Segurança da informação pra que?
Estou presenciando um grande avanço na procura e no interesse de empresas em segurança da informação, claro que ainda não é o ideal, mas estou percebendo algumas mudanças de postura dos CEO´s em geral. Mas vejo ainda muitos problemas, mesmo com a adoção da segurança da informação pela empresa ou corporação, principalmente, pela falta de conhecimento dos CEO´s em relação ao processo de S.I., uma das questões e a falta de adoção das políticas e procedimentos por parte da alta gerencia da corporação.
Dentro de qualquer meio social a exemplo deve ser dado de cima para baixo, a exemplo podemos colocar como exemplo a historia do crachá, onde em uma determinada empresa que queria adotar o uso do crachá pelos seus colaboradores fez uma pesquisa e descobriu que nenhum aceitaria o uso do crachá, pois não seriam marcados como “gado” pelos chefes, dessa forma todos da alta gerencia passaram a usar o crachá, dessa forma todos os colaboradores, quiseram ter o crachá, pois era uma identidade na empresa.
Dessa forma, com a adoção de determinada “obrigação” pela alta gerencia e aceitação das regras, as classes mais baixas aceitam mais facilmente e outras vezes defendem a sua adoção.
Um dos pontos mais importantes “na minha opinião” para segurança da informação é a dita “carteirada”, é muito comum em ambientes com modelos hierárquicos ou familiar autoritários, é interessante acompanhar os termos que são utilizados, como o chefe, o dono, a diretora, o diretor, o ban-ban-ban, o cara, outras vezes “quem paga seu salário”, dessa forma cria-se a visão dos chefes como os intocáveis, os inalcançáveis e sempre essa técnica funciona. Quando o chefe desce ninguém nem olha para ele, outros correm para o banheiro, se ele pergunta algo, as respostas são evasivas e sempre as coisas estão muito boas e sem problemas.
Outros problemas muito comuns são a falta de uma documentação formalizada de normas, procedimentos, diretrizes, manuais e entre outros disponibilizados e de fácil acesso e indexada, muitas das empresas desenvolve a documentação necessária, mas esquece de indexar, classificar e disponibilizar em ambiente adequado, fazendo com que muitas vezes essa documentação seja largada as traças dentro de gavetas, em diretórios na rede, em sistemas de intranet.
Dessa forma algumas perguntas precisam ser feitas antes de começar ou dar continuidade em um processo de segurança de informação.
O que existe hoje na empresa sobre segurança da informação?
Existem alguma legislação que deve ser contemplada no processo de segurança da informação?
Quais as normas ou frameworks são utilizados pelos departamentos?
Quais os indicadores da empresa como numero de chamados do central de serviços a cerca de problemas com vírus, ou quais os indicadores de problemas nos sistemas corporativos. É necessário elaborar um relatório como uma fotografia da real situação da empresa e elaborar o plano de ação com as metas a serem atingidas.
Nas próximas postagens vou comentar um pouco sobre os itens que vejo como importante para cada passo do processo de implantação de uma gestão de segurança da informação de qualidade.