blog.dennyroger.com.br
Implementando mudanças nos processos de segurança da informação
por em 26-10-2009 às 16:55 (2368 Visualizações)
Por Denny Roger
Não é fácil implementar mudanças relacionadas a segurança da informação, não importa em que tipo de empresa, ainda que todas as áreas envolvidas estejam convencidas de sua necessidade. Vamos conhecer, resumidamente, como as organizações estão continuamente melhorando a eficácia do Sistema de Gestão da Segurança da Informação (SGSI) por meio do uso da avaliação do nível de maturidade e desenvolvimento do plano de crescimento.
Evoluindo através da melhoria continua
A idéia de avaliar o nível de maturidade da segurança da informação ocorre com maior freqüência em organizações que buscam se sobressair em um mercado congestionado. Por exemplo, uma empresa que realiza suas vendas através da internet, normalmente, apresenta aos seus clientes alguns processos de segurança da informação, tais como: política de privacidade, processamento dos dados do cartão de crédito, criptografia das informações etc. Essas informações podem estabelecer algumas diferenças no momento em que o cliente está decidindo em qual loja irá efetuar a compra. Você não quer os dados do seu cartão de crédito sendo vendidos ou utilizados por terceiros na internet. Sendo assim, partindo do conhecimento de alguns processos de segurança utilizados por uma determinada loja virtual, o cliente decide em qual loja comprar e, conseqüentemente, a segurança da informação contribui com o aumento do lucro da organização.
A adoção da avaliação dos processos de segurança tem como objetivo levar uma organização a um grau de maturidade e qualidade que permita o uso eficaz e eficiente do seu SGSI, sempre com o foco no alinhamento estratégico, competência técnica, informatização dos processos de segurança, utilização de metodologias e competência comportamental. Além disso, a avaliação demonstra a maturidade que a segurança da informação adquiriu ao longo do tempo, utilizando o plano de crescimento de longo prazo, refletindo o nível máximo ao qual a organização deseja chegar e o prazo para implementação, e o plano de curto prazo, apresentando as ações que irão possibilitar o crescimento da maturidade em 1 ano.
A avaliação do nível de maturidade e o desenvolvimento do plano de crescimento apresentam desafios que implicam em mudar o modus operandi dos processos. É possível que, durante a fase de planejamento, seja necessário suportar discussões sobre interesses pessoais. Por exemplo, alguns funcionários insistem em utilizar os recursos da empresa para fins pessoais, expondo a organização a diversos riscos. Sendo assim, o gerenciamento das mudanças nos processos terá de ser robusto o suficiente para garantir o êxito da sua empreitada.
Quando as empresas estão avaliando o nível de maturidade de um determinado processo de segurança da informação, é muito útil a assessoria de um consultor especializado no assunto nos primeiros dias, a fim de evitar erros na elaboração do plano de crescimento do nível de maturidade e manter seu foco na descrição da situação atual do processo analisado.
A maioria das empresas recorrem primeiro a consultores externos, visando disseminar o conhecimento sobre o SGSI por toda a área de Tecnologia da Informação (TI). Porém, quando os consultores se forem, algum profissional da organização deverá assumir o papel de especialista interno.
Quando aparecerão os primeiros resultados?
Um ano é uma boa estimativa para implementação do plano de crescimento de curto prazo do nível de maturidade da sua organização. Ou seja, os primeiros resultados de melhorias nos processos analisados devem aparecer em 12 meses. Caso as melhorias demorem para aparecer (mais do que 1 ano), os céticos logo começarão a imaginar para que serviram todas aquelas reuniões e discussões.
Depois que as primeiras ações do plano de crescimento estiverem em andamento, será necessário medir com conta-gotas qualquer progresso em termos de eficiência, bem como encorajar todos os envolvidos na implementação das melhorias a defender o novo modus operandi.
Comprometimento e comunicação
O reconhecimento de que um processo de segurança da informação melhorou e o incentivo de recompensas para os responsáveis são técnicas eficazes para manter a avaliação do nível de maturidade e o plano de crescimento em pauta.
Vale a pena obter aprovação do executivo de cargo mais elevado na sua organização para a divulgação sobre como a empresa conseguiu melhorar a qualidade dos seus processos de segurança da informação. Esta ação pode ser um trunfo para que a sua organização ganhe mais credibilidade no mercado e aumente o comprometimento dos seus funcionários.
Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: [email protected].
Enviar Post de Blog por EmailComentários
+ Enviar Comentário
Ir para Perfil
Marcar como Lido
