Sempre é um bom momento para lançar um programa de segurança, ou desenvolvê-lo com o objetivo de proteger nossas informações e outros ativos dentro das organizações. Para isso, é necessário levar em conta alguns aspectos que destacamos nesta publicação.
Vamos começar pelo princípio: o que é um programa de segurança?
De acordo com o PMI, um programa é um conjunto de projetos articulados em torno de um único objetivo. O objetivo do programa é gerar benefícios para a organização que não poderiam ser obtidos se os projetos fossem realizados individualmente.
Um projeto é um conjunto de atividades sistemáticas que tem um início e um fim. Já o programa deve ser realizado de forma permanente, incluindo os diferentes projetos, ou seja, não tem um prazo e deriva de uma estratégia, portanto, tem um alcance bem maior.
Em termos específicos, o programa de segurança da informação é constituído por um conjunto de projetos, iniciativas e atividades desenvolvidas de forma coordenada para alcançar uma estratégia de segurança, ou seja, para implementar um plano elaborado com o intuito de atingir os objetivos de proteção de uma organização.
A gestão do programa visa dirigir, monitorar, avaliar e melhorar todas as atividades relacionadas à segurança, por isso deve considerar e utilizar os recursos de forma otimizada, bem como fornecer informações oportunas para tomar as melhores decisões tendo em conta a proteção do negócio, das informações e de outros ativos.
Aspectos fundamentais do programa de segurança da informação
Depois de revisar os conceitos básicos de um programa de segurança da informação, é necessário ter outras considerações para o seu desenvolvimento, uma vez que, sem elas, todas as iniciativas centradas na proteção poderão fracassar.
-
Apoio
O principal elemento que se deve ter em conta antes da execução do programa é o apoio da alta direção com relação às atividades de segurança da informação. A iniciativa pode surgir em qualquer nível dentro da organização, mas requer o apoio dos mais altos níveis hierárquicos, bem como de stakeholders. O apoio e o empenho da alta direção refletem um esforço conjunto e não apenas um projeto isolado gerido por um subordinado.
Da mesma forma, é bastante útil formar estruturas dentro das organizações, que permitam a colaboração e a cooperação dos representantes das diferentes partes com papéis e funções relevantes. Neste sentido, uma boa prática consiste em desenvolver a estrutura adequada para a tomada de decisões em torno do programa, através da formação de um fórum ou comitê de segurança, que permita a implementação do que tem sido designado, ou seja, todas as responsabilidades e ações exercidas pela alta direção em termos de segurança.
-
Estratégia
O programa de segurança é o resultado de uma estratégia concebida para proteger a organização e seus ativos; portanto, deve perseguir objetivos específicos a serem alcançados. Sua definição pode vir de diferentes abordagens, por exemplo, alinhamento com os objetivos estratégicos da empresa. Outra abordagem afirma que pode ser o resultado de uma avaliação dos riscos de segurança.
A definição de objetivos também pode surgir a partir de uma análise de brechas de segurança, um estudo preliminar que forneça insights sobre como uma organização deve atuar em relação a segurança da informação, em relação às melhores práticas da indústria e ao estado desejado. Também pode surgir como resultado de uma análise de impacto para o negócio, que procura estimar o impacto que uma organização pode sofrer como resultado de um incidente ou desastre. Independentemente da fonte, o programa deve implementar a estratégia e alcançar os objetivos definidos.
-
Recursos
O primeiro recurso necessário para o programa é o tempo, tanto para o desenvolvimento da estratégia como para a sua posterior implementação e execução. Pela mesma característica de não ter início nem fim, o programa pode ser visto como um processo de melhoria contínua que opera em diferentes ciclos. Embora não haja um período específico, vários fatores devem ser considerados, tais como as contínuas mudanças nos riscos, nas prioridades da gestão no que diz respeito à proteção de ativos, novas ameaças e vulnerabilidades, entre outros.
A execução do programa também requer os recursos financeiros necessários para alcançar o estado de segurança da informação pretendido. Há que ter presente que a estratégia pode resultar na aplicação de controles técnicos, físicos ou administrativos. Por outro lado, a organização deve ter pessoal com as habilidades, capacidades ou conhecimentos necessários para realizar as atividades técnicas e administrativas relacionadas com o programa, por isso é possível optar por treinar os membros da organização ou contratar serviços de pessoal com essas habilidades.
-
Métricas
Outro elemento fundamantal para o desenvolvimento e implementação do programa de segurança são as métricas, ou seja, as variáveis às quais é atribuído um valor quantitativo como resultado da medição, a fim de conhecer a eficácia e adequação do programa. Nesta atividade, a medição é fundamental para a tomada de decisões. É medida para caracterizar, avaliar, prever e principalmente melhorar.
Esta atividade adquire relevância para os objetivos de melhoria do programa, uma vez que o que não é medido não pode ser melhorado. Neste sentido, é necessário especificar como as medições serão usadas para avaliar a eficácia com resultados reprodutíveis e comparáveis. As métricas permitem obter feedback para orientar a execução do programa em direção aos objetivos inicialmente definidos.
O programa de segurança como ponto de partida para a segurança organizacional
Nesta publicação, abordamos as definições básicas e as características fundamentais de um programa de segurança. A implementação de um programa como esse é um trabalho de grande alcance, considerando que procura abordar os diferentes níveis e esferas de uma organização.
Os recursos, a estratégia, o apoio e as métricas são variáveis e devem ser adotadas, adaptadas e aplicadas às características, necessidades e condições de cada organização. Nas próximas publicações sobre o assunto, destacaremos outros elementos importantes para a implementação de um programa de segurança.