Thursday, October 7, 2004

Security Officer: O Gestor da Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Com a evolução dos sistemas de tecnologia houve uma desenfreada busca pela modernização e pela informatização dos processos das empresas. Processos que antes eram realizados manualmente, ou através de dezenas de formulários, foram traduzidos para os meios digitais. Isso tudo aconteceu nos últimos 10 ou 15 anos. A quebra de paradigmas dos ativos reais e tangíveis para os ativos de informação, muitas vezes intangíveis, fizeram com que as grandes empresas fossem pegas no contrapé.

O universo cada vez maior de hackers, de vulnerabilidades tecnológicas e de ameaças internas criaram um cenário de grande risco para as organizações. Surgiu um risco com o qual os executivos não estavam acostumados a lidar: o risco da quebra da confidencialidade, integridade e disponibilidade da informação. As primeiras perguntas dirigidas pelos CEOs aos diretores e gerentes de TI foram: Qual o meu nível de risco? Como devo gerenciar este risco? Qual o nível adequado do risco? Quais são as melhores práticas internacionais em segurança da informação?

E percebeu-se que ninguém sabia ou poderia responder. A disciplina de gestão de risco operacional, sistêmico, cambial, entre outros, é parte do dia-a-dia de muitas empresas; a gestão do risco à informação, não. Pois então, na mesma época – década de 90 - percebeu-se também que não havia ninguém nas empresas com conhecimento suficiente para responder as perguntas dos executivos. Foi frente a esta nova necessidade que surgiu o Security Officer.

O nome ainda permanece em inglês, mas Security Officer é o equivalente a Gerente de Segurança da Informação, e possui variações como CSO – Chief Security Officer, resumindo que este funcionário é responsável pela gestão da segurança da informação. Observem que em algumas empresas americanas e até mesmo brasileiras, o CSO está com status de C-Level, respondendo diretamente ao Conselho Administrativo. Mas o nome do cargo não é tão importante, o que deve ser esclarecido é a natureza do seu conceito funcional.

Ainda está em crescimento o número de SO (Security Officers) que não são responsáveis somente por segurança em tecnologia da informação, acumulando também funções de segurança no controle de acesso físico – como deveria ser. Nos Estados Unidos a grande maioria dos SO possui background militar, do FBI ou serviço secreto; aqui no Brasil este cenário é muito diferente, nossas cadeiras de SO são ocupadas geralmente por ex-funcionários de grandes consultorias de segurança da informação.

O especialista em segurança da informação tem ganhado cada vez mais espaço no mercado de trabalho. Ainda existe muita demanda para profissionais de segurança, inclusive com salários que superam em muito a média de um profissional de tecnologia da informação. Infelizmente não existem muitos cursos acadêmicos com foco em segurança da informação, por conta disso, a formação deste profissional fica a critério de cursos especializados e de certificações internacionais. Nesta área, possuir certificações neutras (não focadas em uma tecnologia específica), pode significar rápida colocação no mercado de trabalho, destaco algumas certificações como CISSP e SSCP do (ISC)2, CISA, CISM do ISACA e CIFI do IISFA. Maiores informações podem ser encontradas na web.

Exemplo de Descrição de Cargo

Existe muita dificuldade em estabelecer quais são efetivamente as responsabilidades do SO e como este se enquadra na hierarquia de uma empresa. O que percebemos é que na maioria das empresas brasileiras o SO fica abaixo do diretor de tecnologia. Este é um modelo errado, embora eu tenha sempre muito cuidado em apontar este erro, porque já é um grande mérito a empresa possuir um responsável por segurança. No modelo ideal posicionamos o Security Officer de forma a que esta possa se reportar diretamente a Alta Administração. A independência é fator fundamental, porque o SO não pode se sentir constrangido em indicar situações anômalas que envolvam seus superiores. É necessário também um conhecimento generalista de tecnologia; queiramos oou não, as empresas são apoiadas por componentes tecnológicos em seus processos de negócio.

Responsabilidade:

Manter a análise de risco atualizada, refletindo o estado corrente da organização;

Identificar controles físicos, administrativos e tecnológicos para mitigação do risco;

Aprovar junto a Alta Administração o nível de aceitação do risco;

Desenvolver, implementar e gerenciar um programa de conscientização e treinamento com base na Política de Segurança da empresa;

Conduzir processos de investigação forense computacional e estabelecer interfaces com especialistas externos

Trabalhar lado-a-lado com consultores externos e auditores independentes quando for necessário.
Qualificações:

Deve ser diplomático, bem articulado possuir condições de liderar um ou vários grupos e ainda, estar capacitado a escrever relatórios com uma linguagem de negócio para indicar à Alta Administração o status de risco da organização;

Deve possuir experiência em Gestão de Risco, Política de Segurança, Plano de Continuidade de Negócios, Auditoria e padrões internacionais de segurança, como a BS 7799;

Deve estar capacitado a desenvolver acordos de níveis de serviço com terceiros, para estabelecer um bom controle da segurança nas interfaces externas à organização;

É interessante que o SO possua conhecimento em aspectos legais relacionados à segurança da informação. Algo que é muito valorizado é o conhecimento técnico e seu entendimento acerca dos controles tecnológicos como Firewall, IDS, VPN, antivírus entre outros.

Estas são algumas indicações que eu imagino que poderão facilitar na definição da posição do Security Officer na sua empresa. Obviamente existem diferentes modelos que vão variar de acordo com a cultura de cada empresa, o mais importante é começar, a evolução da figura do SO será uma equalização natural que a experiência fornecerá ao entendimento que a organização tem em relação à segurança da informação.