Todas as atividades relacionadas á segurança da informação são muito importantes, mas nem todas as ações são cuidadas com atenção. Toda a organização, principalmente a Direção, precisa ter o conhecimento e a visão de toda a rede. Para isto é preciso planejar estrategicamente o Processo Corporativo de Segurança da Informação.
Mas como fazer este planejamento? O que deve ser levado em consideração? Como envolver a Direção e os demais executivos, inclusive o Conselho de Administração?
Abaixo separamos algumas recomendações que devem ser levadas em consideração no planejamento estratégico da segurança da informação. Vamos lá:
1. Conheça os direcionadores do negócio da sua organização.
A chave do sucesso da frase acima está na palavra direcionadores. Na maioria das vezes se diz que é necessário conhecer o negócio. Porém, mais importante é conhecer os direcionadores que movem o negócio ou obrigam o negócio a mover-se. São este direcionadores que devem também ser os direcionadores da segurança da informação.
2. Tome por base uma estrutura de segurança da informação.
De uma maneira simples e direta: tome por base a Família de Normas ISO 27.000 e outras de assuntos complementares à segurança da informação. Mas, você precisa conhecer de verdade estes normativos. Será pouco efetivo você ser um profissional de segurança da informação se você não leu pelo menos três vezes todas as normas relacionadas à segurança da informação.
3. Defina, desenvolva, aprove e publique as políticas e normas de segurança da informação da organização.
Se a sua organização ainda não tem um conjunto efetivo de políticas e normas para a segurança da informação, a primeira etapa do planejamento estratégico é a implantação destes regulamentos. Havendo este conjunto de políticas e normas, considere os controles definidos nestes regulamentos e defina o próximo elemento.
4. Avalie como está a efetividade dos controles existentes de segurança da informação.
Para cada controle ou macrocontrole identifique a efetividade do mesmo. Isto é, identifique se o controle está funcionando de maneira adequada e se ele minimiza a probabilidade (o risco) de uma ameaça prejudicial à organização se concretizar.
5. Considere o Risco em Segurança da Informação como parte do Risco Operacional da Organização.
Estruture, elabore e implante a Gestão de Riscos em Segurança da Informação. Mas, faça isto de maneira alinhada com a Gestão do Risco Operacional da organização. Se a sua organização não tem este conceito, apresente o mesmo no planejamento estratégico.
6. Desenvolva a Governança da Segurança da Informação
Considere a Governança da Segurança da Informação alinhada à Governança Corporativa. Apresente no planejamento estratégico como acontecerá a Governança de Segurança e como será garantida este alinhamento. Inclusive a validação, pela Direção, do planejamento estratégico é uma das ações deste alinhamento.
7. Siga obrigatoriamente a legislação e os normativos
Primeiramente identifique quais os normativos e leis que a organização está obrigada a cumprir. Muitas organizações não têm identificado formalmente qual a legislação e os regulamentos específicos que ela precisa seguir. Neste caso, na prática a organização vive levando sustos. Sempre é aparece uma surpresa: por erro, por fraude ou por auditoria. Estes regulamentos e a legislação serão entradas junto com o resultado da avaliação de efetividade dos controles, para a elaboração do planejamento estratégico.
8. Identifique certificações obrigatórios
Dependendo do tipo de negócio da organização algumas certificações são obrigatórias para o atendimento aos objetivos corporativos. Por exemplo, as empresas que tratam com dados de cartão crédito/débito precisam ter a Certificação PCI. Outras certificações não são obrigatórias, mas, dependendo (novamente) do tipo de negócio, são altamente recomendadas.
Bem, após construir os elementos acima, estamos prontos para elaborar o planejamento estratégico. A boa notícia é que estes elementos estão interligados. Por exemplo, quando a organização faz ações para conseguir uma certificação, com certeza ela estará melhorando a efetividade dos seus controles de segurança da informação.
Um fator fundamental: para elaborar o planejamento estratégico da segurança da informação é necessária uma boa vivência profissional prática em segurança da informação. Muitos questionamentos serão feitos e você precisa ter as respostas teóricas e práticas.
A existência de um Planejamento Estratégico da Segurança da Informação permitirá uma maior transparência que facilitará a aprovação de prioridades e consequentemente permitirá uma boa Gestão da Segurança da Informação.