Sem dúvidas uma das áreas que está em crescimento e em pleno desenvolvimento de suas características é a Gestão de Segurança da Informação, podemos citar fatores para este crescimento, como o valor que as empresas estão reconhecendo sobre seus ativos de informação, além de estarem cada vez mais alocando bases em cloud ou em diversos sites corporativos.
Ponderando sobre conversas com clientes de diversas corporações, identificou-se que muitos possuem dúvidas de como se organizar para montar e implantar uma estrutura organizacional que seja eficiente, eficaz e atenda a norma de segurança da informação.
Voltando nossos olhos para a norma podemos entender que a mesma aconselha-nos a implantar cargos nos níveis operacionais, táticos e estratégicos da companhia.
Já voltando para o mercado, podemos citar alguns exemplos na prática, na empresa “Proj X”, foi adotado o seguinte regime, alocou-se analistas de segurança em TI, nomeou-se a Superintendente de TI como responsável pelo assunto e Diretor de Infra-estrutura como Supervisor.
Neste caso podemos identificar que os três níveis citados pela norma foi atendido, porém a utilização de colaboradores apenas da área de TI pode comprometer o pleno atendimento os objetivos da segurança da informação, que tem o dever de proteger toda informação da empresa, não apenas a visão de TI. Podemos citar também que a prática de nomear um cargo tático que já possui diversas outras responsabilidades, corre o risco de não gastar atenção o suficiente para atender em plenitude as dificuldades dos analistas e reportar com eficiência as atividades para o nível estratégico. Portanto neste caso ocorrerá sérios riscos de os objetivos de segurança da informação não serem totalmente atendidos.
Citando a empresa “Proj y”, foi estruturado da seguinte forma, analistas de infra-estrutura e de ti, nomeou-se um superintendente como supervisor e um Diretor como Patrono da “causa”.
Mesmo atendendo novamente a norma, a empresa em sua vontade insana de reduzir gastos pode novamente ter dado um tiro no pé, visto que o risco de “empurrar” mais uma responsabilidade para o nível tático o assunto acaba sendo tratado como mais um de uma agenda que sempre está lotada de compromissos e pode não relatar as verdadeiras necessidades de melhoria no processo.
Após algumas visitas a clientes e vivência de implantação e estruturações de áreas a conclusão que melhor atende ao objetivo da norma de Gestão de Segurança da Informação é a criação de uma estrutura organizacional com:
Explicando esta estrutura entendemos o seguinte, possuindo Analistas em TI e Infra-Estrutura, que por sua vez reportam a um gestor em comum que conciliará as informações, montará planos e avaliações de riscos da empresa por completo, que por fim responderá e terá o patrocínio de suas atividades por um Diretor ligado diretamente a Estratégia do Negócio, que desenvolverá a política com as diretrizes a serem seguidas.
Cabe salientar que as empresas precisam entender que a área de Segurança já não é mais um custo e sim um investimento necessário para que seus ativos de informação possam ser tratados a fim de estarem no mínimo com os riscos de segurança aceitos e conhecidos pela corporação.
A boa estruturação da área de Gestão de Segurança da Informação é o item de maior relevância para o pleno atendimento das diretrizes colocadas pela gestão estratégica da empresa.
Leave a Comment