Segurança da Informação


Um novo começo.

homem olhando o horizonte

Todo ano é a mesma coisa: terminadas as comemorações de natal e estourado o champagne do reveion, mais um novo ano se apresenta diante dos seus olhos atônitos. Sim, vai começar tudo de novo! Pensando sobre isso, a palavra que me vêm a mente neste momento é perspectiva.

Penso que a falta de perspectiva é uma das maiores dores de que a alma humana pode sofrer. A falta dela mina a vontade de viver. Por que? Talvez por que a nossa existência seja um conjunto de pequenos saltos entre pontos que chamamos: nossos objetivos de vida (mesmo que para muitos, infelizmente, estes sejam resumidos a simplesmente, sobreviver mais um dia). Nossos objetivos nos movem e, de certa forma (mesmo que ilusória), dão propósito à nossa vida. Daí todo o início nos reserve, de certa forma, uma expectativa. Por isso imaginamos e, na medida do possível, planejamos como o ano poderá ser. Temos perspectiva.

Para quem trabalha na área de segurança da Informação um bom começo é tentar traduzir suas expectativas em um plano. Mais especificamente, no PLANO ANUAL DE SEGURANÇA DA INFORMAÇÃO. Este plano diz para as áreas funcionais e para sua gerência o que se pretende alcançar durante o ano. Além disso, um plano como este confere a você que o elaborou o mérito de não ser considerado somente um aventureiro que depende somente da sorte. Você sinaliza, tal qual em um jogo de sinuca, em que bola você está querendo acertar. E cá entre nós, isso traz coerência para seu trabalho.

A pergunta é: como elaborar um plano de segurança? Posso falar por mim. A companhia onde trabalho solicita a cada um dos seus colaboradores que, a cada início de ano, sejam definidos e acordados com a gerência imediata os objetivos a serem alcançados durante este período. De forma similar, defino também alguns macro objetivos para a área de segurança da informação que estejam em consonância com os objetivos de negócio da companhia. Aliás, a missão do plano de segurança será a de justamente, assegurar que eles sejam alcançados através da implementação de controles e ações corretivas nos processos e sistemas de informação que lhes dão suporte.

Cada macro objetivo deve ser fundamentado em projetos (exequíveis hein!). Os projetos podem ser definidos somente por você, caso diga respeito somente a sua área, ou, podem ser elaborados em conjunto com as áreas funcionais utilizando-se de um método de modelagem conjunta. Para facilitar esse trabalho, talvez uma abordagem interessante seja procurar inicialmente entender e deixar clara a missão de cada área envolvida e, logo após, procurar identificar que pessoas, tecnologias e processo suportam essa missão. Quando chegamos a esse termo já temos condições de conversando, buscar alguma vulnerabilidade ou incompatibilidade com a política de segurança que precise ser corrigida.

A partir da identificação dos projetos, defina um prazo e um líder de projeto de forma a servir como um ponto de contato para o seu acompanhamento. Caso você seja o gestor de segurança da informação de sua empresa é sua a responsabilidade geral por todos os projetos. Portanto, atenção na identificação dos líderes que irão te auxiliar.

Quero aproveitar para desejar a vocês que acompanharam essa coluna durante 2005 um ótimo ano, cheio de realizações e que continuem com a gente em 2006.

Abraços!

Carlos Santanna - Security OfficerCarlos Santanna é certificado BS7799 Lead Auditor pelo DNV e trabalha como Security Officer de uma multinacional e anda meio cético.
carlos.santanna@internativa.com.br