Dejan Kosutic Frequentemente, ouço discussões controversas sobre se a segurança da informação é parte da TI, ou se ela deveria estar separada dela, parte de algum departamento de conformidade ou de riscos, etc.
Mas, antes de determinarmos quem deveria estar lidando com a segurança da informação e a partir de qual unidade organizacional, vejamos primeiro o ponto de vista conceitual – onde a segurança da informação se encaixa em uma organização?
Geralmente, a segurança da informação e parte da gestão geral de riscos em uma organização, com áreas que se sobrepõem com a segurança cibernética, gestão da continuidade do negócio, e gestão da TI, como mostrado abaixo.
Figura: Relação entre segurança da informação, gestão de riscos, continuidade de negócio, TI, e segurança cibernética
Segurança cibernética é basicamente um subconjunto da segurança da informação porque ela foca na proteção da informação no formato digital, enquanto a segurança da informação é um conceito ligeiramente maior porque ela protege a informação em qualquer mídia.
A sobre posição com a continuidade de negócio existe porque seu propósito é, entre outras coisas, permitir a disponibilidade da informação, que também é um dos papéis chave da segurança da informação. Veja também este artigo: Como usar a ISO 22301 para implementar a continuidade de negócio na ISO 27001.
Naturalmente, a tecnologia da informação tem um papel extremamente importante na segurança da informação; assim, consequentemente, também existe uma área de sobreposição; a tecnologia da informação não é apenas sobre segurança, então é por isso que boa parte da TI não está relacionada a segurança.
Por que gestão de riscos?
Mas, a coisa mais importante é que a segurança da informação, a segurança cibernética, e a continuidade de negócio têm o mesmo objetivo: reduzir os riscos para as operações do negócio. Você pode não chamar de gestão de riscos no dia a dia do seu trabalho, mas basicamente isto é o que a segurança da informação faz – avalia quais potenciais problemas podem ocorrer, e estão aplica várias salvaguardas ou controles para reduzir estes riscos.
Alguns setores possuem a segurança da informação formalmente reconhecida como parte da gestão de riscos – ex.: no mundo bancário, a segurança da informação frequentemente pertence a gestão dos riscos operacionais. Meu palpite é que no futuro veremos mais e mais profissionais de segurança da informação trabalhando na parte de gestão de riscos de suas organizações, e a segurança da informação tenderá a se fundir com a continuidade de negócio.
Veja também este artigo: Chief Information Security Officer (CISO) – where does he belong in an org chart?
Segurança é mais do que TI
Assim, o ponto é: pensar em segurança da informação apenas em termos de TI é errado – esta é uma forma de estreitar a segurança apenas para assuntos de tecnologia, o que não resolverá a principal fonte de incidentes: o comportamento das pessoas.
Se você quer que sua segurança da informação seja eficaz, você deve permitir a ela acessar tanto as partes de TI quanto a de negócio da organização – e para que isto tenha sucesso, você precisará de ao menos duas coisas: mudar a percepção sobre segurança, e prover uma posição organizacional apropriada para as pessoas lidando com a segurança.
Estre artigo é uma amostra do livro Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own. Clique aqui o que está incluído no livro…
