blog.dennyroger.com.br

O que deve ser analisado ao se montar um departamento de segurança da informação.

Por Denny Roger

Os conhecimentos em segurança da informação estão contidos em diferentes modelos atualmente existentes: dentre eles temos os modelos da NBR ISO/IEC série 27000 (segurança da informação).

Os conhecimentos relacionados ao Sistema de Gestão de Segurança da Informação (ISO 27001) e ao Código de prática para a Gestão da Segurança da Informação (ISO 27002) devem estar difundidos em toda organização. Porém, no momento de estruturar um departamento de segurança da informação, as empresas encontram um cenário preocupante.

Primeiro ponto: o analista de segurança da informação deve ter um elevado conhecimento técnico. Não estou me referindo às certificações, estou falando de conhecimento prático e experiência no assunto.

Segundo: algumas empresas insistem em promover alguém interno ao cargo de Gerente de Segurança da Informação. O profissional promovido, na realidade, possui um perfil muito diferente do necessário para assumir a responsabilidade.

Como exemplo, vou descrever o perfil relacionado a um caso real envolvendo um colega meu que foi promovido ao cargo de Gerente de Segurança da Informação:

• Ele possui experiência em disciplinas mais amplas, como banco de dados e desenvolvimento de software, utilizando recursos de segurança da informação muito básicos.

• Não possui um histórico de participação em palestras/eventos ou treinamentos sobre segurança da informação.

• Desconhece padrões internacionais de segurança da informação (por exemplo, ISO 27002) e não acompanha os boletins sobre as novas ameaças na internet.

• Realiza a leitura apenas de livros relacionados a tecnologias de banco de dados e linguagens de desenvolvimento de software.

• Possui curso superior de tecnologia em banco de dados, MBA em Gestão de Tecnologia da Informação e certificações da Microsoft e da Oracle.

Você conseguiu adivinhar qual era o papel dele na empresa? Isso mesmo! Ele era o responsável pela administração do banco dados. Agora, ele é o Gerente de Segurança da Informação.

Terceiro: algumas empresas criam um departamento de segurança da informação para fazer gestão de acesso ao ambiente computacional. Ou seja, criar usuários, alterar senhas, configurar permissões em diretórios etc. Tudo isso para atender regulamentações ou auditorias.

Quarto: criar um departamento de segurança da informação subordinado à área de Tecnologia da Informação é o erro mais comum das organizações.

A área de segurança deve estar alinhada ao departamento jurídico e à auditoria no organograma. A área de segurança da informação subordinada ao diretor de TI funciona mais como um suporte técnico do que uma área responsável pelo Sistema de Gestão da Segurança da Informação.

Fatores de sucesso

O sucesso da sua empresa não está ligado ao arsenal tecnológico. Existem alguns fatores que devem ser considerados ao decidirmos criar uma equipe de segurança da informação e implementar um Sistema de Gestão da Segurança da Informação. O primeiro fator é obter a aprovação dos gestores da organização para iniciar o projeto de implantação do Sistema de Gestão da Segurança da Informação.

Nesta fase, a equipe de projetos apresenta as prioridades e objetivos e escopo para a implantação do Sistema de Gestão da Segurança da Informação. Deve também discutir uma alteração na estrutura organizacional da empresa, incluindo responsabilidades, para atender aos objetivos do projeto e às necessidades de negócio.

O produto final desta fase é a aprovação e o comprometimento dos gestores para a implementação do Sistema de Gestão da Segurança da Informação.

O segundo fator é o desenvolvimento do diagnóstico e análise do nível de maturidade. Durante esta fase, mapeamos a situação atual da organização e apresentamos uma relação de melhorias necessárias nos processos de segurança da informação para estruturarmos uma ligação entre o planejamento estratégico da organização e a implementação do sistema de de segurança.

O terceiro aspecto é a criação de um Comitê Interdepartamental para o desenvolvimento da política e normas de segurança da informação, incluindo apoio do conselho administrativo e/ou da alta direção, baseada nas diretrizes da Governança da Segurança da Informação, necessidades de negócio e regulamentações.

Com o apoio da cúpula

A criação de uma equipe de segurança da informação e a definição de suas responsabilidades depende, principalmente, das diretrizes estabelecidas pelo conselho administrativo e/ou diretores. Essas diretrizes devem estar documentadas na política de Governança da Segurança da Informação.

A Governança da Segurança da Informação irá esclarecer aos gestores sobre os objetivos estratégicos da empresa, em relação à segurança da informação, e apresentará uma lista dos requisitos legais/regulamentações, o que envolve requisitos contratuais de segurança da informação aplicáveis ao negócio.

A combinação dos três fatores ajudará sua empresa na criação de uma equipe de segurança da informação e na implantação de um Sistema de Gestão da Segurança da Informação.

Denny Roger é diretor da EPSEC (www.epsec.com.br), membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: [email protected], Twitter: http://twitter.com/dennyroger, Blog: http://blog.dennyroger.com.br/.

Fonte: http://idgnow.uol.com.br/seguranca/m...08.2266571128/