Profissionais TI - Pra quem respira informação

A elaboração de uma política de segurança da informação é uma tarefa complexa e trabalhosa. Devido a alguns fatores como, monitoramento contínuo, revisões e atualizações periódicas e seus benefícios, muitas das vezes os só serão notados a um médio ou longo prazo. Ela, que é inviável aos olhos de algumas pessoas. Mas com a situação atual do mundo dos negócios onde se tem o crescimento do uso de tecnologias, para diminuir custos e aumentar a produtividade, com sistemas cada vez mais interligados. Cria-se então a necessidade de tornar esta tecnologia segura e confiável.

O desenvolvimento e a implantação de uma política segurança da informação em uma empresa é uma importante ferramenta para combater ameaças aos ativos de uma empresa. Lembre-se eu disse combater (minimizar) as ameaças de uma empresa. Uma ilusão de muitos administradores de empresas é que a adoção de ferramentas como antivírus, firewall ou qualquer iniciativa com a finalidade de aumentar a segurança na empresa. Vai garantir a organização 100% de segurança, este é um erro clássico. Mas voltando a nosso tema inicial.

A política de segurança é um conjunto de diretrizes, normas e orientações de procedimentos que visam conscientizar e orientar os funcionários, clientes, parceiros, colaboradores e fornecedores para o uso seguro dos ativos da empresa. Existem muitos fatores que podem definir se uma política de segurança da informação vai ser um sucesso ou não.

A primeira coisa a ser feita é a criação de uma comissão composta por diversos profissionais de diferentes setores da empresa, quanto mais abrangente puder ser esta comissão maior será a divulgação das diretrizes de segurança na empresa. Outro beneficio de uma comissão abrangente, é que como existem profissionais de diversos setores da empresa, estas pessoas trazem consigo os requisitos de segurança dos locais em que eles trabalham.

Mas como definir o tamanho desta comissão? Para responder esta questão deveremos usar o bom senso e analisarmos alguns pontos:

• Qual é o nível de abrangência eu quero/posso ter
• O tamanho da comissão não vai atrapalhar a produtividade da comissão ou a empresa?
• Quem serão as pessoas a serem convidadas a participarem
• Quem são as pessoas chaves do processo de “produção” da empresa?

Depois da criação desta comissão é necessário definir quais os ativos da empresa deve ser protegido e principalmente, qual é o nível de segurança que cada ativo deve ter. Lembrando que ativo é tudo aquilo que tem algum valor para a empresa, como por exemplo, podemos citar as informações estratégicas, equipamentos e seus funcionários.

Esta analise dos riscos de cada ativo deve considerar o impacto no negócio causado por uma falha de segurança e a probabilidade de ocorrência desta falha. Outro fator que deve ser considerado é que esta analise deve ser refeita periodicamente de acordo com o ativo, para que se verifique como esta a situação do risco residual do ativo que pode ter aumento com o surgimento de um novo risco.

Através desta analise é possível definir quais os ativos precisam ser mais protegidos e consequentemente onde será empregado mais dinheiro, lembrando que o custo da proteção do ativo não deve ser maior que o valor financeiro do ativo ou o impacto causado por uma falha de segurança neste ativo.