Implantação de Escritório de Segurança da Informação

Atividades básicas envolvidas com a estruturação de um Escritório de Segurança da Informação.

Para manter os requisitos de confidencialidade, integridade e disponibilidade da informação, muitas organizações estão optando por centralizar a responsabilidade pela administração do sistema de gestão da segurança da informação no escritório de segurança / unidade de segurança. É uma tendência, assim como a existência de escritórios de projetos e governança de TI.

A seguir, elenco algumas atividades padrões que podem nortear quem deseja dar os passos iniciais com um projeto de escritório de segurança da informação. Espero que sejam úteis!

1)Definição do líder do escritório
É crucial a escolha de um líder que conheça a área de negócio da organização e seja especialista na metodologia/norma que será utilizada como base (ex: ISO 27001 / 207002). Nem sempre é fácil encontrar um profissional que equilibre bem estas duas habilidades.

2)Definição dos demais papeis e responsabilidades
Analistas de Segurança, auditores e demais papeis envolvidos com o escritório. Lembre-se: o profissional que trabalha diretamente com segurança da informação é aquele que identifica ativos, analisa riscos, propõe tratamento de riscos, escolhe controles e garante a execução destes. O profissional de segurança não é o que instala antivírus e/ou configura as permissões de um usuário de rede. É importante lembrar também que estamos tratando da estruturação de um escritório de segurança da informação para organização como um todo, não apenas para o departamento de TI.

3) Envolvimento as partes interessadas
A participação da alta direção no projeto é fator crítico de sucesso. Líderes de departamentos, de outros escritórios e profissionais de qualidade, compliance, riscos, continuidade, também devem ser envolvidos o quanto antes.

4) Formalização do escritório, através de documentos que o descrevam

Documentações que descrevem de forma macro o que é o escritório e qual seu pape na organização. É interessante incluir: missão, visão, atribuições, como demandar algo para o escritório quando necessário e demais detalhes que considerar importante. Em anexo, é válido incluir um catálogo dos serviços oferecidos por esta unidade e um organograma.

5) Definição de um macro processo de administração do escritório
É um passo importante estabelecer quais atividades serão realizadas na manutenção do seu sistema de gestão da segurança da informação. Quais relatórios serão de responsabilidade do líder do escritório, como métricas serão mensuradas e como demandas serão atendidas.

6) Conscientização da organização
Palestras, cursos e workshops devem ser ministrados para a organização. As pessoas precisam conhecer e compreender aspectos como:

  • a importância da segurança da informação;
  • ps impactos da falta de controle sobre a informação;
  • o que é segurança da informação e a diferença para segurança da tecnologia da informação;
  • qual o papel de cada um dentro do projeto;
  • benefícios da estruturação do escritório e o que esperar deste projeto.

7) Definição e documentação de demais processos
Outros processos devem definidos tais como: processo de auditorias e gerenciamento de riscos.

8) Diagnóstico inicial
Não necessariamente esta deve ser a ultima atividade; em muitas situações é adequado que ela seja realizada antes mesmo da primeira atividade da estruturação do escritório, para justificar a sua existência.

Uma análise de maturidade atual, de controles exercidos e verificação dos níveis de riscos devem ser realizadas. É importante definir também onde se pretende chegar e em quanto tempo, depois da estruturação deste projeto.

Fonte: Portal GSTI

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *