Tuesday, October 29, 2002

Oportunidades de Segurança

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Os desafios da gestão de Segurança da Informação iniciam com a concludente afirmação executiva de que “a informação é um ativo valioso“ e “uma gestão é realmente necessária”. Analisar, planejar e implementar – compreendendo nossas fragilidades e dependências tecnológicas (porque hoje a informação é, em grande parte apoiada em ativos tecnológicos), faz com que esta necessidade reflita urgência.

Quão preparados estamos para “encarar” o novo paradigma organizacional, que é a gerência da segurança da informação? Quem será o responsável por dividir suas tarefas operacionais entre atividades que incluem preservar a confidencialidade, integridade e disponibilidade do elan vital corporativo?

Faz muito pouco tempo que esta nova realidade vem tomando corpo nos compromissos da alta administração. Base a esta oportunidade de melhoria, resolvemos escrever sobre tudo aquilo que imaginamos ser prática comum em organizações modernas, e que muito facilmente pode ser adaptado para servir também aos designos da segurança da informação.

Comitê de Segurança da Informação

Junto ao já existente Comitê que trata de assuntos administrativos, porque não aproveitar e inserir uma espécie de acompanhamento qualitativo dos cenários que supoem risco a informação da organização? Discutir metas, posicionamento, estratégias e objetivos significa planejar, é impensável deixar de levar em consideração a importância de proteger bem as informações envolvidas com atividades em desenvolvimento ou mesmo já consolidadas.

Formalizar o que é informal – Comitê Interdisciplinar

Caso já exista um departamento responsável pela formalização de normas, procedimentos e instruções de trabalho, ficará muito fácil transformar o “bom senso” em conhecimento formal. A equipe de tecnologia, recursos humanos, departamento jurídico juntamente com outros departamentos, poderão formar um comitê interdisciplinar: cada nova resolução deverá ser aprovada pela alta administração e com ajuda do grupo de formalização e divulgação, estará adequada à produção.

Estas são algumas dicas: claro que jamais substituem o auxílio de um grupo de especialistas com uma base sólida e com conhecimento tácito, capacitados a catalisar o processo de uma análise de risco, ou a definição de uma política de segurança da informação. Com estes três pontos, fica presente a possiblidade e a necessidade de dar o primeiro passo!