Faça o Simples em Segurança da Informação!

Edison Fontes

Em segurança da informação como no mundo real temos uma grande opção: podemos começar
pelo simples! As demais opções não são erradas, porém, podem ser colocadas em uma prioridade
seguinte. Até na vida do nosso país parece difícil começar pelo simples. As pessoas foram as ruas
solicitando ações simples: prioridade para saúde e educação; nenhum gasto público com estádios,
cadeia para os condenados por corrupção, mais combate a corrupção, bem estar em primeiro lugar.
Transporte bom e honesto, saúde (com médicos brasileiros) com hospitais funcionando. Simples.
Direto. Mas neste caso, os políticos decidiram desviar o assunto: constituinte, plebiscito, mudança
para voto distrital e outras sugestões mirabolantes. Que tal fazer o simples? Evidentemente neste
caso, existem interesses escusos por trás de tudo. Mas, voltando ao nosso assunto segurança da
informação, muitas organizações começam pelo mais complicado e complexo. A Norma NBR
ISO/IEC 27002 -Tecnologia da informação – Técnicas de segurança – Código de
prática para a gestão da segurança da informação apresenta 133 controles para o Processo
Organizacional da Segurança da Informação. É fato que esta norma, nem nenhuma outra, descreve
o como fazer o desenvolvimento e implantação destes controles, mas este é um caminho das
pedras. Como sugestão para o Simples da Segurança da Informação (SSI), defina um escopo de
atuação para o Processo Organizacional da Segurança da Informação e desenvolva e implante
estes 133 controles. Ao identificar estes controles, verifique que cerca de 50 controles fazem
referência a uma participação da direção da organização ou das áreas de negócio da organização.
É Simples. Pergunte a sua organização: deve-se estar em conformidade com a Norma
Internacional, publicada no Brasil, em português, adotada pelo Governo Federal e usada na prática
pelo TCU – Tribunal de Contas da União para as suas auditorias? Se a resposta for sim,
defina um Gestor da Segurança da Informação com nome, sobrenome e CPF. Isto mesmo. Tem
que ser uma pessoa, um profissional com experiência. Isto feito, este profissional vai começar a
fazer acontecer o Processo Organizacional da Segurança da Informação, com a avaliação dos 133
controles da Norma, e consequentemente terá condições de planejar as ações. Evidentemente
depois disto é executar as ações planejadas. Outra opção (certa) porém não simples e mais
complexa e com tempo indeterminado para conclusão. NÃO RECOMENDO que prioritariamente
seja feita assim. mas, muitas organizações seguem este caminho:
1. Identifique todos os ativos de informação. Aqui vale também definir a granularidade de ativo de
informação.
2. Identifique todas as ameaças, todos os riscos e todas as vulnerabilidades para cada ativo de
informação.
3. Identifique uma proteção para cada um dos casos identificados no item 2.
4. Inicie neste momento uma avaliação de riscos para o que foi identificado nos itens 1, 2, e 3.
5. Envolva todos os usuários para validar os resultados dos itens 1, 2, 3 e 4. Todos os caminhos
chegam no fim. Alguns mais rápidos, Outros, de maneira mais complexa. A escolha é sua. O final
também. No Anexo 2 da minha dissertação de mestrado, estão listados os 133 controles da norma.
Para um primeiro contato.

http://www.centropaulasouza.sp.gov.br/Posgraduacao/Trabalhos/Dissertacoes/formacao-tecnologic
a/2011/edison-luiz-goncalves-fontes.html Para realizar o trabalho de um Processo Organizacional
da Segurança da Informação, você precisará ter acesso e estudar toda a norma. Comece pelo
simples! É simples!