Definir segurança da informação é bem mais fácil do que praticar seu conceito. As empresas estão começando a entender que segurança da informação não é só mais uma caixinha no organograma, e sim conjunto de pessoas, processos e tecnologia que protegem as operações da empresa, pautadas por regras, políticas, pertinentes ao negócio e contexto da empresa.
Geralmente uma área de segurança da informação (SI) começa dentro da hierarquia de Tecnologia da informação, isso acontece porque os gestores relacionam SI com servidores e senhas, ou seja, controle de acesso em geral. Mas o grande desafio de um gestor de segurança é mostrar que essa não é a única tarefa e que existem situações onde controle de acesso não resolve o problema.
Mas o começo é sempre difícil, isso porque também não existe cultura de segurança, políticas e processos de SI na empresa. Abaixo seguem alguns passos, de uma forma macro, que devem ser seguidos para se iniciar a SI dentro de uma empresa.
1. Mapear os riscos atuais ao negócio da empresa.
- Essa tarefa tem o objetivo de identificar as ameaças que põem em risco as operações da empresa sejam elas pessoas, processos, ou tecnologias.
2. Mapear a cultura interna, principais processos internos e legislação pertinente ao negócio da empresa.
- É preciso entender bem o ambiente da empresa para futuramente definir bem os controles que estejam de acordo com suas operações, identificar melhorias de segurança em processos internos e agir conforme as legislações pertinentes sejam leis ou regulamentações.
3. Definir uma política de segurança.
- A política de segurança da informação é o principal documento que orienta sobre os direitos e deveres relacionados a este assunto. È um documento onde todos devem ter acesso e conhecimento, nela deverá conter diretrizes que visam eliminar ou mitigar os riscos bem como orientar sobre as melhores práticas de SI.
4. Definir as operações básicas cotidianas
- Toda área possui seus serviços executados diariamente, geralmente na área de segurança são:
· Controle de Acesso de usuários;
· Treinamentos internos;
· Análises de riscos;
· Auditorias de conformidades;
· Análises de projetos;
· Análises de segurança em sistemas;
· Análise de segurança de dispositivos de TI;
· Análise de segurança de rede;
· Segurança da informação em contratos e procedimentos internos;
· E outras conforme necessidade da empresa.
Existem outras tarefas que não estão listadas aqui, mas como esse texto é destinado a empresas que estão iniciando seus trabalhos em SI, é preciso mais maturidade para outros processos como: Classificação da informação, Plano de continuidade de negócios, Segurança Física e outros.
Hoje em dia SI está se tornando atividades de gestão de conhecimento e gestão de riscos. Gestão de conhecimento porque devemos e podemos acionar quem for preciso para proteger a empresa, ou seja, colaboradores de outras áreas ou até mesmo outras empresas. E gestão de risco por possuir uma linguagem mais próxima ao corpo executivo da empresa, pois através da mensuração dos riscos podemos estimar as perdas em valores financeiros.
Dessa forma minha conclusão é que a área de SI deve sempre buscar ser uma parceira interna, minimizando os riscos e provendo as condições necessárias para continuidade dos negócios da empresa.
