Autoconhecimento na Segurança da Informação eleva a Autoestima
Maurilio Benevento é Diretor de Governança na OpenUX – Serviços e Soluções em TI
 |
| Maurilio Benevento é Diretor de Governança na OpenUX: Vamos buscar a maior maturidade possível em Segurança da Informação, de tal forma que possamos falar com entusiasmo que temos uma Governança em Segurança da Informação (Foto:Divulgação) |
Os dias vão passando e logo encontramos as primeiras reuniões de execução orçamentária, onde a palavra-chave é a redução de custos, contenção de despesas (OBZ), propostas com melhores retornos nos investimentos (ROI), menor tempo na recuperação dos investimentos (Payback), e assim vai o primeiro trimestre do ano.
Quando percebemos estamos dentro do vórtice das demandas, sendo que algumas delas foram ressuscitadas nas primeiras reuniões de KPI.
Essa autoestrada, para alguns, é amada e auto-realizadora e para outros é agonizante. De qualquer forma, esse é o caminho ou a jornada que escolhemos e vamos cumprir a missão.
Onde estamos?
Essa pergunta sempre surge no meio da jornada. Ela pode ser motivada por alguém que tem interesse nas entregas da TIC ou por uma reflexão do executivo de TIC, tendo em vista que a equipe precisa de orientações.
Para outras áreas do conhecimento, ou para quem está em viagem, essa pergunta é simples e objetiva. Entretanto, para a área de TIC a resposta tem diversas vertentes e o pior cenário seria responder sem contextualizar. A pura verdade é que essa pergunta sempre acontece.
Esse é o gancho para sairmos do varejo e focar apenas em segurança da informação. Portanto, vamos perguntar novamente: Onde estamos em Segurança da Informação?
Eu sei que é uma pergunta, igualmente, desconfortável, e sei também que ela vai acontecer com maior freqüência daqui pra frente.
De qualquer forma vamos exercitar um pouco, fazendo outras perguntas:
1) Conseguimos criar um programa de treinamento em segurança da informação para a conscientização contínua das pessoas?
2) O processo de mudanças de setor do colaborador, demissão ou nova contratação já tem a integração entre o RH e o Active Directory?
3) Conseguimos finalizar o workflow para a solicitação do aumento de caixa postal no Exchange?
4) A classificação da informação já é um processo conhecido pelos donos das informações e a rotulação já está acontecendo em todas as áreas?
Enfim, isso foi apenas um exercício. Espero que você consiga responder, positivamente, todas essas perguntas, pois elas serão feitas logo mais por um auditor externo de SGSI. Sim, isso é verdade, já viramos o ano e agora com o término do carnaval as coisas começam a acontecer numa velocidade alucinante, quando nos damos conta, chegou aquela semana de Auditoria.
Certamente que este tema está na mesa de todos os CIOs e não é fruto do último planejamento orçamentário. Este é um assunto recorrente e certamente vem passando de ano após ano. Sabemos que alguns projetos não trazem resultados tangíveis e, portanto, são postergados. Entretanto, a responsabilidade por qualquer incidente de segurança da informação recaí sobre o CIO. Portanto, esperasse que o mínimo em segurança da informação esteja implementado. Podemos considerar que o mínimo citado, é o que considero como perímetro inicial de segurança, que é a implantação do SGSI (Sistema de Gestão de Segurança da Informação).
Se o mínimo já aconteceu, pode-se responder a pergunta de ONDE ESTAMOS com elevada autoestima. Estamos pavimentando a área de Segurança da Informação para proteger o perímetro além de ferramentas.
Para onde vamos?
Acho melhor iniciarmos a resposta, pressupondo que já começamos os trabalhos fundamentais de SGSI. Caso contrário, reconheço uma certa complexidade em responder essa pergunta e não poderia continuar escrevendo esse artigo.
Se o leitor concordar comigo, creio que o cenário futuro é absolutamente intranquilo, imprevisto e tenebroso. O que nos dá um pouco de esperança é sabermos o que não sabemos. Isto é, eu sei o que preciso aprender.
Assim, vencemos o primeiro obstáculo da implantação ou execução dos planos do SGSI, que é a humildade de reconhecer que não vamos (nunca) prever todas as brechas em segurança da informação. São milhares de fatores, que seriam cansativos escrevê-los, então, espero que você apenas considere a complexidade do tema.
A experiência adquirida em implantações de SGSI, nos faz acreditar que existe a possibilidade de nos tornarmos mais robustos em Segurança da Informação, isto é, podemos efetivamente alcançar uma maturidade que eleva a proteção dos ativos de informação e da marca da empresa. É exatamente para onde nós vamos. Vamos buscar a maior maturidade possível em Segurança da Informação, de tal forma que possamos falar com entusiasmo que temos uma Governança em Segurança da Informação.
Concluindo e respondendo como chegaremos lá.
Já ouvimos que caminhar 25km começa com o primeiro passo (mudei um pouco a frase comum). De tudo que foi escrito neste mini artigo, eu resumiria no seguinte: Inicie os trabalhos de SGSI, mesmo que você não tenha orçamento específico para isso.
Esse trabalho não pode mais ser considerado como um projeto a ser realizado, passando de ano a ano, isso precisa ser feito, é o mais importante e não pode estar no quadrante do urgente. Além do mais, esse tema já é recorrente nas TI pelos menos há 10 anos. Particularmente falando, acredito que as pequenas ações reforçam a argumentação na hora de vender um projeto. Se a equipe de TI já está acostumada com senhas fortes, porque não implantar nas outras áreas?
Espero que essa leitura contribua de alguma forma para o seu sucesso.
So, stay tuned.
.jpg)
.jpg)
Nenhum comentário