Muitas organizações estão preocupadas com a Segurança da Informação e desenvolvem os mais diversos tipos de projetos sobre o tema. A semente destes projetos de segurança na maioria das vezes é plantada dentro da área de Tecnologia da Informação devido à grande herança da Segurança de Redes, mas este é o caminho certo? A segurança da Informação consegue crescer em outra área ou departamento?
A resposta desta pergunta está dentro da própria organização. Para que seja possível identificar a resposta é importante contextualizar. A Segurança da Informação pode ter (deveria ter sempre) alta aderência a norma ISO/IEC 27002:2005. A norma estabelece 133 controles de segurança que abrangem as mais diversas áreas de uma organização e, justamente por isso, alguns controles fogem do controle da TI. Podemos exemplificar as questões de segurança física como: controle de acesso ao ambiente, controle de entrada e saída de ativos e controle de conformidade legal, principalmente com as questões de recursos humanos.
Além disso, a herança de segurança de redes faz com que a TI assuma a responsabilidade por várias ações (que são realmente de sua responsabilidade) e enderece a outras unidades ou departamentos a necessidade de estabelecer controles, normas e atividades. Mas como hierarquicamente acontece esta relação?
Na maioria das vezes a relação é delicada e muito mais apoiada por uma ordem superior do que por consciência e cooperativismo. O sucesso da Segurança da Informação em uma organização é muito mais dependente de capacitação, conscientização e treinamento do que dos controles técnicos propriamente ditos. A grande maioria das organizações ainda não possui a maturidade adequada para tratar a Segurança da Informação fora do ambiente de TI. O caminho para esta evolução pode ser entendido como o seguinte:
1º. ETAPA EVOLUTIVA
A Segurança da Informação é tratada por uma equipe de TI, geralmente abaixo da coordenação de Infraestrutura, com grande ênfase em Segurança de Redes. Esta equipe está direcionada a trabalhar baseada em incidentes, ou seja, reativamente. Muitas normas pensando em limitar o uso de recursos, como o acesso a Internet, correio eletrônico, guarda de documentos, etc. Nesta etapa evolutiva não existe a abordagem através de uma matriz de risco. Existe grande dificuldade de propor controles pela organização e a aceitação destes é muito baixa. As áreas de negócio sempre questionam os controles e alegam o engessamento das atividades. O tempo de vida de um controle na organização é baixo.
2º. ETAPA EVOLUTIVA
A Segurança da Informação ainda é tratada por uma equipe de TI, mas como uma coordenação independente, mantendo a ênfase em Segurança de Redes, mas agora com uma abordagem visando os serviços de TI como um todo. Esta equipe está direcionada a trabalhar com mais planejamento, principalmente sobre os sistemas de informação e controle de usuários e possui uma boa base de conhecimento em incidentes. Possuem reatividade para alguns tipos de incidentes e pro atividade para outros. Muitas normas pensando em limitar o uso de recursos, como o acesso a Internet, correio eletrônico, guarda de documentos, etc., mas já existem também políticas gerais e uma visão um pouco mais organizacional. Nesta etapa evolutiva pouco se usa a matriz de risco, pois existe grande dificuldade de alinhar a segurança com os requisitos de negócio. A aceitação de controles é maior, mas ainda com pouca aceitação. As áreas de negócio conseguem entender melhor as iniciativas de segurança, com menos questionamentos. O tempo de vida de um controle na organização é maior, mas peca em eficiência e eficácia.
3º. ETAPA EVOLUTIVA
A Segurança da Informação atinge finalmente todas as fronteiras da organização com alta aderência. O grupo de gestão da segurança é composto por colaboradores de todas as áreas de negócio e também pela TI. As ações de segurança possuem alto alinhamento com os requisitos de negócio da organização, oferecendo retorno de investimento tangível e intangível. Esta equipe está direcionada a trabalhar com padrões rígidos de planejamento, implantação, análise e melhoria dos processos (PDCA). Os incidentes são analisados individualmente, assim como a avaliação dos danos. A existência da matriz de riscos é clara e sempre comparada com os danos reais. Nesta etapa a aceitação de controles é muito grande e seu monitoramento é realizado por quase todos os colaboradores (não apenas a equipe de Segurança da Informação). O tempo de vida de um controle na organização é proporcional a sua relação com as operações de negócio que protege, sempre monitorado e medido em relação a sua eficiência e eficácia.