Lendo algumas notícias sobre nosso mundo tecnológico e relendo algumas publicações antigas do nosso portal, vejo que o assunto sobre Segurança da Informação continua a todo o vapor e acredito que essa importância dada ao assunto foi demanda da necessidade de certificações para os administradores e acionistas de suas empresas.
Todos possuem consciência que o ativo mais importante de qualquer empresa é o próprio funcionário, porém, junto a ele, a informação solidifica o quão importante o funcionário significa para uma empresa. Observando por este lado, é necessário o desenvolvimento de conceitos, cultura e mecanismos afim de garantir que este ativo não não seja gerenciado de forma incorreta, ou o mais importante, não caia em mãos erradas.
Observando o cenário atual em algumas empresas, já é quase que evidente que já exista uma PSI (Política de Segurança da Informação) na maioria das empresas, o que muitos acreditam ser base da Segurança da Informação de uma organização, porém, muitas vezes o processo acaba por aí, realizam sua Política e não amplificam o seu poder/conhecimento.
Ao meu ver, acredito que seja imprescindível que exista uma PSI adequada e atualizada em todas as organizações, entretanto, é de extrema importância que também seja desenvolvido documentos auxiliares, afim de agregar a própria política, como por exemplo, uma adequada Política de Controle de Acesso , um Procedimento de Classificação da Informação, instruções de como “operalizar” de forma “padrão” procedimentos envolvendo a própria Segurança da Informação, o desenvolvimento de comitês e por aí vai.
Recentemente li um artigo muito interessante sobre PSI postado em nosso portal pelo autor Octavio Campanol onde ele descreve 8 passos para a implementação de uma PSI (leia aqui!).
Ao meu ver, a 2º e 7º etapa descrita em sua publicação, é um dos fatores críticos para o bom funcionamento da PSI na empresa, ou seja, a Política não só deve ser aceita como também deve ser compreendida (relativo a sua importância e principalmente, sua necessidade) pela alta gestão da organização, tendo em mente ser aglutinada, pouco a pouco, pela cultura da empresa.
E uma vez estando: realizada e formalizada a PSI, todos os colaboradores treinados, implementado o conceito de segurança na Organização etc, vem a pergunta: A Segurança da Informação já está procedendo de forma correta ? Na minha humilde opinião, não.
Não só uma PSI cria o ambiente de segurança na empresa, torna-se necessário e imprescindível o desenvolvimento de seus “braços”, de forma contínua, seja o desenvolvimento de política secundárias, novos procedimentos, novas instruções agregadas a política mãe, comitês sobre Segurança da Informação envolvendo participantes de diversas áreas da empresa, ou seja, uma estrutura para que todos os controles sejam efetivos e adequados à atual cultura da empresa.
Pensando como um Gerente de Projetos utilizando o PMBOK, a política é a própria entrada do processo, que provém de saídas de outros processos e as ações posteriores (desenvolvimento de procedimentos, comitês, melhorias contínuas etc) são as ferramentas e técnicas necessárias para gerar o o resultado adequado (o que é vital para o bom funcionamento de um processo/sub-processo de um projeto, ou seja, sua saída, a própria Segurança da Informação.
Enfim, fica aqui apenas uma dica para quem vai introduzir a Segurança da Informação em sua empresa, como já dizia meu chefe, não adianta a empresa possuir os maiores e melhores mecanismos de segurança, sejam firewalls de última geração, os melhores especialistas do mercado e a infraestrutura de maior qualidade e complexidade, se o que facilmente pode desequilibrar a segurança de uma empresa é o fator humano ou seja, é necessário fazer com que todos os colaboradores da empresa entendam seu papel, eles são a base (e fator mais importante) para o bom funcionamento da Segurança da Informação dentro da Organização.
Finalizando, semana passada obtive uma boa notícia, com a obtenção da certificação ISFS-EXIN, e em breve começo a jornada pelo compTIA Security+.
Forte abraço e até a próxima !
________________________________________ 26 anos, experiência de 8 anos na área de Tecnologia, Auditor de TI com foco em Infraestrutura e Especialista em Segurança da Informação, bacharel em Ciência da Computação, cursando MBA na Universidade de São Paulo, com diversas certificações e formações técnicas. ________________________________________ skype: leonardo.itao e-mail | gtalk: leonardo.itao@gmail.com ________________________________________ “If the facts don’t fit the theory, change the facts.” - Albert Einstein
You must be logged in to post a comment.
2:28:52 pm
Muito bom o artigo, estou começando uma pesquisa para meu artigo academico da Pós, onde pretendo escrever sobre Alinhamento da Segurança de TI e a Segurança do Negócio utilizando a Governaça da Segurança de TI (DS5 do COBIT), com isso to atrás de referências caso possa indicar agradeço.
4:12:03 pm
Jorge,
Fico feliz que gostou do artigo. Referente a sua pesquisa, verifique no livro “IT Governance Using COBIT® and Val IT”, é bem fácil de achar algumas resenhas dele pela Internet.
Uma outra dica é utilizar o scholar.google.com.br, lá procure pelos termos (em inglês) de sua pesquisa que você verá que será fornecido diversos links para parte de seu assunto.
Qualquer coisa, fique à vontade para me adicionar no skype ou GTALK que posso te dar um auxílio.
Um abraço!
Leonardo Itao.