Organização da Segurança da Informação O Security Officer e o Comitê de Segurança
Organização da Seg. da Informação Tudo depende de uma organização eficaz do trabalho, passando por uma postura correta dos profissionais envolvidos. Pela forma como eles se relacionam com as outras áreas da organização. Pela forma como o trabalho é distribuído e organizado e pelas escolhas tomadas em termos de hierarquia.
Organização da Seg. da Informação O profissional de segurança tem uma característica, muitas das vezes, beirando aquilo que muitas pessoas de outras áreas chamam de paranóia.
Não que a maioria dos profissionais de segurança torça o tempo todo para que algo de errado aconteça.
Organização da Seg. da Informação Controladores, possessivos, tecnicistas ... Os conflitos entre esses profissionais e os diversos departamentos são razoavelmente frequentes. Cuidado... São coisas que levam um projeto ao insucesso.
Organização da Seg. da Informação Um Security Officer precisa ter os seguintes atributos:
Ter visão global e foco local Tomar decisões por meio de análise de riscos Criar e multiplicar padrões Comunicar-se com facilidade Relacionar-se com habilidade Ter capacidade de liderança Ser um agente de mudanças
Organização da Seg. da Informação Um Security Officer precisa ter os seguintes atributos: Visão Glogal com Foco Local
A visão global com foco local é importante para que consiga resolver as ações imediatas (curto prazo), sem perder o foco das ações de longo prazo.
Longo Prazo -> elaboração/implantação PSI Curso Prazo -> atendimento de demandas urgentes
Comitê Corporativo de Segurança da Informação Conselho de administração
Comitê de Segurança
Comitê de Auditoria
Comitê Executivo
Diretoria RH
Diretoria Comercial
Diretoria de TI
Dir. Financeira
Comitê Corporativo de Segurança da Informação Representa o núcleo concentrador dos trabalhos Deve estar adequadamente posicionado hierarquicamente Formatado a partir da clara definição de seus objetivo Estrutura, funções, responsabilidades
Envolve representantes das áreas tecnológica, comunicação, comercial, negócios, jurídico, patrimônio, financeiro, auditoria, etc...
Comitê Corporativo de Segurança da Informação Objetivos Fomentar o Modelo de Gestão Corporativa de Segurança da Informação, através de ações distribuídas que têm abrangência física, tecnológica e humana, e interferem em todos os processos de negócio da empresa.
Analisar os resultados parciais e finais das ações de forma a medir efeitos, compará-los à metas definidas e realizar ajustes no Plano Diretor de Segurança, adequando a nova realidade gera da pela mudança de variáveis internas e externas.
Comitê Corporativo de Segurança da Informação Objetivos Interagir constantemente com o Comitê Executivo e o Comitê de Auditoria, buscando sinergia dos macro objetivos da empresa, além de trocar informações ligadas aos índices e indicadores de segurança.
Alinhar e definir ações para os Comitês Interdepartamentais que deverão agir localmente de forma distribuída, coletando, com maior riqueza de detalhes, os fatos relacionados aos aspectos físicos, tecnológicos e humanos inerentes a sua esfera e abrangência.
Comitê Corporativo de Segurança da Informação Conselho de administração
Comitê de Segurança
Comitê de Auditoria
Comitê Executivo
Diretoria RH
Diretoria Comercial
Comitê Int. RH
Comitê Int. Comercial
Diretoria de TI
Dir. Financeira
Comitê Corporativo de Segurança da Informação Coordenador do Comitê Corporativo de Segurança da Informação Security Officer
Estrutura Básica do Comitê Coordenação Geral de Segurança Coordenação de Segurança Controle Planejamento e Avaliação Execução
Comitês Interdepartamentais de Segurança
Comitê Corporativo de Segurança da Informação O Security Officer
Ele deve: Conhecer o negócio da empresa
É quem recebe toda a pressão da empresa diante dos resultados. Conhecer o segmento de mercado Não basta ter um perfil tecnológico Deve ter uma visão completa e horizontal da segurança da informação Deve possuir ricos fundamentos de gestão de projetos Deve ser um executivo
Conhecer o Business Plan da empresa
Conhecer as expectativas dos executivos com relação à sua atividade
Comitê Corporativo de Segurança da Informação Principais desafíos Orçamento Conscientização de gestores e colaboradores Questões políticas Desenvolver e reter profissionais e suas habilidades
Administrar ambientes em que a ocorrência de incidentes urgentes é constante, comprometendo o planejamento de longo prazo
Comitê Corporativo de Segurança da Informação Metas Viabilizar negócios e diminuir riscos dos ativos da organização Desenvolver a responsabilidade de segurança nos colaboradores Suportar as áreas da organização nas questões de segurança Implementar o programa de segurança
Organização da Segurança da Informação Gestão de Pessoas
Gestão de Pessoas Indivíduos e seus valores
A Segurança da Informação está intimamente ligada à compreensão do contexto, seu significado e sua importância. Envolve a emoção e implica em valores éticos, morais, econômicos...
Gestão de Pessoas Indivíduos e seus valores • É necessário que cada colaborador compreenda o negócio da organização; • Conheça os seus valores e seu código de ética; • Saiba o que é importante para a organização.
Se ele não entender e não absorver isso, dificilmente protegerá adequadamente as informações da empresa.
Gestão de Pessoas Indivíduos e seus valores • Associado a tudo isso temos ainda o que chamamos “vulnerabilidades humanas”, que variam de pessoa para pessoa, conforme as circunstâncias. Vaidade, ambição, medo, entusiasmo, paixão • Essas e outras vulnerabilidades são exploradas pela “engenharia social”. • O valor da informação nem sempre é pago em dinheiro. Muitas das vezes é com carinho e atenção.
Gestão de Pessoas Indivíduos e seus valores • Pessoas não são ativos que podem ser configurados ou programados. • Pessoas são ativos que têm sentimentos, emoções, vontades. • São ativos que são educados.
Gestão de Pessoas Aspectos gerais da comunicação Considerar com atenção os elementos básicos do processo:
Emissor
Canal
Mensagem
Ruídos
Receptor
Gestão de Pessoas Aspectos gerais da comunicação Os ruídos são todas as interferências que podem existir entre um extremo e outro e que podem prejudicar a compreensão. Aspectos emocionais Confusão de referência Auto-suficiência Desconforto interno ou externo
Gestão de Pessoas Aspectos gerais da comunicação Temos, basicamente, três tipos de comunicação: Comunicação não-verbal: simbólica e sonora. Comunicação oral: códigos que expressam sensações e sentimentos. Comunicação estrita: representação gráfica.
Gestão de Pessoas Aspectos gerais da comunicação • Toda organização tem seus códigos próprios • Uma linguagem cheia de símbolos e significados • As pessoas também • Um olhar pode dizer coisas que jamais sairiam da boca
É nesse contexto que a S.I. está inserida e que o Security Officer necessita entender.
Gestão de Pessoas Aspectos gerais da comunicação Em todos grupo social ou profissional existem laços de amizade, de simpatia ou antipatia que podem unir ou afastar as pessoas. Com relação ao trabalho, é necessário considerarmos ainda as relações hierárquicas e os papéis e funções de cada um.
Gestão de Pessoas Aspectos gerais da comunicação O fator humano nas organizações pode ser divididos em três partes: • Adaptação do homem ao trabalho: capacitação e adaptação à tecnologia, métodos e processos, valores da organização. • Adaptação do trabalho ao homem: adaptação dos ambientes físicos, ergonomia, cultura local, etc.
• Adaptação do homem ao homem: relações humanas.
Gestão de Pessoas Aspectos gerais da comunicação • Todas essas questões tanto servem como referências para um bom processo de Gestão de Pessoas como para a engenharia social. • Quando alguém quer obter uma informação usando esse método, observa as pessoas, seu caráter, personalidade, valores e vulnerabilidades; • Estabelece uma comunicação que lhe permite obter o que quer explorando as fraquezas de um dos ativos humanos da organização. Torna-se necessário que o Security Officer mantenha laços estreitos com o RH.
Gestão de Pessoas Essas recomendações são importantes para o processo da elaboração da PSI com suas diretrizes, normas, procedimentos e instruções, bem como nas campanhas de divulgação e sensibilização, treinamento, etc.
PSI
•Usar códigos conhecidos • Usar meios adequados aos tipos de mensagens e usuários • Adotar estilo simples e claro • Respeitar o interlocutor, não super ou subestimá-lo • Respeitar a cultura organizacional • Evitar ruídos no processo.
Gestão de Pessoas Quando elaboramos um PSI, devemos usar termos conhecidos para facilitar a formação de imagens mentais o mais próximo
possível daquilo que desejamos transmitir, auxiliando na formação de juízos e desencadeando o raciocínio de todas as pessoas que a lêem e necessitam segui-la. De nada adianta uma política se as pessoas para as quais se destina não a compreendam.
Gestão de Pessoas • Entender a importância dos papéis que os colaboradores desempenham dentro de uma organização é um dos pontos primordiais na implementação de um programa de segurança da informação. • Além de entender, o Security Officer deve ser capaz de compartilhar essas responsabilidades, dando ciência a todos os envolvidos. • Toda organização é responsável pela segurança. Porém, dependendo do papel do colaborador, essas responsabilidades variam em abrangência e
importância.
Gestão de Pessoas • Pessoas são movidas pelo conhecimento, pela falta dele e também pela emoção e pelo sentimento.
• Aprender implica mudança de hábitos, que significa mudança de comportamento.
• Uma campanha de Segurança da Informação não é apenas um questão de endomarketing, mas também um processo de educação. • Conscientização é uma prática já estabelecida e tem como propósito focar a conscientização coletiva da corporação a respeito dos problemas de segurança.
Gestão de Pessoas • Fatores externos às questões de trabalho interferem no relacionamento entre o funcionário e a organização. • O nascimento de um filho ou o desejo de adquirir algo que dependa de um
orçamento doméstico maior. • Estresse, irritação, descontentamento, depressão...
São estados de ânimo que podem ser nocivos para a SI, bem como: • Rotatividade de pessoal: há sempre alguém entrando ou saindo da empresa ou sendo remanejado de um setor para outro. • As empresas terceirizadas, serviços e profissionais temporários, estagiários, etc.
Gestão de Pessoas Resumo: • Uma das coisas mais difíceis é o que chamamos “disciplina consciente”. Independente de estar sendo controlado ou supervisionado, o indivíduo age corretamente considerando-se as convenções estabelecidas. Isso exige maturidade emocional. • Assim as regras devem ser claras, a adesão à PSI deve ser medida periodicamente, o processo de seleção deve ser criterioso, o treinamento e a atualização devem ser constantes, além de todo um conjunto de tecnologias aplicas a SI. • Lembre-se: você pode configurar um firewall e programar um computador, mas não consegue fazer isso com um ser humano.