O Papel do Security Officer
Existem desafios que todo profissional designado para a função executiva de gestor de segurança da informação deve conhecer, enfrentar e superar. Evidentemente, sempre considerando o porte da organização e as características do negócio pois muita das vezes, o profissional deseja implementar vários controles de segurança mas ficará impedido pelo alto valor do investimento.
O Security Officer tem que ser o mediador, orientador, questionador, analisador de ameaças, impactos e consequentemente responsável por um estudo de viabilidade para cada situação e etapas a serem impostas, na esfera das estratégias de análise dos riscos. Afinal, ele estará envolvido com os diversos setores da organização, receberá e emitirá opiniões sobre as atividades desenvolvidas e a forma de como assegurar a segurança das informações.
Segundo Mário César Peixoto, o Security Officer não deixa de ser um engenheiro social do bem, devido a ter que conhecer suas técnicas, seu modo de agir, enfim, o perfil com atitudes e suspeitas de que esteja deparando com um ataque da Engenharia Social. O Engenheiro Social é o profissional que utiliza a boa vontade das pessoas em querer ajudar para obter todas as informações importantes e confidenciais de uma instituição, para futuramente, promover algum tipo de ataque à organização.
O papel do Security Officer é ser mais uma poderosa ferramenta para ajudar na diminuição de pontos vulneráveis que possam mais tarde se tornar ameaças crônicas, resultando em impactos sérios e as vezes irreparáveis, principalmente se as consequências da ações descontinuarem o negócio da empresa.
Esse profissional tem que está ciente que seu objetivo é fazer segurança pois é o responsável pela execução do processo de segurança da informação. Ele tem que garantir que os requisitos de segurança existem, são de conhecimento dos envolvidos e são cumpridos ao longo do tempo.
Uma das responsabilidades do Security Officer dentro de seu papel é definir a abordagem estratégica que vai adotar para a organização, em que necessariamente tem que estar alinhada às normas e procedimentos éticos da corporação, definir a forma de atuação do grupo de segurança, ter por base as normas e melhores práticas do mercado, proteger os recursos de informação, definir os controles para as novas iniciativas do negócio e acompanhar a eficácia da proteção ao longo do tempo.
Realmente não é tarefa fácil elaborar e executar um plano de Segurança da Informação, mas é possível na medida em que se conheçam verdadeiramente os negócios da empresa, tendo a liberdade de propor novos planos à Diretoria. Não adianta somente propor solução, tem que se preocupar em evitar a descontinuidade do negócio antes de ocorrer qualquer tipo de incidente de segurança.
Entende-se então que não existe uma solução padrão para ser aplicada em todas as empresas e sim, planos personalizados conforme a necessidade de cada organização. Não se podem copiar procedimentos e normas de segurança de uma instituição corporativa e implantar em outro lugar. Cada local possui seu próprio negócio, seus ativos da informação e os objetivos são completamente distintos, o que leva sempre a criação de procedimentos exclusivos para o planejamento da segurança da informação de cada segmento empresarial.
O Security Officer tem que criar uma política de segurança da informação em que a política reflete a filosofia da organização sobre o assunto segurança, que deve ser de fácil lembrança e deve informar as regras básicas que precisam ser seguidas. As normas e os procedimentos tratarão do detalhamento e de como executar esses controles.
O sucesso do processo de segurança da informação depende do nível do comprometimento dos usuários. As pessoas precisam entender da necessidade de proteção da informação e também precisam ser treinadas para fazer corretamente essa proteção. Nesse momento, o próprio Security Officer tem que está preparado e firme em suas decisões para que no futuro, determinadas ações cometidas pelos usuários não entrem em conflito com a postura do profissional de segurança da informação.
A proteção da informação atua sobre um leque abrangente de assuntos, situações novas e recentes tecnologias. Algumas vezes, o Security Officer não saberá detalhes de como normatizar determinadas coisa, mas deve saber contar com a colaboração de especialistas no assunto para implantação adequada.
Além desses desafios, o profissional de segurança da informação deve ter, pelo menos, duas características básicas: amar o que faz e ser ético. Com essas características e complementando com profissionalismo, o processo de segurança da informação existirá de uma forma efetiva na organização.
Resumidamente, o papel do Security Officer é ser responsável pela coordenação dos processos inerentes à segurança da informação. Onde este “chefe” de segurança junto com um plano diretor de segurança, tomará os devidos cuidados quanto ao tratamento de dispor e descartar informações baseando-se nas políticas de segurança impostas e estruturadas conforme as necessidades que cada organização tem em particular.
Fonte:
PEIXOTO, Mário César Pintaudi.Engenharia Social e Segurança da Informação. Ed. Brasport: Rio de Janeiro, 2006.
Você precisa fazer log in para comentar.