Como planejar a segurança da informação?

Pontos básicos para elaboração do planejamento

Na minha experiência, a maioria das organizações não possuem um planejamento para a segurança da informação. Não pense em algo sofisticado. De uma maneira simples, prática e objetiva, planejar a segurança da informação é ter, após um longo processo, um slide, uma folha de papel ou algo equivalente com as ações previstas para os próximos 36 meses. Algo que se o presidente da empresa perguntar o que será realizado em segurança da informação, você mostra este slide e descreve as ações com início, tempo de duração, fim e prioridade.

É uma informação simples. Mas, porque na maioria das vezes as organizações, melhor dizendo, o gestor da segurança da informação não tem este plano? Respondo: porque para chegar a esta simplicidade do plano final, é necessário: experiência, conhecimento do assunto, experiência, visão de gestão, abordagem profissional e uma grande paciência.

A elaboração do planejamento da segurança da informação pode ser realizada de diversas maneiras, mas considero que alguns pontos são básicos.

 

  1. Planejar é um projeto e exige tempo.

A atividade de planejamento da segurança da informação exige tempo, estudo, reuniões com outros profissionais. Planeje o tempo de planejar. Não é efetivo fazer planejamento nas sobras de tempo.

 

  1. Siga um padrão de controles.

Minha sugestão é que você siga a Norma 27002:2013 que apresenta os controles suficientes para um processo de segurança da informação na organização. Todos os outros padrões, em relação à segurança da informação, se baseiam nesta norma.

 

  1. Faça uma avaliação para guiar o planejamento

Não se preocupe com detalhes. Faça uma avaliação macro dos controles de segurança descritos na Norma 27002:2013, em trinta dias. Sim, trinta dias. Mas que isto, você será convidado a deixar a organização. Alguns detalhes não serão considerados, porém este é o tempo aceitável por toda organização.

Dependendo do tamanho da sua organização, considere a participação de outros profissionais para revisar o seu trabalho.

A partir desta avaliação faça uma priorização utilizando o conceito de gestão de risco de segurança da informação. Tome por base a Norma 27005: 2008. Desta maneira você estará embasado para o item a seguir.

 

  1. Proponha um plano de ações

Baseado na avaliação de riscos e na sua experiência, proponha um plano de ações, considerando prioridades e esforço.

 

  1. Faça uma primeira avaliação/apresentação

Considere a hierarquia da sua organização e faça uma primeira apresentação para seu nível superior e se possível com as demais áreas envolvidas nas ações planejadas. Demostre o porquê da priorização e debata a coerência do plano que você propõe com as características da organização, e outros projetos.

 

  1. Apresente para o Corpo Diretivo da Organização

Considere o porte da organização e apresente para os gestores. Não esqueça que o nível de detalhamento (principalmente o falado), é inversamente proporcional ao nível hierárquico dos gestores.

Em uma apresentação para o presidente, foque nas ameaças que a organização sofre e no produto final de cada atividade ou conjunto de atividades. Se o presidente se interessar e quiser saber detalhes, aí sim, você explica minuciosamente.

Evidentemente que estes passos recomendados acima, devem ser ajustados à sua organização e às características da mesma. Mas é um rumo. Tenha a sabedoria para fazer a adaptação necessária.

 

Você pode questionar, tipo:”…  mas, estamos em uma situação crítica, como vamos pensar em planejar?” Já fui chamado para colaborar com organizações que receberam vários pontos de auditoria relacionados a controles de segurança da informação e a foto do presidente na reunião do Conselho de Administração estava seguida de bolinhas vermelhas indicando estes apontamentos. Em uma situação destas, o planejamento imediato é atender os pontos de auditoria. Mas, este fato não deve impedir que o eficiente Gestor de Segurança da Informação planeja as ações de segurança. Vale a pena lembrar que a auditoria indica pontos e a gestão da segurança da informação é muito mais do que pontos isolados. É responsabilidade do Gestor da Segurança da Informação identificar outras ameaças e vulnerabilidades além das apontadas pela auditoria.

 

Conclusão

Com certeza seu planejamento vai precisar de vários ajustes e mudanças de prioridade ao longo do tempo. Ok! Bem-vindo ao mundo real. Mas tenha certeza: mesmo com planejamento não perfeito, é muito melhor do que nenhum planejamento.

À proposito, o que sua organização planeja para os próximos 36 meses em segurança da informação? Está bom! Para os próximos 12 meses, pode ser? Vá lá, e para os próximos 6 meses? Não tem? Volte para o início deste comentário.

 

Grande abraço.

Edison Fontes, CISM, CISA, CRISC

Coordenador do Comitê de Segurança da Informação da ABSEG.

Consultor Gestor de Segurança da Informação, Riscos, Continuidade e Combate a Fraude.

edison@pobox.com

www.nucleoconsult.com.br

 

Comentários
As opiniões dos artigos/colunistas aqui publicados refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nessa publicação.

Notícias Relacionadas

Copyright 2017 IT Mídia. Todos os direitos reservados.
É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da IT Mídia.