Com a visibilidade internacional que trazem eventos como a Copa do Mundo de 2014, os Jogos Olímpicos de 2016, o Brasil busca consolidar a imagem de uma nação capaz de enfrentar os desafios e entrar no grupo das economias mais desenvolvidas. Mas, problemas podem aparecer com mais frequencia.
A gestão de segurança pode ser uma boa forma de possibilitar que as empresas que irão contribuir para esses eventos funcionem da melhor maneira possível mesmo durante situações críticas.
Com um mercado cada vez mais dependente de recursos de tecnologia, passou-se recentemente a avaliar riscos operacionais, geralmente associados à tecnologia da informação, envolvendo aspectos de segurança (confidencialidade, integridade e disponibilidade), performance e conformidade.
Muitos pensam que segurança da informação resume-se à aquisição de softwares do tipo firewall e antivírus.
Como ponto de partida para esse universo, recomenda-se a aplicação da NBR ISO/IEC 27001 (Sistemas de Gestão de Segurança da Informação - requisitos). Essa norma institui alguns tópicos obrigatórios para sua abordagem, que são apresentados aqui resumidamente:
- Identificação dos ativos, ameaças e vulnerabilidades, assim como os impactos pelas perdas de confidencialidade, integridade e disponibilidade;
- Avaliação dos impactos para o negócio da organização que falhas de segurança podem ocasionar estimativas de níveis de riscos;
- Determinar se os riscos são aceitáveis ou planejar ações para tratamento dos riscos (aceitar, evitar, transferir ou mitigar).
Apesar da importância que essa estratégia pode ter em mercados em desenvolvimento, como é o caso brasileiro, vale lembrar que essa é uma preocupação global.
Além disso, a adoção dessas orientações vai muito além do emprego de uma gestão de riscos, mas a adoção de um Sistema de Gestão de Segurança da Informação (SGSI), que prevê controles referentes à política de segurança da informação, sua infraestrutura, partes externas, gestão de ativos, segurança em recursos humanos, segurança física e do ambiente, gerenciamento das operações e comunicações, controle de acessos, gestão de incidentes, gestão da continuidade dos negócios e conformidade.
Essa norma também segue o modelo de gestão da ISO 9001 e a lógica do PDCA (Plan Do Check Act), ou seja:
PLAN ? Estabelecimento de políticas, objetivos, processos e procedimentos para a gestão do risco e melhoria da SI, alinhado à estratégia da organização;
DO ? Implementação e operação das políticas do SGSI, controles, processos e procedimentos;
CHECK ? Mensuração da eficácia e eficiência dos objetivos, controles e processos e auditorias;
ACT ? Tomada de ações corretivas e preventivas.
Mas, apesar da importância disso, no Brasil 23 empresas foram certificadas na ISO 27001 enquanto no Japão são 3.862 certificadas, na India são 526 e nos Estados Unidos 101 (http://www.iso27001certificates.com).
Os empreendedores interessados em adotar essas soluções precisam estar atentos ao fato de que, se todos controles não forem implementados com base em uma correta avaliação de riscos orientada ao negócio, eles não chegarão nem perto de proteger a organização, pois eles não serão usados com o foco correto.
Por fim, mesmo conseguindo superar as carências externas com a adoção desse tipo de gestão, as empresas precisam pressionar o governo e demais instâncias em favor de melhorias na infraestrutura.
Não podem, no entanto, ficar apenas à espera das soluções dos problemas e deixar que eles interfiram em suas atividades.
Os grandes eventos mundiais que colocarão o Brasil no holofote do mundo estão chegando e, se as empresas que estarão envolvidas direta e indiretamente não estiverem bem preparadas, no mínimo quanto à sua segurança, o país ainda estará longe do padrão de desenvolvido e nós mesmos seremos os principais prejudicados.
Pense nisso
Sergio Mansilha
A gestão de segurança pode ser uma boa forma de possibilitar que as empresas que irão contribuir para esses eventos funcionem da melhor maneira possível mesmo durante situações críticas.
Com um mercado cada vez mais dependente de recursos de tecnologia, passou-se recentemente a avaliar riscos operacionais, geralmente associados à tecnologia da informação, envolvendo aspectos de segurança (confidencialidade, integridade e disponibilidade), performance e conformidade.
Muitos pensam que segurança da informação resume-se à aquisição de softwares do tipo firewall e antivírus.
Como ponto de partida para esse universo, recomenda-se a aplicação da NBR ISO/IEC 27001 (Sistemas de Gestão de Segurança da Informação - requisitos). Essa norma institui alguns tópicos obrigatórios para sua abordagem, que são apresentados aqui resumidamente:
- Identificação dos ativos, ameaças e vulnerabilidades, assim como os impactos pelas perdas de confidencialidade, integridade e disponibilidade;
- Avaliação dos impactos para o negócio da organização que falhas de segurança podem ocasionar estimativas de níveis de riscos;
- Determinar se os riscos são aceitáveis ou planejar ações para tratamento dos riscos (aceitar, evitar, transferir ou mitigar).
Apesar da importância que essa estratégia pode ter em mercados em desenvolvimento, como é o caso brasileiro, vale lembrar que essa é uma preocupação global.
Além disso, a adoção dessas orientações vai muito além do emprego de uma gestão de riscos, mas a adoção de um Sistema de Gestão de Segurança da Informação (SGSI), que prevê controles referentes à política de segurança da informação, sua infraestrutura, partes externas, gestão de ativos, segurança em recursos humanos, segurança física e do ambiente, gerenciamento das operações e comunicações, controle de acessos, gestão de incidentes, gestão da continuidade dos negócios e conformidade.
Essa norma também segue o modelo de gestão da ISO 9001 e a lógica do PDCA (Plan Do Check Act), ou seja:
PLAN ? Estabelecimento de políticas, objetivos, processos e procedimentos para a gestão do risco e melhoria da SI, alinhado à estratégia da organização;
DO ? Implementação e operação das políticas do SGSI, controles, processos e procedimentos;
CHECK ? Mensuração da eficácia e eficiência dos objetivos, controles e processos e auditorias;
ACT ? Tomada de ações corretivas e preventivas.
Mas, apesar da importância disso, no Brasil 23 empresas foram certificadas na ISO 27001 enquanto no Japão são 3.862 certificadas, na India são 526 e nos Estados Unidos 101 (http://www.iso27001certificates.com).
Os empreendedores interessados em adotar essas soluções precisam estar atentos ao fato de que, se todos controles não forem implementados com base em uma correta avaliação de riscos orientada ao negócio, eles não chegarão nem perto de proteger a organização, pois eles não serão usados com o foco correto.
Por fim, mesmo conseguindo superar as carências externas com a adoção desse tipo de gestão, as empresas precisam pressionar o governo e demais instâncias em favor de melhorias na infraestrutura.
Não podem, no entanto, ficar apenas à espera das soluções dos problemas e deixar que eles interfiram em suas atividades.
Os grandes eventos mundiais que colocarão o Brasil no holofote do mundo estão chegando e, se as empresas que estarão envolvidas direta e indiretamente não estiverem bem preparadas, no mínimo quanto à sua segurança, o país ainda estará longe do padrão de desenvolvido e nós mesmos seremos os principais prejudicados.
Pense nisso
Sergio Mansilha
