Segurança Informação e os Objetivos da Organização
A Segurança da Informação está alinhada ao negócio? Está alinhada aos objetivos da Organização?Estas são perguntas que constantemente vêm à tona. Afinal, as boas práticas indicam que o processo de segurança da informação deve estar alinhado ao negócio. Aliás, a gestão da tecnologia da informação também. Ah, me lembrei de mais uma: a área de recursos humanos. Opa tem outra: a área de marketing!E o principal: a área de negócios deve estar alinhada com os objetivos da organização!Sendo assim, pensando com mais calma, todas as áreas e processos da organização devem estar alinhadas com os objetivos de negócio. Isto significa que estar alinhado com o negócio deve ser uma decisão e orientação organizacional. A organização, ou melhor, os executivos da organização precisam definir e querer que todas as partes da organização estejam alinhadas com os objetivos de negócio.É evidente que cada gestor de área e de processos deve ter esta preocupação. Porém, este alinhamento é uma via de mão dupla. Se a liderança da organização tem características tipo:- não transparência,- “manda quem pode e obedece quem tem juízo”,- não se preocupa em fazer um planejamento conjunto,- entende que as áreas devem correr atrás e cumprir o que foi definido, será mais difícil acontecer o tão esperado alinhamento. Haverá uma corrida para atender o que foi definido.Isto não quer dizer que a organização vai ter grande prejuízos. Apenas é uma maneira de trabalhar. Porém, não podemos ter como expectativa um alinhamento adequado das áreas com os objetivos de negócio. Teremos correria em busca de atender ao negócio.Em termos do processo de segurança da informação sugiro algumas dicas para você identificar facilmente se existe o alinhamento com o negócio:
- Participação em projetos desde o início
A área de segurança da informação participa (ou pelo menos tem conhecimento) dos projetos desde o seu início (projeto).
- Custo da segurança
Os requisitos de segurança que são originários de requisitos de negócio devem ser orçados e defendidos pelas áreas de negócio. Ao seguir esta filosofia, o orçamento de segurança da informação vai ser o necessário para sua manutenção. Custos de segurança para os projetos e justificativas de retorno devem estar nas áreas geradoras dos projetos.
- Treinamento
A conscientização e treinamento em segurança da informação deve ser uma atividade incluída nos processos de recursos humanos. Isto é um requisito de pessoas. Evidentemente o conteúdo deve ser de responsabilidade da área de segurança, mas a operacionalização do treinamento e a garantia de que as pessoas foram treinadas é do RH.
- Gestor de Informação
A existência do Gestor da Informação é fundamental para o processo de segurança. Isso faz com que as diversas áreas da organização sejam responsáveis pela liberação da informação, pela avaliação do nível de risco que a organização suporta e tenham a responsabilidade de identificar as necessidades de conformidade (compliance) que a organização deve seguir em relação àquela informação.
- Hierarquia da Área de Segurança da Informação
Quanto mais independente for a área de Segurança da Informação, mais chances de sucesso do processo de proteção da informação e de um perfeito alinhamento com os objetivos de negócio.Entendo que existem outras evidências de um bom alinhamento com as áreas de negócio. Mas, avalie a sua organização em relação a estes cinco itens citados acima. É um bom começo. *Edison Fontes, CISM, CISA – é consultor, professor de Segurança da Informação dos cursos de MBA da FIAP, autor dos livros Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza).