Saber qual é o nível de maturidade da segurança da informação de uma organização é uma tarefa complexa. Na minha atividade de Mentoria e Consultoria considero mais de duzentos controles. Então como saber de uma maneira simples se sua organização tem uma efetiva Gestão de Segurança da Informação? Como saber a maturidade da organização?
Defini abaixo dez perguntas críticas. Ou falando mais informalmente: matadoras. Responda sim ou não. O sim só pode ser considerado se realmente sua organização atender completamente a pergunta. “Ah Edison, minha empresa faz o teste mas não tem registrado. Tem planejado mas não foi apresentado para a direção da empresa”. Alguém pode dizer. E eu respondo: OK, porém sua resposta para a pergunta é Não.
Para cada sim some um ponto. No final você terá a sua nota de zero a 10. Considero uma maturidade aceitável, acima de sete. Isto é: oito, nove ou dez.
Que tal apresentar esta sua avaliação para o Corpo Diretivo? Corpo Diretivo significa a diretoria, presidência, alta gerência. Aquelas pessoas que respondem com suas cabeças perante os acionistas. E mais recentemente com a legislação tipo Proteção de Dados Pessoais, responde civil e penalmente para a sociedade e justiça.
Bom proveito e não brinque de se enganar.
1. Existe um Documento formalizando a:
- A Arquitetura de Segurança da Informação;
- Os Direcionadores Obrigatórios (leis, resoluções setoriais, exigências de controladores, similar);
- O escopo de atuação da segurança da informação;
- A Arquitetura de Políticas e Normas de Segurança da Informação?
2. Existe uma Avaliação da Maturidade da Segurança da Informação, formalizada em documento e apresentada para o Corpo Diretivo?
3. Existe um documento principal de Política de Segurança da Informação, assinado pela presidência ou aprovada pelo Conselho de Administração, definindo as diretrizes do Processo Organizacional de Segurança da Informação?
4. Existe um Plano de Ação para os próximos 36 meses, priorizando as atividades ou projetos de segurança da informação, aprovado pelo Corpo Diretivo?
5. Existe a definição formal, aprovado pelo Corpo Diretivo, registrado em documento, do tempo de indisponibilidade de informação que cada área de negócio suporta antes de entrar em colapso?
6. Foi realizado um teste planejado e registrado em documento, para situação de indisponibilidade da informação para todas ou para um grupo de áreas de negócio?
7. Existe um Termo de Uso da Informação contendo as responsabilidades dos funcionários e prestadores de serviço em relação ao tratamento da informação da organização?
8. Foi realizado nos recentes doze meses um treinamento para todos (funcionários, diretores, conselheiros, prestadores de serviço, estagiários e aprendizes), em relação às responsabilidades para com a informação da organização?
9. Existe um planejamento estruturado e validado pelo Corpo Diretivo em relação ao tratamento para a Proteção de Dados Pessoais?
10. Existe um profissional experiente como Gestor da Segurança da Informação, respondendo para o Corpo Diretivo da organização e independente da Área de Tecnologia da Informação?