Security Office

Monte você mesmo o seu Security Office.
“ Não sou nada.
Nunca serei nada.
Não posso querer ser nada.
À parte isso, tenho em mim todos os sonhos do mundo ...”
Fernando Pessoa, Tabacaria

Dizem os Budistas, que o nosso “eu” é somente uma ilusão. Segundo esta visão, somos apenas um amontoado de pequenas coisas e elementos naturais - átomos, células, DNA - que se integram para nos representar no mundo real. Mas se somos realmente uma ilusão, somos, acima de tudo, uma ilusão que sonha. Sim, nós sonhamos! Desejamos, aspiramos a cada minuto, experimentar novas sensações e conquistar coisas para nossa vida.

Nossos sonhos e projetos parecem herdar nossas características e começam, necessariamente, através de passos pequenos: uma tarefa, um levantamento ou simplesmente, aquela reunião que vai colocar na mesa todas as necessidades a serem preenchidas. Embora aparentemente simples, o ato de “começar” também encerra grandes dificuldades e requer grande força de vontade. Quantas idéias poderiam estar, neste momento, revolucionando o mundo, que não chegaram a ser tentadas? Por que é tão difícil simplesmente começar?

A profissão Information Security Officer ainda está sendo desmistificada dentro das empresas e, por conta disso, se você já milita há algum tempo na área de segurança da informação, pode ser que, na próxima empresa que você venha a trabalhar, seja necessário que você tenha que montar sua própria organização de segurança.

Mas, se a profissão é nova e você nunca fez isso, como começar? A idéia aqui é justamente quebrar esse galho para você, dando uma noção básica das ações iniciais, e assim guia-lo através da intricada selva corporativa para fincar as bases do novo Security Office que você vai fundar.

1) Adeque o Security Office às necessidades de sua empresa

Cada empresa tem seu modelo de administração. O Security Office vai ter que se adequar às necessidades de negócio da companhia. O Security Officer pode estar ligado tanto à Presidência quanto a Diretoria Técnica ou Gerência de TI. Ser centralizado ou distribuído por filiais. Para cada posicionamento, será necessário um foco de trabalho, mais ou menos técnico. Nem sempre o Security Office comandará uma equipe própria (como é o meu caso). Assim, ele precisará trabalhar em sinergia com as áreas funcionais liderando ações para que as políticas e as melhores práticas de segurança sejam obedecidas e aplicadas. Não raro, o Security Office também precisará liderar ações de auditoria.

2) Conheça bem o negócio da sua companhia

Muitos estarão migrando da área técnica, como administradores de firewalls, administradores de segurança, e terão seu primeiro contato com o nível gerencial. Lembre-se que agora você precisa atuar não só na esfera técnica mas também começar a enxergar o negócio como um todo. Então não se esqueça: Procure primeiro conhecer em detalhe, o negócio da empresa.

Se houver um Business Plan (documento contendo metas para os próximos anos) procure alinhar seu plano de segurança a ele, de forma a garantir que todos os objetivos sejam alcançados com sucesso.

3) Elabore e aprove a Missão, Visão e Responsabilidades da área

Peça um tempo do seu chefe e alinhe com ele as expectativas de sua atuação. É importante estar atento nesta reunião para não despertar falsas expectativas. Deixe claro o que você vai fazer e como.

Para ajuda-lo nesta tarefa sugiro o livro:

Information Systems Security Officer’s Guide – Establishing and Managing an Information Protection Program de GERALD L. KOCACICH ISBN 075069896-9

4) Monte um Plano Anual de Segurança com base na ISO 17799

É essencial montar um plano de segurança contando ações para melhoria do nível de segurança da companhia. É crucial desenvolver também, caso não exista, uma política de segurança da informação. Você pode usar como uma guia, os domínios tratados pela ISO 17799. Estabeleça macro objetivos, no máximo 4 ou 5 por ano. Verifique como cada item está sendo tratado e, em conjunto com as áreas funcionais, identifique projetos a serem realizados.

5) Estruture um Comitê de Segurança da Informação

Ele vai conter representantes das diversas áreas funcionais que suportarão você em ações e decisões relativas a segurança da informação em sua empresa.

6) Documente e apresente os resultados!

Deixe bem registradas suas ações bem como os resultados decorrentes dela. Em caso de ações mal sucedidas esclareça as razões e aprenda as lições, e, naturalmente, colha os louros do seu sucesso !
Artigos de 2006

* Maio: Não é bem assim!
* Março: De olho no futuro, mas cuidando do presente.
* Janeiro: Um novo começo.

Artigos de 2005

* Janeiro: A Segurança da Informação: A Raiz do Problema.
* Fevereiro: O Início é o começo.
* Abril: Classificando Informações.
* Maio: Murphy no país das maravilhas.
* Junho: Monte você mesmo o seu Security Office.
* Julho: Por uma simples questão de bom senso.
* Agosto: A propaganda é a alma do negócio.
* Setembro: Da diferença entre o discurso e a prática.
* Outubro: Fogo Cruzado.
* Novembro: Segurança Física: parecer o que se é.
* Dezembro: Saber ouvir: a chave para uma boa auditoria.

Fonte:
Carlos Santanna - Security OfficerCarlos Santanna é certificado BS7799 Lead Auditor pelo DNV e trabalha como Security Officer de uma multinacional.
carlos.santanna@internativa.com.br
Security Office Security Office Reviewed by Kembolle Amilkar on domingo, março 21, 2010 Rating: 5

Nenhum comentário