Inimigos da segurança da informação - Meliante 4

=> Não ter um plano de ação estruturado, priorizando as ações de segurança e possibilitando o alinhamento com as atividades do negócio da organização.

Este comportamento é o nosso quarto inimigo para um processo de segurança de informação efetivo.

Tenho contato com muitos gestores de segurança da informação. Na grande maioria dos casos esse gestor até sabe do que a organização precisa, mas não tem isso formalizado (Vide inimigo 2) e muito menos tem isso priorizado em um plano de ação. Algumas vezes está tudo para o próximo semestre que evidentemente não vai poder ser cumprido e ai fica um círculo vicioso: não recebe recursos porque não entrega produto visível para a organização e não entrega produto porque tem muita coisa por fazer.

Tenho ousado recomendar um plano de ação quando realizo uma consultoria sobre a gestão da segurança. Sei que às vezes pode parecer algo arriscado: dizer que o plano de contingência somente deve ser iniciado nos próximos 12 meses para que seja implantado nos próximos 24 meses é uma dessas situações. Chega um purista (inocente ou cara de pau): “Mas como? Plano de contingência é a sobrevivência da companhia! Temos que começar ontem!” E aí nunca começa. Porque era para começar ontem e ontem já foi e amanhã ainda não chegou.

Prefiro ser profissional e recomendar a implantação de um plano de contingência somente no vigésimo quarto mês, porque a organização está uma bagunça em termos de segurança: não tem gestor da informação, não tem política de cópias de segurança (Backup), não possui políticas e outros regulamentos em relação ao acesso à informação, os usuários não estão conscientizados e além do que se for implantado melhorias físicas simples o ambiente de tecnologia estará bem protegido e com um baixo nível de risco para ameaças tipo incêndio, falta de energia e outras situações.

Na situação acima citada é mais prioritário fazer a melhoria física, elaborar regulamentos, garantir a existência de cópias de segurança e outras ações estruturais. Vamos começar pelo começo. Em segurança vale muito pouco o ôba ôba. Em segurança é importante começar pela base e aí construir um belo edifício, porém, realizando manutenção constante.

Ouse planejar! Dessa forma você terá a possibilidade de alinhar a segurança com as prioridades das ações de negócio e sem notar estará praticando a Governança da Segurança da Informação.

 

---

Edison Fontes, CISM, CISA (edison@pobox.com) é Consultor, Professor e Autor de Livros de Segurança da Informação. Participa da ABSEG, ISACA e InfoSecCouncil.