Não conhecer como a organização está protegida em relação a cada uma das dimensões da segurança da informação é o nosso segundo inimigo para se ter um processo efetivo de proteção da informação.
Quem não tem essa posição da efetividade dos controles de segurança realiza um vôo cego sobre o que deve ser implantado prioritariamente ou que riscos a organização possui e está inocente (ou incompetente). Neste caso as ações de segurança são reativas e nunca se tem um planejamento para as ações segurança. O aspecto emocional vai sobrepor ao aspecto profissional. Outra conseqüência prática em não se ter uma posição a partir de um diagnóstico profissional, é que a organização busca resolver o problema que aparece e esquece as causas. Isto é, ataca a febre e se esquece de resolver a doença. Evidentemente algumas vezes temos que atacar a febre, isto é, a situação existente no momento. Mas não podemos esquecer em resolver a causa raiz.
Um exemplo dessa situação febre/doença é o fato da descoberta de um vazamento de uma base de clientes. Identifica-se que foi através de uma cópia em planilha eletrônica. Resolve-se proibir uso de pen driver por que se pode copiar uma planilha eletrônica para este dispositivo. Isto é febre. O problema é que não se tem um regulamento de acesso á informação, não se tem a função e responsabilidade do gestor da informação, não se têm registro de auditoria (log) indicando o que foi feito de acesso/cópia/alteração em cada informação. Enfim, uma grande confusão com muitas pessoas utilizando seu “achômetro” A solução do problema é estruturarmos o controle de acesso á informação. De repente essa mesma organização tem excelência na solução para situações de contingência. Ótimo! Mas a direção executiva precisa saber das duas situações.
A direção executiva da organização precisa saber de uma maneira não técnica como está a efetividade dos controles de segurança da informação. Abaixo indicamos um exemplo prático de como demonstrar aos executivos e aos acionistas como está a segurança da informação.
Neste exemplo, de uma maneira rápida e simples se verifica que a organização está bem em relação às cópias de segurança fora do ambiente principal, tem um bom plano de contingência, possui um controle de pessoas no acesso aos ambientes físicos e não está bem nas demais dimensões de segurança.
Com um diagnóstico deste tipo e considerando as características da organização, seus objetivos e detalhes da operacionalização do negócio, bem como a complexidade da adoção de controles, pode-se definir um plano de ação com prioridades de desenvolvimento e implantação de controles.
Saber como está a efetividade dos controles de segurança é o primeiro passo para que a organização tenha um efetivo processo de segurança da informação. Não saber a situação da organização em segurança da informação é um inimigo fatal para o processo de proteção da informação.
Se sua organização tem esse tipo de avaliação, parabéns, porém mantenha e aprimore a mesma. Se não tem: corra e faça uma avaliação gerencial do processo de segurança da informação.
Autor:
Edison Fontes – CISM, CISA.