Atividades básicas envolvidas com a estruturação de um Escritório de Segurança da Informação
Para manter os requisitos de confidencialidade, integridade e disponibilidade da informação, muitas organizações estão optando por centralizar a responsabilidade pela administração do sistema de gestão da segurança da informação no escritório / unidade de #Segurança da Informação. É uma tendência, assim como a existência de escritórios de #Gestão de Processos, #Gestão de Projetos, #Gestão de Riscos e de #Governança de TI.A seguir, elenco algumas atividades padrões que podem nortear quem deseja dar os passos iniciais com um projeto de escritório de segurança da informação.
1)Definição do líder do escritório
É crucial a escolha de um líder que conheça a área de negócio da organização e seja especialista na metodologia/norma que será utilizada como base (ex: #ISO 27001 e ISO 27002). Nem sempre é fácil encontrar um profissional que equilibre bem estas duas habilidades.2)Definição dos demais papeis e responsabilidades
Analistas de Segurança, auditores e demais papeis envolvidos com o escritório. Lembre-se: o profissional que trabalha diretamente com segurança da informação é aquele que identifica ativos, analisa riscos, propõe tratamento de riscos, escolhe controles e garante a execução destes. O profissional de segurança não é o que instala antivírus e/ou configura as permissões de um usuário de rede. É importante lembrar também que estamos tratando da estruturação de um escritório de segurança da informação para organização como um todo, não apenas para o departamento de TI.3) Envolvimento as partes interessadas
A participação da alta direção no projeto é fator crítico de sucesso. Líderes de departamentos, de outros escritórios e profissionais de qualidade, compliance, #Gestão de Riscos, continuidade, também devem ser envolvidos o quanto antes.4) Formalização do escritório, através de documentos que o descrevam
Documentações que descrevem de forma macro o que é o escritório e qual seu papel na organização. É interessante incluir: missão, visão, atribuições, como demandar algo para o escritório quando necessário e demais detalhes que considerar importante. Em anexo, é válido incluir um catálogo dos serviços oferecidos por esta unidade e um organograma.5) Definição de um macro processo de administração do escritório
É um passo importante estabelecer quais atividades serão realizadas na manutenção do seu sistema de gestão da segurança da informação. Quais relatórios serão de responsabilidade do líder do escritório, como métricas serão mensuradas e como demandas serão atendidas.6) Conscientização da organização
Palestras, cursos e workshops devem ser ministrados para a organização. As pessoas precisam conhecer e compreender aspectos como:- a importância da segurança da informação;
- os impactos da falta de controle sobre a informação;
- o que é segurança da informação e a diferença para segurança da tecnologia da informação;
- qual o papel de cada um dentro do projeto;
- benefícios da estruturação do escritório e o que esperar deste projeto.
7) Definição e documentação de demais processos
Outros processos devem ser definidos tais como: processo de auditorias e gerenciamento de riscos.8) Diagnóstico inicial
Não necessariamente esta deve ser a ultima atividade; em muitas situações é adequado que ela seja realizada antes mesmo da primeira atividade da estruturação do escritório, para justificar a sua existência.Uma análise de maturidade atual, de controles exercidos e verificação dos níveis de riscos devem ser realizadas. É importante definir também onde se pretende chegar e em quanto tempo, depois da estruturação deste projeto.