Mente Hacker

A formação das equipes de segurança da informação

Publicada em 08/04/2010 15:51

Os conhecimentos em segurança da informação estão contidos em diferentes modelos atualmente  existentes: dentre eles temos os modelos da NBR ISO/IEC série 27000 (segurança da informação).

Os conhecimentos relacionados ao Sistema de Gestão de Segurança da Informação (ISO 27001) e ao Código de prática para a Gestão da Segurança da Informação (ISO 27002) devem estar difundidos em toda organização. Porém, no momento de estruturar um departamento de segurança da informação, as empresas encontram um cenário preocupante.

Primeiro ponto: o analista de segurança da informação deve ter um elevado conhecimento técnico. Não estou me referindo às certificações, estou falando de conhecimento prático e experiência no assunto.

Segundo: algumas empresas insistem em promover alguém interno ao cargo de Gerente de Segurança da Informação. O profissional promovido, na realidade, possui um perfil muito diferente do necessário para assumir a responsabilidade.

Como exemplo, vou descrever o perfil relacionado a um caso real envolvendo um colega meu que foi promovido ao cargo de Gerente de Segurança da Informação:

•    Ele possui experiência em disciplinas mais amplas, como banco de dados e desenvolvimento de software, utilizando recursos de segurança da informação muito básicos.

•    Não possui um histórico de participação em palestras/eventos ou treinamentos sobre segurança da informação.

•    Desconhece padrões internacionais de segurança da informação (por exemplo, ISO 27002) e não acompanha os boletins sobre as novas ameaças na internet.

•    Realiza a leitura apenas de livros relacionados a tecnologias de banco de dados e linguagens de desenvolvimento de software.

•    Possui curso superior de tecnologia em banco de dados, MBA em Gestão de Tecnologia da Informação e certificações da Microsoft e da Oracle.

Você conseguiu adivinhar qual era o papel dele na empresa? Isso mesmo! Ele era o responsável pela administração do banco dados. Agora, ele é o Gerente de Segurança da Informação.

Terceiro: algumas empresas criam um departamento de segurança da informação para fazer gestão de acesso ao ambiente computacional. Ou seja, criar usuários, alterar senhas, configurar permissões em diretórios etc. Tudo isso para atender regulamentações ou auditorias.

Quarto: criar um departamento de segurança da informação subordinado à área de Tecnologia da Informação é o erro mais comum das organizações.

A área de segurança deve estar alinhada ao departamento jurídico e à auditoria no organograma. A área de segurança da informação subordinada ao diretor de TI funciona mais como um suporte técnico do que uma área responsável pelo Sistema de Gestão da Segurança da Informação.

Fatores de sucesso

O sucesso da sua empresa não está ligado ao arsenal tecnológico. Existem alguns fatores que devem ser considerados ao decidirmos criar uma equipe de segurança da informação e implementar um Sistema de Gestão da Segurança da Informação.  O primeiro fator é obter a aprovação dos gestores da organização para iniciar o projeto de implantação do Sistema de Gestão da Segurança da Informação.

Nesta fase, a equipe de projetos apresenta as prioridades e objetivos e escopo para a implantação do Sistema de Gestão da Segurança da Informação. Deve também discutir uma alteração na estrutura organizacional da empresa, incluindo responsabilidades, para atender aos objetivos do projeto e às necessidades de negócio.

O produto final desta fase é a aprovação e o comprometimento dos gestores para a implementação do Sistema de Gestão da Segurança da Informação.

O segundo fator é o desenvolvimento do diagnóstico e análise do nível de maturidade. Durante esta fase, mapeamos a situação atual da organização e apresentamos uma relação de melhorias necessárias nos processos de segurança da informação para estruturarmos uma ligação entre o planejamento estratégico da organização e a implementação do sistema de de segurança.

O terceiro aspecto é a criação de um Comitê Interdepartamental para o desenvolvimento da política e normas de segurança da informação, incluindo apoio do conselho administrativo e/ou da alta direção, baseada nas diretrizes da Governança da Segurança da Informação, necessidades de negócio e regulamentações.

Com o apoio da cúpula

A criação de uma equipe de segurança da informação e a definição de suas responsabilidades depende, principalmente, das diretrizes estabelecidas pelo conselho administrativo e/ou diretores. Essas diretrizes devem estar documentadas na política de Governança da Segurança da Informação.

A Governança da Segurança da Informação irá esclarecer aos gestores sobre os objetivos estratégicos da empresa, em relação à segurança da informação, e  apresentará uma lista dos requisitos legais/regulamentações, o que envolve requisitos contratuais de segurança da informação aplicáveis ao negócio.

A combinação dos três fatores ajudará sua empresa na criação de uma equipe de segurança da informação e na implantação de um Sistema de Gestão da Segurança da Informação.

Denny Roger é diretor da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger, Blog: http://blog.dennyroger.com.br/.

  • http://www.idgnow.com.br IDG Now!

    teste

  • Thiago Galvão

    Denny, o artigo está excelente! Parabéns!

    Abraços, Thiago Galvão
    Especialista e Professor SI e Auditoria
    http://www.linkedin.com/in/thiagogalvao

  • Pingback: A formação das equipes de segurança da informação –

  • João Victor de Andrade Verde

    Como vc disse no primerio ponto que “Primeiro ponto: o analista de segurança da informação deve ter um elevado conhecimento técnico. Não estou me referindo às certificações, estou falando de conhecimento prático e experiência no assunto.” Então quer dizer quem ta saindo agora pro mercado não pode arrumar esse emprego por não ter nenhum conhecimento prático e experiência,vc só vai ter tudo isso ganhando opurtunidades de emprego,eu por exemplo só fã dessa área de segurança quando terminar a minha faculdade pretendo tirar umas 4 certificações sobre segurança e fazer a minha pós em segurança,pra ir depois procurar um emprego nessa área.

    Atenciosamente.
    Por favor,responda
    Obrigado.

  • http://qmsconsultants.com/NABH.html NABH

    I really appreciate your post and you explain each and every point very well.Thanks for sharing this information.And I’ll love to read your next post too.
    Regards:
    NABH

  • http://www.facebook.com/jason.bonatelli Jason Bonatelli

    É isso mesmo, mesmo por que certificação não prova que o cara é capaz de realizar algum trabalho. Claro que ajuda a dizer que ele “sabe sobre o assunto” mas certificação nem sempre é o ponto forte. O cara precisa estar maduro, saber lidar com os problemas do dia a dia, e os desafios que a T.I lhe apresenta.

    Isso é ter conhecimento técnico.

  • César Augusto

    Uma grande falha das empresas (e grandes empresas) como comentado acima, é fazer o departamento de seguranca da informação ser subordinado a área de TI, acredito que isso acontece pois como o setor de TI possui ferramentas de controle de acesso a internet, emails entre outros, acabam criando o setor de segurança junto com o de TI, não lembrando que muitas informações não estão em arquivos digitais e sim em papéis que muitas vezes vão para o lixo sem nenhum cuidado.

  • César Augusto

    Uma grande falha das empresas (e grandes empresas) como comentado acima, é fazer o departamento de seguranca da informação ser subordinado a área de TI, acredito que isso acontece pois como o setor de TI possui ferramentas de controle de acesso a internet, emails entre outros, acabam criando o setor de segurança junto com o de TI, não lembrando que muitas informações não estão em arquivos digitais e sim em papéis que muitas vezes vão para o lixo sem nenhum cuidado.