Por Denny Roger
Na área de segurança da informação um dos principais ensinamentos que podemos ter é o fato de que a tecnologia evolui muito mais rápido que qualquer curso ou certificação profissional. Sempre há a necessidade de aprendermos coisas novas.
É verdade que as ameaças evoluem muito mais rápido que as tecnologias que gerenciamos e/ou administramos no nosso ambiente virtual. Mas, como anda a evolução dos conhecimentos dos profissionais que atuam na área de segurança da informação ou TI?
Viajando ao redor do mundo, tive a oportunidade de conversar com alguns dos melhores profissionais que atuam com o desenvolvimento de metodologias e tecnologias ligadas a segurança da informação. Todas as conversas se resumiam a questão da evolução da nossa área. Tanto as características e motivações pessoais, como também a chegada da Governança da Segurança da Informação ao dia-a-dia das organizações, estarão presentes em 2010.
Governança da Segurança da Informação
As organizações estão optando cada vez mais pelas boas práticas de Governança Corporativa, demonstrando como linhas mestras a transparência, a prestação de contas, a equidade e a responsabilidade corporativa.
Um aspecto significativo é a inclusão da segurança da informação como parte do risco operacional, na definição mais ampla de Governança Corporativa.
O novo paradigma de gestão tem como epicentro a implementação do Gerenciamento de Serviços de TI (ISO/IEC 20000) em conjunto com o Sistema de Gestão da Segurança da Informação (ISO/IEC 27001), onde as organizações tem como objetivo criar resultados com base no alinhamento estratégico e na melhoria continua.
Apesar de atualmente não termos um guia abordando os aspectos principais necessários para a implementação dos dois sistemas de gestão, esta iniciativa deverá proporcionar uma série de benefícios para a Governança da Segurança da Informação, tais como: melhoria dos processos, políticas e procedimentos de TI e segurança da informação.
A carreira do profissional de segurança da informação
O ensino da cadeira de segurança da informação nas universidades e escola está em franca expansão. É um passo importante para a educação de um país que tem algumas das principais gangues de Crackers (criminosos do mundo real que atuam no mundo virtual) do mundo.
Sem dúvida, um curso ajudará no aprendizado e agrega valor ao currículo. Todavia, muita energia pode ser poupada e tempo economizado se o acesso às tecnologias e às metodologias adequadas de segurança da informação ocorrem no tempo certo.
Apesar de existirem muitas fontes de informação, identificar quais tecnologias ou metodologias são adequadas pode não ser fácil. No entanto, existem algumas dicas que podem auxiliar você nessa tarefa.
Primeiro, no meu ponto de vista, uma das melhores formas de estimular a geração de novas idéias, seja para a implementação de melhorias ou para responder a um novo tipo de ataque ao ambiente computacional, é o método de brainstorming (tempestade cerebral). Quando estamos reunidos com outras pessoas, surgem novas idéias ou soluções mais simples para um determinado problema ou para a concepção de um novo produto / projeto.
Segundo, as organizações estão buscando cada vez mais profissionais que consigam mapear a situação atual organização. Ou seja, a alta administração da sua empresa quer saber como estão os aspectos relacionados ao desempenho dos processos de TI e segurança da informação. Esse “raio X” pode ser gerado através da avaliação do nível de maturidade e da análise de risco.
Terceiro, o gestor ligado a segurança da informação e/ou TI precisa estabelecer e monitorar passo a passo as melhorias dos processos rumo à estratégia da organização.
Quarto, realize benchmarking e entenda os melhores desempenhos de segurança da informação do mercado e determine como a sua organização e seus processos se comparam a eles. A identificação, compreensão e adaptação de melhores práticas observadas em empresas que possuem uma reconhecida reputação de liderança no gerenciamento dos processos de segurança da informação, ajudará a melhorar significativamente o desempenho da sua empresa.
Quinto, implementar padrões internacionais pode trazer escalabilidade (bom potencial de crescimento e capacidade de assumir projetos de alto risco para o desenvolvimento de novos negócios). Não deixe de avaliar a conformidade e o desempenho da sua empresa em relação ao conjunto de melhores práticas reunidas na ISO 27002 (Código de Prática para a Gestão da Segurança da Informação) e na ISO 20000-2 (Gestão de Serviços – Parte 2: Código de prática).
Sexto, desenvolva ações para melhoria continua dos processos de segurança da informação. Após a avaliação do nível de maturidade, é possível elaborar o Plano de Crescimento (longo e curto prazo) para refletir o nível máximo ao qual a sua empresa deseja chegar e o prazo para implementação das melhorias para seus processos, apresentando as ações que irão possibilitar o crescimento da maturidade.
Enfim, desenvolver as seis dicas não é fácil, pois estão envolvidos vários fatores, entre eles o apoio da alta administração e o seu tempo para aprimorar os conhecimentos relacionados à Governança da Segurança da Informação. Essas dicas podem ser essenciais para você que dispõe do comprometimento e da energia indispensável para levar a sua carreira e sua empresa até o topo do sucesso em 2010.
Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.
