Jorge Cordenonsi, CIO da Europ Assistance Brasil
Toda organização, principalmente as que executam transações via Internet, precisam considerar a segurança da informação como uma prioridade em seu negócio. Leis recentes, como a GDPR na Europa, e LGDP no Brasil definem regras que impulsionam a implementação de controles de segurança e proteção de dados antes inexistentes. A área de TI está no centro dessa função, enquanto outras desempenham papel fundamental de apoio, como a de controles internos e, em particular, a jurídica, que auxilia na aplicação das leis externas. Por outro lado, todas as áreas de uma organização são responsáveis em administrar o ativo de informação, que está disperso em cada setor, e essa dispersão requer um controle contínuo.
Algumas perguntas comuns nesse contexto: Como deve ser estruturado um sistema de gestão de segurança? Por onde deve ser iniciado? Tenho que contratar uma consultoria? Posso terceirizar a função de segurança da informação?
Nesse cenário, possuir um sistema efetivo de gestão de segurança da informação é o primeiro passo para que uma empresa possa se alinhar às melhores práticas. Esse sistema deve possuir pelo menos três elementos básicos: processos, pessoas e tecnologia.
Em processos, é preciso definir uma política de Segurança da Informação, que irá expor claramente os princípios, as regras gerais, e delinear uma estrutura básica de procedimentos, padrões e controles. Essa política deve ser divulgada de forma ampla, interna e externamente, e passar por revisões periódicas em função das mudanças do cenário externo em que a organização atua.
O principal elemento de um sistema de gestão de Segurança da Informação são as pessoas. Por isso, existe a necessidade de uma campanha permanente de conscientização para todos os colaboradores e agentes que interagem com a equipe. As pesquisas mostram que a maior deficiência de segurança ainda reside nos erros e desvios cometidos pelas pessoas.
Finalmente, mas não menos importante, a tecnologia. Atualmente, a quantidade de soluções tecnológicas disponíveis é vasta, o que exige muito cuidado, desde a fase de análise de mercado até a identificação, seleção e implementação de ferramentas.
A tendência é que as soluções tecnológicas sejam cada vez mais avançadas para combater as ameaças, que também seguem em constante evolução. Isso exige uma avaliação frequente do sistema de gestão atual, para identificar as vulnerabilidades e estabelecer ações para eliminá-las.
O ideal é que a função de Segurança da Informação esteja posicionada na empresa como uma área estratégica, com reporte direto ao principal executivo, porém depende do tamanho e cultura da organização. Tradicionalmente, a função está inserida na área de TI.
Dentro desse modelo, a área de TI precisa ter um papel atuante e atualizado com o mercado, o que nem sempre é uma tarefa fácil. Um dos fatores mais críticos é o de apresentar aos executivos os benefícios dos investimentos em soluções de segurança. É uma atividade complexa, que exige uma parceria forte com auditoria e controles internos, para que juntos definam um plano de atuação e quais os objetivos almejados. Eleger um processo crítico é outro passo muito importante. Identificar as aplicações mais problemáticas, definir e implementar soluções de proteção podem ser as ações iniciais.
Cada vez mais as organizações estão conectadas umas às outras e possuem uma dependência crescente no uso de TI. Segurança é uma função prioritária nas empresas, e tem sido cada vez mais cobrada pelos consumidores e usuários. Portanto, merece um foco de gerenciamento privilegiado.
Finalmente, é importante ressaltar a necessidade de as empresas terem pelo menos um profissional com essa responsabilidade, que precisará exigir um suporte executivo constante, para a execução eficiente de suas atribuições. Terceirização ou outsourcing da função pode ser uma alternativa, porém deve ser analisada em detalhes, para não comprometer a qualidade do modelo de gestão.