 |
|||
Artigo/Notícia: |
Como planejar a segurança da informação? | ||
| Data: | 11/12/2009 | ||
| Autor: | Edison Fontes | ||
| Fonte: | IT Web | ||
|
Final de ano sempre nos lembra (ou nos obriga) a fazermos promessas e planejamento. Os profissionais de segurança da informação também são pressionados para tal. Sendo assim vem a pergunta, mas como devo fazer o planejamento da segurança da informação? Escrevo abaixo algumas orientações objetivas e pragmáticas sobre o assunto. 1. Se você está pensando somente agora em planejamento da segurança, acenda a luz amarela no seu desempenho profissional. O planejamento de segurança da informação deve ser feito e revisto mais vezes durante o ano. Se você fizer a cada três meses é um bom período. Evidentemente cada organização têm as suas características e momentos de vida. Em um período de muitas mudanças e turbulências, rever e planejar a cada mês será bastante prudente. 2. O planejamento do processo de segurança da informação existe de maneira efetiva se o planejamento das áreas de negócio existir. A segurança da informação não existe por si só. Ela existe para atender os objetivos da organização. Se as áreas que planejam e executam ações para atingir esses objetivos da organização não fizerem o seu planejamento, o planejamento da segurança será limitado. Diga isto aos executivos e acionistas. 3. Defina metas possíveis considerando a realidade e as características da organização Precisamos de uma sala cofre. Porém a organização não possui um efetivo controle de acesso físico. A infra-estrutura é de chorar. Com certeza a compra de uma sala cofre (ação corretíssima em segurança) deverá ter uma prioridade menor em relação a outras ações de proteção. Vamos manter o pé no chão. 4. Cuidado com as novidades. São para valer! Computação em nuvem tem sido falada constantemente. Lembre-se que o mais importante é que os requisitos de segurança da informação estejam formalizados nos regulamentos (políticas e normas). As novidades técnicas ou as novas formas de se fazer coisas antigas terão que cumprir esses requisitos. 5. Não tenha medo de planejar. Planejamento e acompanhamento são ações obrigatórias de um bom profissional de segurança. Com certeza vão ter momentos da organização em que isto fica muito confuso. Mas é melhor estar confuso com um planejamento do que perdido e confuso. Faça o planejamento da melhor forma possível e formalize para os executivos e acionistas da organização. É sua obrigação profissional. 6. Faça periodicamente uma avaliação da gestão do processo de segurança Eu defino que o processo de segurança da informação contém várias dimensões, tipo: acesso à informação, planejamento para contingências, ambiente físico, infra-estrutura tecnológica, conscientização das pessoas, entre outras conforme explico no meu recente livro. Mas, tudo no contexto da Norma ISO 27002. Sendo assim é imprescindível que se faça uma avaliação da efetividade dessas dimensões e que se mostre aos executivos e acionistas. Dessa maneira quando você apresentar o planejamento (que tenta melhorar essas dimensões) os executivos e acionistas já saberão do que se trata e se quiser vão continuar bancando o risco da existência de vulnerabilidades. Essa definição de aprovar (ou não) fazer é dos executivos e acionistas. A responsabilidade do profissional de segurança da informação é realizar a avaliação e planejar ações, considerando os riscos. Em resumo: planeje sempre considerando os objetivos de negócio. Se as áreas de negócio não lhe dizem o que vão fazer, planeje como fazer para que as áreas de negócio lhe digam o que vão fazer. Simples? Não! Trabalhoso e complexo porque estamos tratando com pessoas. Edison Fontes, CISM, CISA Consultor, Professor e Autor de Livros de Segurança da Informação. Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil. edison@pobox.com "Meça duas vezes e corte uma!", do grupo Imagineers criado por Walt Disney. |
|||
  |
|||
Contribua enviando seus artigos e publicações para webmaster@fernandoferreira.com.
|
|||
