Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 1

Vamos iniciar nosso tema seguindo a estrutura da norma ABNT NBR ISO/IEC 27.001:2013, que corresponde aos requisitos para certificação do Sistema de Gestão de Segurança da Informação – SGSI.

1. Escopo

Sem definir um escopo de aplicação do SGSI será mais difícil e trabalhoso de implantar, muitas empresas definem o seu escopo de acordo com a criticidade e o risco de acordo com a operação, entendo como o mais correto a se fazer, pois a empresa ou organização deve primeiramente proteger o a estrutura fundamental da empresa depois estender para áreas menos criticas.

2. Referência normativa

Sempre buscar as referencias normativas da organização, exemplo empresas já certificadas em Sistema Gestão de Qualidade ABNT NBR ISO/IEC 9.001:2008 e Sistema de Gestão de Serviços ABNT NBR ISO/IEC 20000-1:2011, é possível utilizar a mesma estrutura do Sistema de Gestão aplicada para adequar ao Sistema de Gestão da Segurança da Informação, “não temos necessidade de reinventar a roda, apenas adaptamos a nova necessidade”.

3. Termos e definições

Os termos e definições devem ser uma ferramenta para normalizar a linguagem dentro da organização.

4. Contexto da Organização

Para implantação Sistema de Gestão de Segurança da Informação – SGSI deve ser primeiramente alinhado com a alta gestão da empresa podendo ser o presidente, conselho administrativo ou outra entidade, mas sempre deve ser o cargo mais elevado da organização, esta iniciativa é necessária para que a estratégia de segurança esteja alinhada as expectativas e metas da organização.

Já presenciei iniciativas de segurança da informação que são criadas dentro de TI e dali o profissional ou a equipe de SI cria políticas e procedimentos de segurança e disponibiliza para a empresa como um todo, normalmente haverá uma forte tendência dessas iniciativas falharem, simplesmente porque a regra foi imposta por um par da gerência, não por um superior hierárquico, outros se apoiam em auditorias externas para falar o que deve ser corrigido, mas se a auditoria não for um requisito também haverá grandes chances de fracasso.

Pois bem! Digamos que a alta gestão da empresa ou organização está alinhada, o plano estratégico de Segurança da Informação está de acordo com as metas da empresa, há requisitos de auditorias externas ou de 3º parte, requisitos contratuais, você deve estar pensando chegou à parte mais fácil, implantar a Segurança da Informação será simples, adianto que você está errado.

Agora chegou a hora em que vamos separar o bom profissional do profissional “by de book”, um bom profissional de segurança da informação deve ter alguns pontos importantes:

1. Ele deve ser o exemplo da empresa, todas as regras e requisitos de segurança que propor à empresa, este profissional ser o primeiro a seguir;
2. Sempre ser um excelente consultor, muitas vezes a equipe técnica ou equipe operacional não terá qualquer noção do que vocês estão solicitando ou então dirá de que não entendeu;
3. Algumas vezes deverá ser firme e duro em suas convicções e no trabalho que está sendo executado, outras vezes deverá ceder e ser complacente com o colaborador;
4. Terá muitas vezes que ser o dedo-duro da empresa, você avisou, pediu gentilmente, conversou, tentou faze-lo compreender a necessidade do procedimento, do processo ou da política e mesmo assim ele não se mexeu, não resolveu e muitas vezes nem deu bola, você deverá escalar;
5. Assim chegamos ao quinto ponto, deve ser muito organizado e possuir sempre tudo documentado, porque no item 4 normalmente você deverá ir pautado com evidências de conversas e cobranças dos assuntos para que o superior imediato ou não possa ter uma base para iniciar uma cobrança encima do colaborador;
6. Por último somos profissionais de múltiplas faces, algumas vezes devemos ser psicólogo, escutando os problemas das pessoas, ajudando e aconselhando, já outras vezes devemos nos portar como policiais do BOPE chegando mais pesado, utilizando da “força” e fazer acontecer pautado nas Políticas, Normas e Procedimentos. Outras vezes devemos ser político “você me ajuda aqui e eu te ajudo ali“, mas não ao ponto de comprometer a estratégia do negócio e do SGSI, entre outras facetas que devemos criar e nos adaptar a cada dia.

Bom no próximo post vamos nos aprofundar nos requisitos da ABNT NBR ISO/IEC 27001:2013, passando pelos itens de 4 a 10.