Segurança da Informação em Pessoas, Processos e Tecnologia

Pessoas, Processos e Tecnologia

Continuando a publicação da semana passada, onde abordamos sobre segurança e os três pilares pessoas, processo e tecnologia, vamos ver como elas se complementam e interagem entre si para criação de uma boa estratégia de segurança da informação.

Pessoas

Pessoas, o processo de capacitação, conscientização e aculturamento é fundamental, porém como fazer isso?

Há um velho ditado que diz: Santo de casa não faz milagre.

 Não mesmo, ou será que está faltando apoio da alta gestão.

Quantas empresas possuem um trabalho de conscientização, treinamento e aculturamento forte, consistente e regular.

Quantas empresas possuem o CEO falando de segurança da informação? Será que segurança da informação ainda é vista como uma barreira para o ambiente corporativo?

Bom vamos derrubar alguns mitos desses:

Segurança da informação deve ser um facilitador, devemos atender primeiramente ao negócio, gerando o menor impacto possível, garantindo a conformidade e os controles necessários para segurança da informação, apresentando e gerando confiança ao mercado e impulsionando os negócios.

Processos

Os processos são o segundo pilar porquê com base neles deverão ser criados os controles e através dos controles serão criados os indicadores.

Os processos também devem se desdobrar em procedimentos, para que possamos ter padronização das atividades executadas garantindo que mesmo na ausência de qualquer pessoa as atividades possam ter sequência.

Aqui novamente gostaria de ver um CEO defendendo o processo, e entendendo que mesmo as suas solicitações devem passar pelo fluxo, evitando assim a política das patentes, carteiradas e do medo, fortalecer o indivíduo que está ali para cumprir ordens e seguir o definido.

Aqui a segurança tem um papel fundamental de garantir que os processos são seguidos e de acordo com o desenhado, que as pessoas não fogem do papel e que se há algum problema devemos rever o processo e não burlar o processo.

Novamente a Segurança da Informação é o facilitador, devemos atender ao negócio, garantindo os controles e a conformidade em todos o resto.

Tecnologia

Aqui chegamos ao último passo, a tecnologia. Entendendo as pessoas e processos alinhados ao negócio iremos aplicar a tecnologia para garantir os controles.

A tecnologia somente irá garantir que processos mapeados estejam em conformidade, caso contrário poderá iniciar um processo de impacto ao negócio, áreas que não conseguem entregar porquê a tecnologia impacta diretamente, como por exemplo, DLP que é uma ferramenta poderosa, mas sem um processo de classificação consistente, ou se torna um elefante branco ou inviabiliza o negócio.

E assim são outros produtos que sem um bom processo para suportar a tecnologia não trará o resultado esperado e desejado.

 Voltamos ao ponto inicial e a reflexão proposta nessa publicação:

Santo de casa faz milagre? A equipe interna de segurança consegue fazer uma boa implementação de segurança da informação?

A resposta é: SIM!

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *