Quando falamos sobre o alinhamento de processos com padrões normalmente pensamos na complexidade que pode representar o conjunto de atividades necessárias para tal finalidade, as restrições que pode gerar ou os esforços requeridos para o seu funcionamento dentro das empresas.
Apesar disso, existem benefícios perceptíveis quando se opta por operar em função do que é estabelecido pelos padrões de segurança, mesmo quando a empresa não tem a certificação como um objetivo. A seguir listamos cinco aspectos pontuais sobre os benefícios do uso dessas ferramentas.
1. Uso de melhores práticas em segurança
O uso de padrões de segurança permite a aplicação das melhores práticas utilizadas na área, considerando que é possível utilizar um conjunto de ações, metodologias, ferramentas e técnicas, que tenham sido aplicadas e testadas com resultados favoráveis.
Por exemplo, em matéria de segurança diversas iniciativas não conseguem prosperar devido à falta de investimento, razão pela qual se recomenda a execução de diferentes práticas para uma empresa, como a utilização de estruturas adequadas de gerenciamento de segurança e de outras ferramentas, como a aplicação de políticas.
2. Contribuição para a maturidade dos processos organizacionais
Um benefício relacionado com as atividades estabelecidas pelos padrões consiste na aplicação da melhoria contínua, conceito que se encontra implícito no desenvolvimento de uma empresa. O alinhamento com os padrões contribui para a melhoria dos processos e maturidade das organizações, considerando que devem documentar, comunicar, monitorar e medir. Em níveis mais elevados de maturidade, as atividades são automáticas e otimizadas; em níveis baixos, não se conta com processos ou procedimentos, as atividades são realizadas sem organização ou são iniciadas com o seguimento de padrões regulares.
Por exemplo, em um nível de maturidade otimizado a segurança é responsabilidade da gerência e se encontra integrada com os objetivos da empresa, com a definição e a inclusão de requisitos de segurança em um plano aprovado para responder aos incidentes de forma imediata com procedimentos formais que possuem ferramentas automatizadas para dar o devido suporte.
Além disso, são realizadas avaliações periódicas para conhecer a efetividade na implantação de medidas de segurança, as informações sobre ameaças e vulnerabilidades são coletas e analisadas. Além disso, são definidos e implantados controles de segurança confiáveis para reduzir riscos, e de forma geral, as práticas de segurança e a tecnologia relacionada se encontram integradas com os processos organizacionais.
3. Combinação de diferentes abordagens para um objetivo em comum
Em outras oportunidades, já falamos sobre a natureza das informações, que podem ser encontradas em diferentes formas (digital, impressa, escrita, verbal e, inclusive não representada, como as ideias ou o conhecimento) e estados (armazenada, processada ou em transmissão).
Portanto, sua proteção requer uma abordagem holística, que considere diferentes perspectivas: desde questões tecnológicas, administrativas ou físicas, até legais ou contratuais. Nesse sentido, os padrões incluem essas perspectivas para a proteção da informação, além de outras que também são importantes na gestão da segurança, como são a administração de riscos, o cumprimento ou o gerenciamento da segurança.
Abaixo listamos alguns exemplos dessas diferentes abordagens:
Tecnológicas:
- Controle de acesso lógico (duplo fator de autenticação ou diretório ativo).
- Segurança para os computadores e redes através da criptografia dos dados e comunicações.
Administrativas:
- Adequado processo de contratação.
- Atribuição de permissões corretamente definida.
- Capacitação e conscientização sobre a importância das informações.
Físicas:
- Controle do acesso físico às informações e outros ativos.
Legais:
- Controles enfocados em conformidades, por meio de uma correta identificação dos requerimentos pertinentes, de acordo com a atividade da empresa. Por exemplo, conhecer normativas sobre quanto tempo se deve armazenar informações contáveis ou financeiras.
- Gestão de riscos e gerenciamento de segurança. Dependendo do país ou da empresa, existem normas que exigem o cumprimento de certas estruturas, por exemplo, visualizar ocorre um golpe e os devidos controles para enfrentá-lo.
4. Desenvolvimento e aplicação de experiência acumulada
As práticas implícitas nos padrões são o resultado da experiência de especialistas sobre assuntos de segurança, considerando que se desenvolvem através do consenso de grupos formados por representantes da área, ONGs, governos e outras partes interessadas.
Portanto, os benefícios de utilização desses documentos têm como base o aproveitamento do tempo invertido anteriormente por pessoas que enfrentaram situações semelhantes, e facilita a pesquisa de soluções para diversas dificuldades. Por exemplo, é possível contar com métodos desenvolvidos e testados para diferentes atividades como a avaliação de riscos ou para respostas a incidentes, sem a necessidade de dedicar esforços para criar novos paradigmas para tais atividades.
5. Criação de uma estrutura de trabalho
O alinhamento com um padrão de segurança permite o projeto, desenvolvimento e aplicação de uma estrutura de trabalho ou framework, que entre outras coisas, contribui para organizar as atividades, documentos ou controles de segurança que estejam planejados ou implantados dentro de uma empresa.
Em outras palavras, servem como base para organizar e priorizar todas aquelas atividades relacionadas com a segurança da informação, que já são executadas e aquelas que ainda estão na fase de planejamento. Além disso, são utilizados como referência no caso da implementação de outros controles de segurança que ainda não tenham sido considerados.
Outras considerações relacionadas com os padrões
Como listamos neste post, o alinhamento de processos com o uso de padrões traz consigo benefícios dentro das empresas, por isso, é conveniente colocar na balança se os esforços e os recursos necessários pesam mais que as vantagens que podem ser obtidas.
Além disso, a aplicação desses padrões deve ser realizada considerando as condições e necessidades próprias de cada empresa, através de uma adequada adoção e adaptação. É conveniente aplicá-los de uma forma racional e consciente, sem considerá-los como a solução total para os problemas.
Para finalizar, também podem ser utilizados como ponto de partida caso já exista alguma iniciativa, considerando que representam a experiência e o conhecimento de outras pessoas que possivelmente enfrentaram problemáticas semelhantes com relação a proteção de seus ativos, principalmente as informações.