Consultório Portal GSTI #3
Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br “Pretendo fazer uma análise da segurança da informação numa empresa do ramo académico usando como referência a norma internacional ISO/IEC 27002. Pretendo ainda propor um modelo de segurança para a mesma instituição. Não sei como começar, alguma sugestão?” J. Guirrugo (Moçambique) Cara leitora, Sempre fui um entusiasta de tudo o que envolvia uma melhor gestão de riscos e controlos, e falar sobre a importância de uma boa segurança da informação tem ocupado grande da minha vida profissional. Ao longo da minha carreira tenho lidado com diversas boas práticas no domínio da segurança da informação, quer no papel de consultor como de auditor, tendo experimentado diversas soluções e diferentes abordagens em todo o tipo de empresas, desde públicas a privadas, grandes a pequenas. Neste contexto, se fizesse um balanço dos resultados das iniciativas em que estive envolvido diria muito francamente: um fracasso! Mas porquê? Depois de ter refletido sobre as causas que poderiam estar na origem dessa sensação de que projetos de segurança falham, cheguei a algumas dicas que gostaria de partilhar consigo para que possa a ajudar na abordagem ao seu projeto. Dica 1 – Porquê segurança? Começar sempre pelos porquês (antes dos comos!)? Esta é a principal mensagem que passo a todos os colegas ou alunos quando falamos de lançamento de qualquer iniciativa, em particular no contexto dos sistemas de informação. Porquê Segurança da Informação? Esta é sem dúvida a questão que muitas vezes não é colocada e que quando é colocada, nem sempre a resposta é a mais franca e objetiva. Como muitas outras decisões na vida, implementar uma iniciativa deste género pode ter duas principais motivações: Porque se quer ou porque se é obrigado! A segurança da informação pode ser uma decisão estratégica de suporte a uma melhor gestão de risco e consequentemente uma maior satisfação dos clientes, contribuindo desta forma para uma maior criação de valor na Empresa. Uma lenga-lenga de consultor que fica muito bonita, mas que para ser aplicável é preciso de facto que se consiga estabelecer uma relação direta entre a proteção dos ativos de informação e os fatores de competitividade é necessário coexistirem dois principais fatores: Insegurança e Mercado:
[1] https://www.portalgsti.com.br/2012/11/comunicacao-tecnicos-ceo.html Outros artigos desta série:
- A Insegurança aumenta a consciência que a Segurança é importante porque as ameaças são reais e as perdas podem mesmo comprometer a continuidade do negócio;
- O Mercado cria desafios de performance às empresas para se diferenciarem nos “detalhes” e para procurarem continuamente a maior eficiência e eficácia dos seus recursos. Note-se que este Mercado pode ser local, mas cada vez mais é global com as empresas a procurarem novos mercados e a encontrarem novos concorrentes.
- Estruturas ( frameworks ) – Fornecem as componentes de um sistema (ex. COBIT 5). Este tipo de ferramentas ajuda a perceber o “Porquê?” da Segurança e tem como principal objetivo enquadrar a Segurança da Informação nos objetivos da Empresa e na articulação com outras áreas do Sistema de Informação. Permite suportar uma abordagem “De cima para baixo” na Empresa.
- Normas – Orientações detalhadas e muitas vezes prescritivas de fazer algo (ex. ISO 27k). Este tipo de ferramentas ajuda a entender o “Como?” implementar segurança e é muitas vezes associado a requisitos de conformidade. Permite suportar uma abordagem “De baixo para cima” na Empresa.
[1] https://www.portalgsti.com.br/2012/11/comunicacao-tecnicos-ceo.html Outros artigos desta série: