Sem dúvidas uma das áreas que está em crescimento e em pleno desenvolvimento de suas características é a Gestão de Segurança da Informação, podemos citar fatores para este crescimento, como o valor que as empresas estão reconhecendo sobre seus ativos de informação, além de estarem cada vez mais alocando bases em cloud ou em diversos sites corporativos.
Ponderando sobre conversas com clientes de diversas corporações, identificou-se que muitos possuem dúvidas de como se organizar para montar e implantar uma estrutura organizacional que seja eficiente, eficaz e atenda a norma de segurança da informação.
Voltando nossos olhos para a norma podemos entender que a mesma aconselha-nos a implantar cargos nos níveis operacionais, táticos e estratégicos da companhia.
Já voltando para o mercado, podemos citar alguns exemplos na prática, na empresa “Proj X”, foi adotado o seguinte regime, alocou-se analistas de segurança em TI, nomeou-se a Superintendente de TI como responsável pelo assunto e Diretor de Infra-estrutura como Supervisor.
Neste caso podemos identificar que os três níveis citados pela norma foi atendido, porém a utilização de colaboradores apenas da área de TI pode comprometer o pleno atendimento os objetivos da segurança da informação, que tem o dever de proteger toda informação da empresa, não apenas a visão de TI. Podemos citar também que a prática de nomear um cargo tático que já possui diversas outras responsabilidades, corre o risco de não gastar atenção o suficiente para atender em plenitude as dificuldades dos analistas e reportar com eficiência as atividades para o nível estratégico. Portanto neste caso ocorrerá sérios riscos de os objetivos de segurança da informação não serem totalmente atendidos.
Citando a empresa “Proj y”, foi estruturado da seguinte forma, analistas de infra-estrutura e de ti, nomeou-se um superintendente como supervisor e um Diretor como Patrono da “causa”.
Mesmo atendendo novamente a norma, a empresa em sua vontade insana de reduzir gastos pode novamente ter dado um tiro no pé, visto que o risco de “empurrar” mais uma responsabilidade para o nível tático o assunto acaba sendo tratado como mais um de uma agenda que sempre está lotada de compromissos e pode não relatar as verdadeiras necessidades de melhoria no processo.
Após algumas visitas a clientes e vivência de implantação e estruturações de áreas a conclusão que melhor atende ao objetivo da norma de Gestão de Segurança da Informação é a criação de uma estrutura organizacional com:
Explicando esta estrutura entendemos o seguinte, possuindo Analistas em TI e Infra-Estrutura, que por sua vez reportam a um gestor em comum que conciliará as informações, montará planos e avaliações de riscos da empresa por completo, que por fim responderá e terá o patrocínio de suas atividades por um Diretor ligado diretamente a Estratégia do Negócio, que desenvolverá a política com as diretrizes a serem seguidas.
Cabe salientar que as empresas precisam entender que a área de Segurança já não é mais um custo e sim um investimento necessário para que seus ativos de informação possam ser tratados a fim de estarem no mínimo com os riscos de segurança aceitos e conhecidos pela corporação.
A boa estruturação da área de Gestão de Segurança da Informação é o item de maior relevância para o pleno atendimento das diretrizes colocadas pela gestão estratégica da empresa.
Bacharel em Gerenciamento de Sistemas (FATEC - Faculdade de Tecnologia do Estado de São Paulo); Atualmente trabalhando como Auditor de Tecnologia da Informação na empresa BrasilPrev uma das empresas Líder do Mercado Brasileiro de Previdência Privada, com foco na análise de riscos no ambiente tecnológico da empresa com ênfase nos processos de negócios, análise de nível de maturidade, consultoria para implementação de boas práticas de frameworks como: COBIT, ITIL, ISO 20000 e ISO27000, além de treinamentos. Com as seguintes certificações em segurança da Informação: ISO 27002 Advanced ISO 27002 Foundation ISO27005 Gerenciamento de Riscos Com as seguintes certificações em Gerenciamento de Serviços de TI: ITIL V3 Release Control And Validation ITIL V3 Foundation ISO 20000 Foundation Com as seguintes certificações e conhecimentos em Governança: Cobit 4.1 Foundation Val-IT, Risk-IT Com as seguintes certificações e cursos na área Qualidade: ISO 9001 CMMI Com as seguintes certificações em Gestão de TI & Administração: Balanced Scorecard Com os seguintes conhecimentos de Projetos: PMP como metodologia de Gerenciamento de Projetos (Em preparatório) Six Sigma Conhecimentos Complementares: BPM, BABOK.
You must be logged in to post a comment.
