando que o Corpo Diretivo representa os interesses dos acionistas, as decisões estarão possibilitando o atendimento aos objetivos corporativos.

4. Sustentabilidade da organização.
O processo Corporativo da Segurança da Informação considera Planos de Continuidade da Organização para que a mesma possa enfrentar situações de dificuldade operacional e possa sobreviver de maneira adequada. Junto com a Gestão de Riscos de Segurança da Informação, esta proteção cobrirá de maneira proativa uma enorme gama de situações que podem acarretar grandes prejuízos e/ou retirar a organização do mercado. A segurança da informação permite a sustentabilidade da organização.

5. Combate à fraude de informação.
Uma das principais dimensões do processo Corporativo de Segurança da Informação é a Dimensão Acesso à Informação. A grande maioria das fraudes ocorridas, estão relacionadas ao conhecimento e/ou uso da informação pelos criminosos internos e externos. Controlar o acesso à informação é uma proteção que garante que a organização sobreviverá naquilo que depende da informação. Para combater a fraude interna e externa é necessário a existência de um processo de segurança da informação.

6. Funcionários ou prestadores de serviço.
Um eficiente Processo Corporativo de Segurança da Informação garantirá rígidos controles para o uso da informação e dos recursos de informação. Independente se estamos tratando com funcionários ou com prestadores de serviço. Isto permite que a organização mude com rapidez o modelo que desejar para a gestão dos recursos e dos negócios: próprios ou terceiros. Quando uma organização não possui um eficiente controle de segurança, por exemplo, desenvolvedores terminam módulos de programas e implantam no ambiente de produção, aumentando exponencialmente o risco de incidentes e problemas. Os acionistas não querem correr este tipo de risco e o processo de segurança da informação pode evitar esta situação.

7. É um processo estruturado.
O Processo Corporativo de Segurança da Informação é estruturado e permite a sua avaliação de maturidade. Esta característica possibilita a apresentação para a direção da organização da verdadeira situação dos controles, isto é, explicita a maturidade em segurança da informação, possibilitando a elaboração de um planejamento de ações baseado em critérios concretos. Desta maneira, a direção validará a recomendação de prioridade, garantindo assim que as ações de segurança estarão totalmente alinhadas com os objetivos corporativos. Isto significa exercício da governança na organização. Segurança da informação é elemento de governança.

8. Independência da Área de Segurança da Informação.
Quanto mais independente for a Área de Segurança da Informação mais chance de sucesso terá a efetividade dos controles de segurança da informação e consequentemente a sobrevivência da organização no que depende da informação. As áreas operacionais são pressionadas pela urgência do momento e muitas vezes resolvem um problema, mas aumentam exponencialmente o risco de outros incidentes muitas vezes mais devastadores ou de potencial devastador. A independência da Área de Segurança da Informação faz o contraponto para que em situações críticas, o Corpo Diretivo defina o apetite de risco para os objetivos corporativos. Porém, esta independência possibilitará uma maior proatividade das ações de proteção da informação. Somente com um Processo Corporativo de Segurança da Informação independente, a organização pode garantir controles efetivos para a informação.

Conclusão
A segurança da informação é um dos pilares mestres da organização. Sem ele, a organização não alcança seus objetivos corporativos de maneira com risco controlado. Sem ele a organização não sobrevive. Mas, se ao ler os itens acima, você chegue à conclusão que “na sua organização não é bem assim”, sugiro que trate de buscar que “seja assim”, pois do contrário a sobrevivência da sua organização “não estará garantida assim”.

Evidentemente as organizações, normalmente, estão bem em alguns controles e fracos em outros controles. Avalie e planeje a melhora da segurança da informação da sua organização. Pois na hora da verdade, a segurança será como gravidez: existe ou não existe. Não pode ser meia gravidez. Nem meia segurança.

Tenho certeza que os acionistas querem realizar as ações necessárias para a sobrevivência e sucesso da organização. Trate profissionalmente a segurança da informação.