Gestão de Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Gerenciar a segurança da informação em dias como os de hoje, não é tarefa simples. Pergunte ao seu encarregado de TI se ele está satisfeito com o modelo de gerência dos controles de segurança implementados; o acesso à rede, desligamento de funcionários, termos de análise e aceitação de risco, manutenção da segurança dos sistemas e auditoria -, em uma aposta otimista noventa porcento das respostas será um sobrolho pensativo.

São tantos ativos de tecnologia, rotas de dados, aplicativos e sistemas, que fica dificílimo uma só pessoa controlar. Responsabilidade de quem? Alguns dizem que é do gestor do sistema ou equipamento. Os gestores alegam, muitas vezes com razão, serem responsáveis pela produção – o stay working. Não é para menos, um dos primeiros requisitos da gerência de segurança é: delegar a responsabilidade da gestão a alguém sem ligação com o funcionamento do sistema. Quem então é responsável pela salvaguarda da informação?

Este é um assunto polêmico que causa grande inquietação dentro dos mais diversos nichos organizacionais, uma discussão produtiva, capaz de atentar o grupo executivo a uma das mais sérias preocupações do estrategista moderno, garantir a confidencialidade, integridade e disponibilidade do seu maior patrimônio – a informação.

Faz-se necessário que seja instituído um responsável pela segurança da informação organizacional. Chamaremos este colaborador de Security Officer (termo do inglês, caracteriza o gestor de segurança da informação), e a ele será delegada toda a responsabilidade por organizar regras para salvaguardar a informação gerida na organização.

Para início, é necessário demonstrar que há uma consistência no discurso do grupo executivo com as ações de segurança engendradas pelo Security Officer. A base para instauração de um órgão de segurança da informação dá-se com a criação de um fórum interno. O fórum é formado por membros da alta administração, consultores especialistas em segurança e pelo Security Officer. Este comitê será responsável por:

• Analisar e aprovar tecnologias e processos inseridos no negócio;
• Analisar criticamente os relatórios de monitoração de incidentes;
• Aprovar as iniciativas para aumentar o nível de segurança;
• Aprovar o relatório bimestral (mensal ou semanal) de segurança, entregue pelo Security Officer;

Não se aplica ao fórum, a utilização dos jargões técnicos de segurança. O Security Officer (gestor de segurança da informação) deve ser especialmente habilidoso; conciliar sólidos conhecimentos tecnológicos à capacidade de transformar a massa de dados em informações gerenciáveis. Caso contrário, não conseguirá para si a atenção dos executivos por mais de dez minutos.

Após a criação do fórum interno, o Security Officer deverá convocar especialistas na operação de segurança, para tomar parte de sua equipe. Considera-se indispensável (para uma empresa que busca um espelhamento às melhores práticas de segurança da informação), a vinculação dos seguintes profissionais à coordenação do Security Office:

Analista de informações: Deverá avaliar diariamente os registros dos programas críticos (firewall, IDS e outros).

Normatizador: Avaliará a necessidade de atualização da política de segurança da informação. Será o responsável pela normatização escrita dos controladores inseridos no documento da política. Lembre-se: para cada atualização, uma normatização.
Implementador: Aplicará as correções de segurança nos sistemas. Deve ser capaz de inserir regras no firewall, corrigir vulnerabilidades e quando possível, desenvolver soluções personalizadas.

A missão desta equipe e de identificar, avaliar e administrar os riscos à informação da organização. Considera-se de sua responsabilidade determinar dentre as opções existentes aquela que melhor se enquadra na diminuição dos riscos identificados na análise do ambiente. Os resultados deverão ser repassados ao comitê executivo nas ocasiões do fórum, que poderá se reunir pontualmente.

A equipe é responsável por dessenvolver políticas, padrões e procedimentos de segurança para proteger o negócio como um todo.

Em alguns casos, dependendo da necessidade da empresa, é aconselhável a criação de um grupo de resposta a incidentes (Computer Emergence Response Team). Este grupo poderá atuar na holding, atendendo todas as empresas ligadas a ela. Existem empresas que optam por CERTs terceirizados, como opção de uso por demanda, já que e altamente custoso manter uma equipe de especialistas de plantão 24x7.

A gerência de segurança é um elemento estratégico no processo de negócio de uma empresa preocupada com as ameaças do mundo cibernético. Gerenciar riscos é compreender que o em um mercado dinâmico, segurança da informação é mais do que parte do negócio, é parte da lucratividade do negócio.