Se volume de incidentes registrados for muito baixo, provavelmente a detecção ou a notificação desses eventos pode ser deficiente
Ao falar sobre Segurança da Informação, é muito comum surgirem algumas polêmicas. Quando abordado por profissionais de TI, é bem provável que a conversa caminhe para discussões sobre firewalls, antivírus ou sistemas de controle de acesso. Estes aspectos continuam sendo muito importantes para qualquer empresa e sempre merecerão a devida atenção e, principalmente, investimento. Entretanto, a segurança depende de muitos outros fatores que nem sempre nos chamam a atenção, em especial os relacionados aos usuários dos sistemas e ao monitoramento do ambiente.
A pergunta é: como garantir que a segurança da informação continue evoluindo depois da implementação de uma nova ferramenta ou de um hardware, por exemplo?
Uma boa abordagem é proporcionada pela Norma ISO 27001, que oferece um conjunto de processos para garantir a evolução contínua da segurança e que pode ser facilmente implementada. Um de seus requisitos é a avaliação de riscos do ambiente para identificar problemas e oportunidades de melhorias em processos, ferramentas e treinamento de pessoas.
Essas avaliações podem gerar indicadores interessantes de níveis de riscos. Quando conduzidos em períodos pré-determinados, possibilitam mapear a evolução da segurança de ambiente em sua empresa, servindo como subsídio para direcionar os investimentos.
Checar o número de incidentes registrados nos últimos seis meses é um indicador simples de se obter e que pode auxiliar nesta tarefa. Se o volume for muito baixo, provavelmente a detecção ou a notificação desses eventos pode ser deficiente. Já, se for elevado demais, pode denotar falha de controles. Essa interpretação ajudará a identificar possíveis pontos de melhoria tanto em tecnologia, quanto na conscientização dos usuários que podem ter deixado de notificar tais incidentes.
Aliás, os usuários merecem uma atenção especial, pois deles se originam boa parte dos problemas de segurança. Cada um de nós conhece inúmeras ?histórias de terror” envolvendo o comportamento indevido de pessoas. Muitas vezes é mais efetivo conscientizá-las de suas responsabilidades do que tentar bloquear todas suas possibilidades de erro. Para isso, as políticas corporativas devem ser comunicadas de forma constante a todos.
Estas ações são vitais para o sucesso de qualquer implantação de segurança da informação, já que os benefícios dos investimentos realizados nem sempre são perceptíveis para os executivos da companhia.
Com a implementação de todas as recomendações da ISO 27001, a certificação será consequência natural, bastando apenas a contratação da auditoria de um órgão certificador para verificar as políticas, os processos e os procedimentos implantados. Embora as empresas nem sempre encarem a certificação como finalidade, este pode ser um bom objetivo a ser perseguido, pois fará com que os requisitos da Norma sejam sempre aplicados de modo adequado.
* Rodrigo Suzuki é gerente de TI da PromonLogicalis. O executivo escreveu com exclusividade para InformationWeek Brasil.
Leia também:
