A segurança da informação não existe para si mesma. Ela existe para possibilitar que o negócio seja realizado com sucesso no que diz respeito aos recursos de informação. Esses recursos devem ser confiáveis, isto é:

- disponíveis para a operacionalização do negócio,
- corretos na informação apresentada, e
- acessados apenas pelos usuários autorizados.

Defino recurso de informação como qualquer elemento ou meio que possua ou registre informação de forma temporária ou permanente: computador, pessoa, papel, anotação escrita em quadro de reunião, conversa informal e todas as possíveis combinações. Afinal, atualmente respiramos informação.

Sendo o negócio a razão principal do processo de segurança da informação podemos afirmar que ela deve estar sempre alinhada com o processo de negócio. Bingo! A questão é: como praticar esse alinhamento. Falar isso em palestras e em orientações de consultoria é válido, porém fica muito teórico. Compartilho com os leitores que algumas vezes fiquei frustrado com a dificuldade de algo tão simples. Após alguns quilômetros de projetos executados cheguei a alguns pontos concretos que podemos avaliar para saber se a segurança da informação está alinhada ao negócio. Destaco os principais:

a) O alinhamento ao negócio é um caminho com dois sentidos.
Para que haja esse alinhamento é necessário que o negócio, através dos executivos da organização desejem que a segurança da informação aconteça alinhada ao negócio. Ter uma política de segurança da informação assinada pelo presidente é um bom sinal.

b) Existência do gestor da informação
O gestor da informação é o responsável pelo tratamento a ser dado à informação. Ele deve ser o executivo da área que cria e gerencia a informação. Os dados financeiros devem ter como gestor da informação o executivo da área financeira. É esse gestor que vai autorizar (ou não) o acesso à informação financeira por qualquer usuário que precisa dessa informação para o desempenho das suas funções profissionais.

c) Continuidade do negócio: é uma questão de negócio!
O tempo desejado de recuperação dos recursos de informação após uma situação de contingência que impeça a realização do negócio deve ser fornecido pelas áreas de negócio. As áreas de tecnologia e de segurança da informação devem ajudar para que essa resposta seja estruturada e viabilizar essa necessidade. Nunca a área de tecnologia deve definir esse tempo de recuperação. Essa é uma responsabilidade de negócio pois lida com a sobrevivência da organização e recursos para garantir essa sobrevivência.

d) Recursos para o processo de segurança da informação
O processo de segurança para se concretizar precisa de recursos. Nada é grátis. É necessário o recurso financeiro, porém, não apenas isto. O tempo dos usuários para treinamento e processos de conscientização também é necessário. Posso afirmar com tranqüilidade que todas as organizações têm condições de realizar um processo de segurança da informação coerente com seu porte como organização e com o tipo do seu negócio. Não existência de recursos é um sinal de que a organização não deseja (no momento) a segurança da informação. Os motivos podem ser vários, mas, neste caso fica difícil a segurança conseguir estar alinhada ao negócio.

e) Inclusão de uma etapa no desenvolvimento de novos produtos
Quando a organização vai lançar (ou melhorar) um produto que exige desenvolvimento de uma solução em tecnologia da informação, normalmente temos as etapas: especificação do produto, especificação técnica, desenvolvimento da solução na tecnologia da informação, testes e implantação da solução. É necessário que após a especificação do produto exista uma especificação de segurança. Nesta etapa, antes de qualquer desenvolvimento, é necessário especificar: requisitos de disponibilidade, exigências para situações de contingência, definição do gestor da informação, definição da identificação dos usuários, tempo de guarda de cópias de segurança e alguma questão específica de controle. São requisitos de segurança para o novo produto/serviço.

Cada um desses aspectos não cai do céu. Precisa ser trabalhado arduamente pela área de segurança e pela organização. Algumas vezes a organização não está esclarecida que a segurança precisa estar alinhada ao negócio. Outra característica desses aspectos é que eles exigem tempo para se concretizarem. Pode ser que na sua organização já tenham acontecido: ótimo! Se ainda não: mãos à obra e bom trabalho!