Existem desafios que todo profissional designado para a função executiva de gestor de segurança da informação deve conhecer, enfrentar e superar. Evidentemente, sempre considerando o porte da organização e as características do negócio, pois, muita das vezes, o profissional deseja implementar vários controles de segurança mas ficará impedido pelo alto valor do investimento.
O Security Officer tem que ser o mediador, orientador, questionador, analisador de ameaças, impactos e, consequentemente, responsável por um estudo de viabilidade para cada situação e etapas a serem impostas, na esfera das estratégias de análise dos riscos. Afinal, ele estará envolvido com os diversos setores da organização, receberá e emitirá opiniões sobre as atividades desenvolvidas e a forma de como assegurar a segurança das informações.
Segundo Mário César Peixoto, o Security Officer não deixa de ser um Engenheiro Social do bem. O Engenheiro Social é o “profissional” que utiliza a boa vontade das pessoas em querer ajudar para obter todas as informações importantes e confidenciais de uma instituição para, futuramente, promover algum tipo de ataque à organização.
O papel do Security Officer é ser mais uma poderosa ferramenta para ajudar na diminuição de pontos vulneráveis que possam mais tarde se tornar ameaças crônicas, resultando em impactos sérios e as vezes irreparáveis, principalmente se as consequências das ações descontinuarem o negócio da empresa.
Esse profissional tem que estar ciente que seu objetivo é proporcionar segurança, pois é o responsável pela execução do processo de Segurança da Informação. Ele tem que garantir que os requisitos de segurança existam, que são de conhecimento dos envolvidos e são cumpridos ao longo do tempo.
Algumas das responsabilidades do Security Officer dentro de seu papel são: definir a abordagem estratégica que vai adotar para a organização (necessariamente tem que estar alinhada às normas e procedimentos éticos da corporação), definir a forma de atuação do grupo de segurança, ter por base as normas e melhores práticas do mercado, proteger os recursos de informação, definir os controles para as novas iniciativas do negócio e acompanhar a eficácia da proteção ao longo do tempo.
Realmente não é tarefa fácil elaborar e executar um plano de Segurança da Informação, mas é possível na medida em que se conheçam verdadeiramente os negócios da empresa, tendo a liberdade de propor novos planos à diretoria. Não adianta somente propor solução, tem que se preocupar em evitar a descontinuidade do negócio antes de ocorrer qualquer tipo de incidente de segurança.
Entende-se, então, que não existe uma solução padrão para ser aplicada em todas as empresas e sim, planos personalizados conforme a necessidade de cada organização. Não se pode copiar procedimentos e normas de segurança de uma instituição corporativa e implantar em outro lugar. Cada local possui seu próprio negócio, seus ativos da informação e os objetivos são completamente distintos, o que leva sempre a criação de procedimentos exclusivos para o planejamento da segurança da informação de cada segmento empresarial.
O Security Officer tem que criar uma política de segurança da informação que reflita a filosofia da organização sobre o assunto segurança. Deve ser de fácil lembrança e deve informar as regras básicas que precisam ser seguidas. As normas e os procedimentos tratarão do detalhamento e de como executar esses controles.
O sucesso do processo de segurança da informação depende do nível do comprometimento dos usuários. As pessoas precisam entender da necessidade de proteção da informação e também precisam ser treinadas para aplicarem corretamente essa proteção. Nesse momento, o próprio Security Officer tem que estar preparado e firme em suas decisões para que, no futuro, determinadas ações cometidas pelos usuários não entrem em conflito com a postura do profissional de segurança da informação.
A proteção da informação atua sobre um leque abrangente de assuntos, situações novas e recentes tecnologias. Algumas vezes, o Security Officer não saberá detalhes de como normatizar determinadas coisas, mas deve saber contar com a colaboração de especialistas no assunto para implantação adequada.
Além desses desafios, o profissional de segurança da informação deve ter, pelo menos, duas características básicas: amar o que faz e ser ético. Com essas características e complementando com profissionalismo, o processo de segurança da informação existirá de uma forma efetiva na organização.
Resumidamente, o papel do Security Officer é ser responsável pela coordenação dos processos inerentes à segurança da informação. Onde este “chefe” de segurança, junto com um plano diretor de segurança, tomará os devidos cuidados quanto ao tratamento de dispor e descartar informações baseando-se nas políticas de segurança impostas e estruturadas conforme as necessidades que cada organização tem em particular.
Fonte: PEIXOTO, Mário César Pintaudi.Engenharia Social e Segurança da Informação. Ed. Brasport: Rio de Janeiro, 2006.
3 Comentários
Roney, obrigado por compartilhar conhecimento. Curti bastante o texto e suas comparações. Parabéns.
Há oportunidades no exterior para esse profissional ? Como nos EUA e Canadá ?
Muito bom o texto, ajudou muito em algumas dúvidas, queria saber se alguém indica alguma instituição que ministre este curso.