Tradicionalmente, a segurança da informação tem sido percebida como uma atividade que foi construída em torno da proteção de ativos de informações sensíveis – afinal, era isso que a primeira revisão (2005) da ISO 27001, e sua predecessora BS 7799-2, também enfatizavam. Essas normas exigiam que as empresas identificassem todos os ativos e, em seguida, construíssem as salvaguardas (ou seja, a defesas) em torno desses ativos.
Mas, na última década, surgiram outras formas de olhar para a segurança da informação: sendo a segurança principalmente um trabalho de conformidade e que a segurança faz parte de um controle interno, isto é, parte da governança corporativa. (Nota: este post do blog adaptou o modelo apresentado no artigo Information assurance: Strategic alignment and competitive advantage.)
Assim, qual destas três abordagens é a melhor de se usar?
Segurança da informação como uma abordagem de proteção de ativos de informação / Segurança da TI
Esta abordagem tradicional de proteger os ativos veio da filosofia que existe na segurança física há milhares de anos – você tem um ativo físico e, em seguida, constrói um perímetro de segurança à sua volta. (Veja também: Segurança Física na ISO 27001: Como proteger as áreas seguras.)
Essa abordagem tradicional foi assumida principalmente por departamentos de TI que desenvolveram a tecnologia de segurança de TI – por exemplo, firewalls, proteção antivírus, sistemas de detecção de intrusos, etc. – em torno dos ativos que eles queriam proteger. (Veja também: Segurança da informação ou segurança de TI?)
E essa abordagem funcionou bem para a segurança física; no entanto, o problema é que agora com serviços em nuvem, dispositivos móveis, insiders, backdoors, hackers, etc. – está se tornando realmente difícil definir o perímetro de segurança em torno de ativos de informações e depois construir os controles em torno deles; Obviamente, algo mais é necessário.
Segurança da informação como um trabalho de conformidade
Uma vez que a proteção de informações confidenciais corporativas e / ou privadas está se tornando uma questão muito importante, os governos – assim como os clientes – estão adotando uma abordagem mais proativa e definindo vários requisitos de segurança da informação por meio de leis, regulamentos e contratos. (Veja também: Como identificar os requisitos de partes interessadas do SGSI na ISO 27001.)
E então, as empresas estão começando a se concentrar em cumprir todos esses requisitos – na maioria dos casos, isso é feito através da escrita de várias políticas e procedimentos, mas este tipo de abordagem “marcar o item ao escrever a documentação” não resolve a principal situação – como diminuir o número de incidentes de segurança ao tornar os processos nas empresas mais seguros.
Segurança da informação como parte do controle interno / governança corporativa
Esta abordagem é mais típica para as grandes organizações que querem saber exatamente quem é responsável pelo que, quais relatórios são enviados para quem, quem tem que tomar quais decisões, etc. Estes tipos de organizações basicamente querem reduzir o risco de algo dar errado, embora muitas vezes elas não tenham um processo formal de gestão de risco.
Esta abordagem se encaixa muito bem com a abordagem de conformidade; no entanto, existem muitas empresas a tomar que assumem esta abordagem sem o “empurrão” da conformidade. A desvantagem desta abordagem é que a comunicação geralmente é de sentido único – a partir da sede da empresa para cada departamento – desta forma, é muito difícil de explicar para a alta gerência os problemas reais que são enfrentados nas operações do dia-a-dia quando se trata de ameaças, vulnerabilidades ou dificuldades de adoção de novas regras corporativas.
Uma abordagem combinada
Agora, a questão é: qual dessas três abordagens deve ser a sua guia? Se você olhar para a revisão 2013 da ISO 27001, então a resposta é: nenhuma. Ou, para ser mais preciso, a ISO 27001: 2013 exige que você misture todas essas abordagens em um único sistema de gerenciamento baseado na abordagem de risco. (Veja também: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.)
A ISO 27001:2013 requer que você realize a avaliação e tratamento dos riscos, e escolha os controles mais apropriados para sua informação; ela também requer que você identifique todos os requisitos legais e regulatórios, e os requisitos de seus parceiros e clientes, para, em seguida, cumprir com os mesmos; finalmente, a ISO 27001: 2013 exige que você configure um sistema de gerenciamento com funções e responsabilidades claramente definidas, medição, relatórios e funções de auditoria interna.
Então, qual é o ponto aqui? Não se deixe enganar ao ver uma dessas abordagens como sua principal filosofia de segurança da informação – o que seria um erro, porque você não seria capaz de proteger suas informações corretamente.
Clique aqui para fazer o download gratuito do artigo: Integration of Information Security, IT and Corporate Governance para aprender mais sobre como integrar a segurança da informação com outras funções da organização.
Nós agradecemos a Rhand Leal pela tradução para o português.