Continuando…
4. Equipe
Outro fator de relevância na implementação e manutenibilidade do SGSI é a estruturação dos colaboradores que farão parte da equipe. Os membros assim como em outros departamentos, devem se complementarem nos pilares gestão e execução dos níveis técnico e especialista, aos quais serão acionados quando necessário.
As funções devem ser bem definidas para que não existam problemas como “isto não é minha responsabilidade”, a equipe atuará em diversas esferas da empresa focando sempre os processos de negócio dentre os quais incluem:
- Monitoramentos (desde softwares até comportamentos dos colaboradores)
- Liberação de perfis de acesso
- Treinamentos periódicos
- Auditorias (sem aviso prévio)
- Análise de logs
- Mapeamento de processos e aplicação do PDCA (melhoria contínua)
- Auxílio na classificação das informações
- Padronização de documentos
- Elaboração de Relatórios com índices de desempenho (KPI´s)
Estas são algumas das atividades que a equipe possuirá.
5. Hierarquia do SGSI em relação ao organograma corporativo
Existe um equívoco muito grande em pensar que os profissionais de segurança se reportam ao departamento de TI, na realidade ele independe deste departamento e se reporta diretamente ao corpo executivo. Caso isto não ocorra o SGSI fica sob as demandas da TI e limita-se em suas tarefas se tornando parte estendida de um departamento, perdendo eficácia e consequente credibilidade no âmbito da empresa.
As consequências desta submissão ao departamento de TI, condicionam o SGSI a “não identificar” problemas no próprio departamento de tecnologia por motivos óbvios.
Para que não ocorram tais fatos é necessário, que, a diretoria da empresa entenda a distinção dos departamentos e a importância do SGSI ser autônomo em suas atividades dentro da organização.
Em muitos casos é bem difícil, por diversos motivos, dentre eles a acessibilidade a este corpo executivo pode ser dificultada até a burocratização criada por diversos departamentos que vêem 0 SGSI como um risco.
6. Impactos Culturais
Conforme comentado no tópico anterior, existem obstáculos para a independência do SGSI, isto existe porque hábitos serão mudados, processos e procedimentos terão em alguns casos novas vertentes. O objetivo não é incomodar, entretanto é inevitável, toda mudança gera desconforto em muitas situações.
Analistas de segurança se deparam com a frase “…mas eu sempre fiz assim e nunca ocorreu problema…”, gerando um desconforto para ambos os lados, a questão não é se existiram ou não problemas, o foco é que alguns procedimentos são executados erroneamente por falta de conhecimento.
Isto é compreensível pois é função do SGSI evoluir no estabelecimento e implementação, operação, monitoramento, analise critica e manter uma organização assegurando a informação e não dos outros departamentos.
Ressaltamos que é fundamental o apoio da diretoria ao SGSI no âmbito da organização, pois, sem este respaldo a segurança da informação está fadada ao fracasso, atentem a isso, todo apoio do executivo da empresa é de suma importância para o desenvolvimento das atividades.
7. Considerações Finais
Espero que este conteúdo agregue a você e lhe estimule conquistar espaço em sua empresa e crescer em conhecimento.
Vimos que o SGSI é importante, desde seu embasamento nas normas até a formação da equipe atuante, os impactos ocorridos, as tecnologias mau empregadas e associadas a segurança da informação como um todo.
Lembre-se segurança da informação se constrói e conquista, não é apenas a aplicação de todos os requisitos da norma, que irão garantir a integridade, confidencialidade e disponibilidade da informação.
Recomendo que tenha bons relacionamentos na empresa, conscientize seus colegas de trabalho e obtenha a cooperação, esta é a chave para o coletivo ser beneficiado, a adaptação dos requisitos mínimos de segurança ao cenário de sua empresa é o melhor caminho a seguir, tenha esta sensibilidade.
[Crédito da Imagem: Segurança da Informação – ShutterStock]
Leave a Comment