Não estamos falando apenas de Tecnologia e sim de Segurança da Informação como um todo, e se uma empresa depende da segurança da informação para atingir seus objetivos corporativos, logo o CEO (Chief Executive Officer) deve ser o principal responsável pelo tema.
Não estou afirmando que o CEO precisa ser um expert em segurança, mas sim, ele deve estar comprometido com tudo que diz respeito com boas informações para poder direcionar as ações necessárias para atender a estratégia da empresa.
Em tempos de RANSOMWARE, e agora falando um pouco de Segurança de TI, nunca foi tão importante o comprometimento dos principais executivos no tema segurança dentro de nossas organizações.
Por se tratar de um processo corporativo, pois está intimamente ligado as informações que mantém a empresa é que considero a Segurança da Informação uma atividade que não é somente da área de Tecnologia da empresa. o CEO aqui, tem a missão fundamental de difundir e garantir a existência de processos corporativos para que o Ambiente Tecnológico e o Ambiente Físico sejam auditáveis e passiveis de recuperação em caso de desastre.
A área de Segurança da Informação tem mais sucesso quanto mais independente for e quanto mais madura for a organização. Os processos de segurança devem permear toda a organização e mais uma vez o CEO tem papel fundamental no patrocínio destas ações.
A segurança da informação exige investimentos. Não somente tecnológicos, precisa de profissionais competentes que estejam a frente das ações necessárias para manter a empresa minimamente segura. Quando falo isto, lembro que mitigar os riscos é a primeira iniciativa para um ambiente seguro e o processo de segurança não pode ser reativo. Um profissional com sólidos conhecimentos de segurança da informação pode fornecer ao CEO as necessidades mínimas para um ambiente seguro. Sabemos que no Brasil as pequenas empresas tem dificuldades por questões financeiras de manter um profissional para esta área, mas neste tema existem ótimas consultorias que podem prover as empresas com todas as iniciativas que um profissional interno deveria trazer, por um custo bastante aceitável.
Sendo a ignorância um dos maiores pecados para a segurança da
Informação, a falta de normas e políticas dificultam o tratamento de
processos simples como acessos e segregação da informação e quando for o
caso de ações preventivas, visando a segurança da organização.
Segurança não é "achismo", existem normativas de segurança como a família ISO/IEC - 27000 que tratam do tema de forma estruturada e permitem que qualquer empresa trate de todos as particularidades importantes e as ações que devem ser tomadas para tratar do assunto.
Backups seguros e testados, Antivírus Corporativos, Firewalls de última geração, redes segregadas, acessos físicos seguros, estas são apenas ações que devem estar normatizadas dentro da organização e que devem ter sido orquestradas pela área competente com o patrocínio do CEO.
As ações devem ser continuadas e a atenção aos detalhes deve ser a prioridade para as empresas.
Sim o CEO é em resumo o responsável por todas as ações ligadas a Segurança na sua empresa.
Cesar Sarafim
