Segurança da Informação em Pessoas, Processos e Tecnologia
Pessoas, Processos e Tecnologia
Continuando a publicação da semana passada, onde abordamos sobre segurança e os três pilares pessoas, processo e tecnologia, vamos ver como elas se complementam e interagem entre si para criação de uma boa estratégia de segurança da informação.
Pessoas
Pessoas, o processo de capacitação, conscientização e aculturamento é fundamental, porém como fazer isso?
Há um velho ditado que diz: Santo de casa não faz milagre.
Não mesmo, ou será que está faltando apoio da alta gestão.
Quantas empresas possuem um trabalho de conscientização, treinamento e aculturamento forte, consistente e regular.
Quantas empresas possuem o CEO falando de segurança da informação? Será que segurança da informação ainda é vista como uma barreira para o ambiente corporativo?
Bom vamos derrubar alguns mitos desses:
Segurança da informação deve ser um facilitador, devemos atender primeiramente ao negócio, gerando o menor impacto possível, garantindo a conformidade e os controles necessários para segurança da informação, apresentando e gerando confiança ao mercado e impulsionando os negócios.
Processos
Os processos são o segundo pilar porquê com base neles deverão ser criados os controles e através dos controles serão criados os indicadores.
Os processos também devem se desdobrar em procedimentos, para que possamos ter padronização das atividades executadas garantindo que mesmo na ausência de qualquer pessoa as atividades possam ter sequência.
Aqui novamente gostaria de ver um CEO defendendo o processo, e entendendo que mesmo as suas solicitações devem passar pelo fluxo, evitando assim a política das patentes, carteiradas e do medo, fortalecer o indivíduo que está ali para cumprir ordens e seguir o definido.
Aqui a segurança tem um papel fundamental de garantir que os processos são seguidos e de acordo com o desenhado, que as pessoas não fogem do papel e que se há algum problema devemos rever o processo e não burlar o processo.
Novamente a Segurança da Informação é o facilitador, devemos atender ao negócio, garantindo os controles e a conformidade em todos o resto.
Tecnologia
Aqui chegamos ao último passo, a tecnologia. Entendendo as pessoas e processos alinhados ao negócio iremos aplicar a tecnologia para garantir os controles.
A tecnologia somente irá garantir que processos mapeados estejam em conformidade, caso contrário poderá iniciar um processo de impacto ao negócio, áreas que não conseguem entregar porquê a tecnologia impacta diretamente, como por exemplo, DLP que é uma ferramenta poderosa, mas sem um processo de classificação consistente, ou se torna um elefante branco ou inviabiliza o negócio.
E assim são outros produtos que sem um bom processo para suportar a tecnologia não trará o resultado esperado e desejado.
Voltamos ao ponto inicial e a reflexão proposta nessa publicação:
Santo de casa faz milagre? A equipe interna de segurança consegue fazer uma boa implementação de segurança da informação?
A resposta é: SIM!