O Papel do Security Officer (Agente de Segurança)

AGRADEÇA AO AUTOR COMPARTILHE!

Existem desafios que todo profissional designado para a função executiva de gestor de segurança da informação deve conhecer, enfrentar e superar. Evidentemente, sempre considerando o porte da organização e as características do negócio, pois, muita das vezes, o profissional deseja implementar vários controles de segurança mas ficará impedido pelo alto valor do investimento.

Security Officer tem que ser o mediador, orientador, questionador, analisador de ameaças, impactos e, consequentemente, responsável por um estudo de viabilidade para cada situação e etapas a serem impostas, na esfera das estratégias de análise dos riscos. Afinal, ele estará envolvido com os diversos setores da organização, receberá e emitirá opiniões sobre as atividades desenvolvidas e a forma de como assegurar a segurança das informações.

Segundo Mário César Peixoto, o Security Officer não deixa de ser um Engenheiro Social do bem. O Engenheiro Social é o “profissional” que utiliza a boa vontade das pessoas em querer ajudar para obter todas as informações importantes e confidenciais de uma instituição para, futuramente, promover algum tipo de ataque à organização.

O papel do Security Officer é ser mais uma poderosa ferramenta para ajudar na diminuição de pontos vulneráveis que possam mais tarde se tornar ameaças crônicas, resultando em impactos sérios e as vezes irreparáveis, principalmente se as consequências das ações descontinuarem o negócio da empresa.

Esse profissional tem que estar ciente que seu objetivo é proporcionar segurança, pois é o responsável pela execução do processo de Segurança da Informação. Ele tem que garantir que os requisitos de segurança existam, que são de conhecimento dos envolvidos e são cumpridos ao longo do tempo.

Algumas das responsabilidades do Security Officer dentro de seu papel são: definir a abordagem estratégica que vai adotar para a organização (necessariamente tem que estar alinhada às normas e procedimentos éticos da corporação), definir a forma de atuação do grupo de segurança, ter por base as normas e melhores práticas do mercado, proteger os recursos de informação, definir os controles para as novas iniciativas do negócio e acompanhar a eficácia da proteção ao longo do tempo.

Realmente não é tarefa fácil elaborar e executar um plano de Segurança da Informação, mas é possível na medida em que se conheçam verdadeiramente os negócios da empresa, tendo a liberdade de propor novos planos à diretoria. Não adianta somente propor solução, tem que se preocupar em evitar a descontinuidade do negócio antes de ocorrer qualquer tipo de incidente de segurança.

Entende-se, então, que não existe uma solução padrão para ser aplicada em todas as empresas e sim, planos personalizados conforme a necessidade de cada organização. Não se pode copiar procedimentos e normas de segurança de uma instituição corporativa e implantar em outro lugar. Cada local possui seu próprio negócio, seus ativos da informação e os objetivos são completamente distintos, o que leva sempre a criação de procedimentos exclusivos para o planejamento da segurança da informação de cada segmento empresarial.

Security Officer tem que criar uma política de segurança da informação que reflita a filosofia da organização sobre o assunto segurança. Deve ser de fácil lembrança e deve informar as regras básicas que precisam ser seguidas. As normas e os procedimentos tratarão do detalhamento e de como executar esses controles.

O sucesso do processo de segurança da informação depende do nível do comprometimento dos usuários. As pessoas precisam entender da necessidade de proteção da informação e também precisam ser treinadas para aplicarem corretamente essa proteção. Nesse momento, o próprio Security Officer tem que estar preparado e firme em suas decisões para que, no futuro, determinadas ações cometidas pelos usuários não entrem em conflito com a postura do profissional de segurança da informação.

A proteção da informação atua sobre um leque abrangente de assuntos, situações novas e recentes tecnologias. Algumas vezes, o Security Officer não saberá detalhes de como normatizar determinadas coisas, mas deve saber contar com a colaboração de especialistas no assunto para implantação adequada.

Além desses desafios, o profissional de segurança da informação deve ter, pelo menos, duas características básicas: amar o que faz e ser ético. Com essas características e complementando com profissionalismo, o processo de segurança da informação existirá de uma forma efetiva na organização.

Resumidamente, o papel do Security Officer é ser responsável pela coordenação dos processos inerentes à segurança da informação. Onde este “chefe” de segurança, junto com um plano diretor de segurança, tomará os devidos cuidados quanto ao tratamento de dispor e descartar informações baseando-se nas políticas de segurança impostas e estruturadas conforme as necessidades que cada organização tem em particular.

Fonte: PEIXOTO, Mário César Pintaudi.Engenharia Social e Segurança da Informação. Ed. Brasport: Rio de Janeiro, 2006.

AGRADEÇA AO AUTOR COMPARTILHE!

Roney Médice

Mais artigos deste autor »

Coordenador de Segurança da Informação do Terminal Retroportuário, no Porto de Vitória, com mais de 17 anos de experiência na área. Consultor de Segurança da Informação do Grupo Otto Andrade. Perito em Computação Forense. Membro Fundador do CSA - Cloud Security Alliance, Membro do Comitê ABNT/CB-21 em Segurança da Informação. Graduado em Ciência da Computação, Direito e MBA em Gestão de Segurança da Informação.


3 Comentários

Arthur Leon Dutra
3

Muito bom o texto, ajudou muito em algumas dúvidas, queria saber se alguém indica alguma instituição que ministre este curso.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">