Segurança da Informação: muito se fala, pouco se pratica!
Excetuando-se o ambiente das instituições financeiras, que comparativamente com os demais segmentos de mercado estão em um excelente patamar de proteção da informação, no Brasil muito se fala em segurança da informação mas pouco se implementa de maneira profissional, estruturada e sustentável.
Não quero ser injusto: claro que existem organizações específicas e não financeiras que tratam a segurança da informação de maneira adequada. Mas de uma maneira geral, é muita fala e pouca ação profissional. No ano passado, por exemplo, a nossa Presidente da República soube da vulnerabilidade de suas mensagens de correio eletrônico por causa de uma reportagem do programa Fantástico no domingo à noite…
- Temos segurança!
As organizações afirmam que têm segurança da informação, mas na realidade possuem ações isoladas de segurança. Passam longe de ter um Processo Corporativo de Segurança da Informação.
- Nossos usuários são de confiança!
Normalmente, esta afirmação é verdadeira. A questão é que uma organização deve ter usuários de confiança e deve ter controles de segurança da informação. A proteção da informação também existe para evitar ou minimizar erros de pessoas honestas. Além disso, existem concorrentes que não são honestos, respeitadores da lei e politicamente corretos.
- Nunca tivemos problema!
Na maioria das vezes, esta é uma afirmação verdadeira. Mas este fato não protege a empresa para o futuro.
- Existe uma Área de Segurança da Informação na Organização.
Na maioria das vezes, quando vamos detalhar esta situação, não é bem uma área: é uma pessoa, com pequena hierarquia e que exerce outra função principal, normalmente operacional. Na prática, dedica pouquíssimo tempo à Segurança da Informação. Sua melhor descrição seria Bombeiro de Segurança da Informação (apaga fogo de problemas).
- Temos uma Política de Segurança da Informação.
Na maioria das vezes, esta política é um documento confuso que os usuários não leem e não existem controles que implementem e monitorem as regras descritas na política. Ou, por questões de exigência de clientes ou exigências legais, existem muitos regulamentos que nem a própria organização sabe (facilmente) que tem e que não tem.
E o que pouco se pratica?
- Não existe um Processo Corporativo de Segurança da Informação.
A organização não define um processo estruturado de segurança da informação elaborado para o seu perfil empresarial e tipo de negócio. Este processo corporativo pode existir em uma organização de grande, médio e pequeno porte. O conceito é o mesmo, porém a implementação será adequada a cada organização.
Neste Processo Corporativo de Segurança da Informação devem ser consideradas as seguintes dimensões:
– Políticas e normas.
– Acesso à informação.
– Desenvolvimento de aplicativos e programas produto.
– Classificação da informação.
– Continuidade do negócio.
– Uso de Internet, Redes Sociais e Correio Eletrônico.
– Conscientização e treinamento de usuários.
– Ambiente físico.
– Proteção técnica.
– Flexibilidade operacional.
– Modelo operativo da S.I.
- Não existe um Planejamento da Área de Segurança da Informação.
Toda área de Segurança da Informação deve ter obrigatoriamente um planejamento para os próximos 36 meses, com prioridades e ações justificadas no atendimento ao negócio no que diz respeito ao uso da informação para o atendimento aos objetivos corporativos.
- Não existe um Gestor da Segurança da Informação.
Não existe um profissional experiente e dedicado ao Processo de Segurança da Informação. A maioria das organizações pode ter este profissional. Organizações menores podem ter consultores em tempo parcial. Porém, uma questão é crítica: este Gestor precisa ter um nível hierárquico adequado. Deve ter autonomia e deve responder para um Gestor Executivo.
- Não existe uma arquitetura para as Políticas e Normas de Segurança da Informação.
É fundamental que os regulamentos de segurança sejam estruturados e considerem todos os aspectos para a proteção da informação.
- Não existe o envolvimento das áreas de negócio.
As Áreas de Negócio são responsáveis pela definição da rigidez dos controles de segurança da informação. Por exemplo, em relação ao controle de autenticação de usuário: será feita somente por senha ou será exigida a senha e a biometria?
- A direção não é envolvida
O Processo de Segurança da Informação é um processo corporativo. Ele existe para possibilitar que a organização alcance os seus objetivos no que depende da informação e dos recursos de informação. Desta maneira, o direcionamento e prioridade das ações de segurança precisam ser validadas e apoiadas pela Direção Executiva da Organização. A segurança da Informação existe para a Organização.
- Não existe um treinamento contínuo para os usuários.
É Fator Crítico de Sucesso a existência contínua de treinamento e conscientização dos usuários, sejam internos ou externos da organização. E em muitas organizações, também é necessário incluir os clientes. É pela pessoa que a Segurança da Informação acontece na Organização. Não considerar este fato, significa fracasso na proteção da informação.
Conclusão
Evidentemente existem outras ações que são faladas e outras que nem são executadas. Entendo que estas citadas acima são as mais comuns. Mas, para sua organização o mais importante é: como ela está? Ela faz segurança? Ou apenas fala e discute, mas tem pouca implementação?
Identifique a situação da sua organização. Somente assim poderá ser feito um planejamento de ações e o desenvolvimento de ações concretas.
*Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.