Segurança da Informação é uma das questões prioritárias para qualquer organização, principalmente as que executam transações via Internet. Leis recentes como a GDPR na Europa, e LGDP no Brasil definem regras que impulsionam a implementação de controles de segurança e proteção de dados antes inexistentes. A área de TI está no centro do controle, enquanto outras áreas possuem um papel fundamental de apoio, como a de controles internos e, principalmente, a jurídica, que auxilia a aplicação das leis externas. Por outro lado, todas as áreas de uma organização são responsáveis em administrar o ativo de informação que está disperso em cada setor, e essa dispersão merece um controle contínuo.
Perguntas comuns nesse contexto: Como deve ser estruturado um sistema de gestão de segurança? Por onde deve ser iniciado? Tenho que contratar uma consultoria? Posso terceirizar a função de segurança da informação?
Nesse cenário, possuir um sistema efetivo de gestão de segurança da informação é o primeiro passo para que uma empresa possa estar alinhada com as melhores práticas. Esse sistema deve possuir pelo menos três elementos básicos: processos, pessoas e tecnologia.
Em processos, a definição precisa de uma política de Segurança da Informação, que deve expor claramente os princípios, as regras gerais, e delinear uma estrutura básica de procedimentos, padrões e controles. Essa política deve ser divulgada de forma ampla, interna e externamente, e passar por revisões periódicas em função das mudanças do cenário externo em que a organização atua.
O principal elemento de um sistema de gestão de Segurança da Informação são as pessoas. Por isso, existe a necessidade de uma campanha constante de conscientização para todos os colaboradores da organização e todos os agentes que interagem com a equipe. As pesquisas mostram que a maior deficiência de segurança ainda reside nos erros e desvios cometidos pelas pessoas.
Finalmente, mas não menos importante, a tecnologia. Atualmente, a quantidade de soluções tecnológicas é vasta, o que exige um cuidado desde a fase de análise de mercado até a identificação, seleção e implementação de ferramentas.
A tendência é que as soluções tecnológicas sejam cada vez mais avançadas para combater as ameaças, que também seguem em constante evolução. Isso exige uma avaliação frequente do sistema de gestão atual, para identificar as vulnerabilidades e estabelecer ações para eliminá-las.
O ideal é que a função de Segurança da Informação esteja posicionada na empresa como uma área estratégica, com reporte direto ao principal executivo, porém depende do tamanho e cultura da organização. Tradicionalmente, a função está inserida na área de TI.
Dentro desse modelo, a área de TI precisa ter um papel atuante e atualizado com o mercado, o que nem sempre é uma tarefa fácil. Um dos fatores mais críticos é o de apresentar aos executivos os benefícios dos investimentos em soluções de segurança. É uma atividade complexa, que exige uma parceria forte com auditoria e controles internos, para que juntos definam um plano de atuação e quais os benefícios almejados. Eleger um processo crítico é outro passo muito importante: identificar as aplicações críticas, definir e implementar soluções de proteção podem ser ações iniciais.
Cada vez mais as organizações estão conectadas umas às outras e possuem uma dependência crescente no uso de TI. Segurança é uma função prioritária nas empresas, e que tem sido cada vez mais cobrada pelos consumidores e usuários. Portanto, merece um foco de gerenciamento privilegiado.
Finalmente, é importante ressaltar a necessidade de as empresas terem pelo menos um profissional com essa responsabilidade , que precisará exigir um suporte executivo constante para a execução eficiente de suas funções. Terceirização ou outsourcing da função pode ser uma alternativa, porém deve ser analisada em detalhes para não comprometer a qualidade do modelo de gestão.