A segurança da informação deve ser gerenciada como um processo de negócio, e não um conjunto de controles técnicos
Já é de conhecimento geral que a informação é um elemento essencial para a organização, e as empresas devem zelar pelo seu bem maior. Por esta razão, o principal objetivo da segurança da informação é estabelecer diretrizes que permitam garantir sua integridade, confidencialidade e disponibilidade.
No passado, quando se falava em segurança da informação, o assunto estava restrito aos ambientes de trabalho, porém hoje as informações estão espalhadas e disponíveis na palma da mão dos usuários. Aceitar as inovações como as redes sociais, a mobilidade, a nuvem e a crescente geração de informação é fundamental para a competitividade das empresas, e também é um desafio cada vez maior para a segurança da informação.
Não é possível ser 100% seguro, então devemos mitigar os riscos, além de estar em conformidade com leis e normas governamentais, como por exemplo, a lei americana SOX ou a CVM.
Mas afinal, como manter-se seguro sem abrir mão da simplicidade?
O pensamento Lean é uma ferramenta poderosa para melhorar o desempenho das organizações, pois tem como foco agregar valor e evitar desperdícios. A segurança da informação deve ser gerenciada como um processo de negócio, e não um conjunto de controles técnicos, com isso em mente, listei algumas dicas para ter uma segurança Lean:
1 – Evite desperdício
Ferramentas demais e erros na implementação de regras de segurança podem aumentar as brechas em vez de diminuí-las, assim como procedimentos mal documentados ou falta de automação podem deixar usuários esperando demais por um acesso. Ao utilizar-se de uma norma, como por exemplo, a 27001 para implementar um sistema de segurança da informação, nem sempre é necessário implantar todos os controles que constam no anexo da norma, e mesmo quando o objetivo é a busca da certificação é possível adaptá-las à realidade da empresa.
É muito importante sempre pensar qual a relevância dos controles e qual o valor obtido por eles, a burocracia implementada realmente se traduz em benefícios e valor gerados para nossos clientes?
2 – Especifique o trabalho
Tenha políticas, processos e padrões bem documentados. As informações devem ser classificadas corretamente evitando interpretações diferentes e a política deve ser escrita de forma clara, não gerando qualquer dúvida entre os usuários. A ausência destes pontos significa mais tempo de treinamento e maior probabilidade de falhas sempre que houver uma mudança.
A padronização do trabalho pertinente à segurança da informação também é importante, já que procedimentos padrão de operação ajudam na uniformização, utilização e estabilidade dos processos.
3 – Estruture a comunicação
Garanta a participação de todos. Muitas organizações definem uma excelente política, mas não envolvem, divulgam nem treinam os seus usuários. É muito importante preparar todos para as mudanças com avisos, palestras, guias rápidos e treinamentos direcionados. Com essa padronização na comunicação, a segurança será vista também como uma função do negócio e não como um impedimento técnico.
Comunique sempre, peça feedback e assegure o entendimento. Sessões contínuas de conscientização são necessárias quando ocorrem mudanças nos procedimentos e políticas, ou mesmo para reforçar as normas existentes.
4 – Busque a melhoria contínua
A segurança tem como objetivo assegurar a conformidade, mas garantir a segurança de uma organização requer uma mudança cultural e leva tempo. Para medir a eficácia estabeleça uma meta simples e posteriormente crie um plano de melhoria contínua.
Adotando a visão de melhoria contínua, a Segurança da Informação também passará pelos ciclos de planejamento, implantação, verificação e correção, e dessa forma será aperfeiçoada sempre, seja para adaptar a novos desafios da empresa, ou para gerar cada vez mais valor aos nossos clientes.
5 – Foque nos usuários
Segurança da informação não é somente tecnologia. Temos a tecnologia, políticas, processos e pessoas. Somente tendo em vista estes pilares é que é possível garantir a sua implementação e integração ao negócio. Ao invés de somente impor regras, ajude os usuários a entendê-las e identificar como elas serão parte de sua rotina ou ainda livre-se de algumas delas. Torne possível o uso de novas tecnologias e adapte-se a elas.
O pensamento Lean oferece uma nova maneira de romper com os tradicionais padrões de pensamento e os profissionais de segurança que adotarem este pensamento podem trazer grandes benefícios ao negócio.
Fonte: CIO
Nenhum comentário:
Postar um comentário