O que todo CEO deve saber sobre Segurança da Informação?

A segurança da informação existe para que a organização alcance seus objetivos corporativos naquilo que depende da informação ou de recursos de informação.

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

A segurança da informação existe para que a organização alcance seus objetivos corporativos naquilo que depende da informação ou de recursos de informação. Elaborei esta definição, baseada nos ensinamentos do meu Guru Thomas Peltier. Portanto se o foco é o conjunto de objetivos corporativos, o CEO (Chief Executive Officer) deve estar comprometido.

Porém, o que um CEO deve saber de segurança da informação? Não precisa conhecer em profundidade. O CEO precisa receber informações confiáveis para priorizar as ações, considerando os requisitos do negócio, o porte e as limitações da organização. Descrevo abaixo os dez principais temas ou itens que este executivo precisa tem a obrigação de conhecer.

1. Segurança da Informação é um Processo Corporativo e o CEO é responsável pela sua existência!

A segurança da informação não é uma atividade exclusivamente da área de tecnologia da informação, nem existe para atender pontos de auditoria. O CEO deve garantis a existência do Processo Corporativo de Segurança da Informação da organização. Este processo deve considerar o ambiente digital (bits) e o ambiente material (átomos). Ele considera todas as áreas da organização e todas as formas de comunicação e tratamento da informação: estruturada ou não estruturada como redes sociais ou redes de mensagens.

2. O sucesso da Segurança da Informação é proporcional ao poder de independência da área.

Quanto mais autonomia a Área de Segurança da Informação possuir, mais chances de sucesso o Processo Corporativos de Segurança da Informação terá. Minha sugestão é que esta área reporte ao CEO. Desta maneira ela poderá transmitir com total liberdade o grau de maturidade de segurança da informação à organização possui e como as demais áreas estão colaborando ou impedindo a proteção da informação.

3. É obrigatório a existência de um Gestor da Segurança da Informação. Com nome e sobrenome.

O Processo Corporativo de Segurança da Informação exige para o seu andamento adequado a dedicação de um gestor específico. Que tenha experiência e conheça o assunto da maneira completa. Evidentemente em organizações menores, este gestor pode ser um consultor que pode ter dedicação parcial.

4. O grau de maturidade da sua organização em segurança da informação e receber uma recomendação de planejamento.

O Gestor da Segurança da Informação deve apresentar ao Corpo Diretivo da organização, a situação do nível de maturidade em segurança da informação da organização e deve também propor uma priorização de ações que será validada ou alterada pelo CEO junto com o Corpo Diretivo da organização.

5. Segurança da Informação não é Compliance. Segurança possibilita o Compliance

A segurança da informação se cristaliza pelos regulamentos (políticas e normas) e pelas as ações que implementarão estes regulamentos. Com a existência dos controles definidos nos regulamentos, o Compliance pode ser realizado.

6. Segurança da Informação é um processo proativo. O CEO não deve receber notícias bomba.

O Processo Corporativo de Segurança da Informação deve ser estruturado e deve planejar todos os macrocontroles que a organização deve ter, O CEO deve saber quais os macrocontroles estão implementados e os que não tem. Mas, nunca um CEO pode ser pego “de surpresa” sobre um ponto que ninguém nunca o alertou: seja em uma reunião do conselho, seja em um relatório de auditoria. Pontos de auditoria não são surpresas para o CEO, quando o CEO contratou um bom e experiente Gestor da Segurança da Informação.

7. O CEO deve apoiar a segurança da informação e deve ser exemplo e exigir que seu Corpo Diretivo seja exemplo.

O CEO deve explicitamente apoiar o Processo Corporativo de Segurança da Informação, ser um exemplo e deve exigir que o primeiro escalão da organização também seja um exemplo. Apoiar não significa que a segurança vai estar acima de todas as prioridades. Apoiar significa que a segurança da informação será considerada de maneira profissional e compatível com a organização.

8. A organização deve buscar 100% de segurança.

Muitos dizem que 100% em segurança é impossível. Essas mesmas pessoas querem 100% de garantia de que o voo que vão fazer de São Paulo para o Rio de Janeiro é seguro. Eu afirmo que é possível termos 100% de segurança desde que seja definido os controles que queremos considerar e ter um escopo e cenário definidos. É um esforço e uma sabedoria profissional. Mas, se não seguirmos nesta linha, a organização vai ficar lamuriando que 100% não é possível e por isto a segurança não está boa. O CEO deve exigir 100% de segurança com controles explícitos.

9. É necessário seguir uma estrutura

Recomendo que seja tomada por base teórico-prática a Família de Normas ISO/IEC 27000. É um padrão internacional, da ISO, traduzido para o português, aprovada e publicada pela ABNT, utilizada pelo Banco Central, SUSEP e outros órgãos regulamentadores. No exterior é tomada por base para atender a lei americana SOX (Sarbanes-Oxley).

10. A Segurança da Informação exige recursos.

O Processo Corporativo de Segurança da Informação exige recursos. Não acontece por milagre ou obra e graça de uma entidade divina. A organização utiliza recursos: financeiros, tempo, de criação de cultura, de espaço na agenda do Corpo Diretivo e outros recursos. O recurso financeiro é o mais falado, mas não é o único. Muito pode ser feito com pouco recurso financeiro. Porém, ainda hoje existem organizações que no seu planejamento estratégico e no planejamento operacional com seus respectivos orçamentos, não consideram a segurança da informação.

O CEO não precisa ser um especialista em segurança da informação para proteger adequadamente a organização. Precisa estar consciente das suas responsabilidades e precisa contar com um bom Gestor da Segurança da Informação.

À propósito, o CEO da as organização sabe de tudo isto?

 Edison Fontes, CISM, CISA, CRISC

Coordenador do Comitê de Segurança da Informação da ABSEG.

Consultor Gestor de Segurança da Informação, Riscos, Continuidade e Combate a Fraude.

edison@pobox.com

www.nucleoconsult.com.br

Comentários
As opiniões dos artigos/colunistas aqui publicados refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nessa publicação.

Notícias Relacionadas

Copyright 2017 IT Mídia. Todos os direitos reservados.
É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da IT Mídia.