Friday, June 7, 2002

Não fique parado!

Jefferson Borges, consultor comercial da Axur Information Security.

Até que ponto a informação da sua empresa está segura? Esta é uma pergunta de difícil resposta – pergunta que nos leva longe; a prerrogativa é “estarei seguro até que se prove o contrário”, famosa falsa sensação de segurança. Será o mais adequado? Segurança da informação não é moda, é tendência: compreender sua importância em tempos de gestão do conhecimento, é estar à frente da inquietação que nos provoca a pergunta inicial.

São raras as organizações que investem suficiente atenção neste assunto tão delicado, o que lembra a “psicotização” de uma situação organizacional; os executivos, quando interrogados, respondem estarem atentos e preocupados com o altíssimo número de incidentes de segurança, mas não fazem muito para mudar esta situação. Será que ataques ocorrem somente contra a empresa do vizinho? Vazamento de informação, ataque contra sua página, interrupção nos seus serviços: aí estão alguns atributos do share of mind que ninguém deseja.

Como sua empresa está situada neste cenário? Tente responder as perguntas abaixo e tire suas próprias conclusões.

• A alta administração entende a segurança da informação como ponto crítico e de importância estratégica? Existem objetivos de segurança identificados e formalmente priorizados?

• A organização conhece as modernas técnicas de análise de risco como PARA - Pratical Application of Risk Analysis? Há algum tipo de vínculo entre a organização e especialistas em segurança da informação (conhecimento tácito)?

• A organização possui um index referencial com métricas quantitativas, qualitativas e mistas para identificas níveis adequados de segurança da informação?

• A coordenação de segurança possui autonomia para ações táticas, emergenciais e operacionais? Esta coordenação segue as diretrizes de segurança estabelecidas pela alta administração?

Quando se reflete acerca dos controles mínimos de segurança da informação, somos automaticamente levados a imaginar um gigantesco aparato tecnológico com altos investimentos e consultorias eternas. Todas as boas soluções são simples, o que não pode ser diferente quando se fala em um projeto de segurança da informação. A inserção da cultura organizacional inicia pelo exemplo do Grupo Executivo, pela avaliação dos valores, da missão da empresa, da visão do estrategista; “Onde queremos chegar? E como a informação é importante para atingirmos nossos objetivos? Vale a pena protegê-la”.

É preciso repensar, planejar e agir. Ação: porque o tempo nos deixa em desvantagem frente ao futuro, nunca sabemos o que vem adiante, e precisamos garantir o mínimo de estabilidade. Em termos de definição estratégica, temos com a Análise de Riscos uma ótima ferramenta para avaliação interna, identificando e parametrizando a criticidade dos pontos fracos e dos pontos fortes da estrutura por onde correm os nossos dados.

O risco sempre existirá, até mesmo porque frente ao desconhecido não temos como nos proteger. Diagnosticar o ambiente, implementar controles, minimizar e administrar riscos – podemos sim saber o que se passa, e quem sabe transformar ameaças futuras em oportunidades. Por isso, não fique parado!

No comments: