Garantir a proteção das informações é um tema cada vez mais relevante na agenda da direção, deixando de ser apenas um assunto técnico, se tornando uma questão executiva. E quais então seriam as principais obrigações e deveres da alta direção para a segurança da informação? Conforme orienta a nova ISO 27002, em seu Controle 5.4 - Responsabilidades da direção, a principal função dos executivos é exigir que todos na organização cumpram as políticas e procedimentos estabelecidos.
Controle 5.4
Responsabilidades da direção
Convém que a direção requeira que todo o pessoal aplique a segurança da informação de acordo com a política de segurança da informação estabelecida, com as políticas específicas por tema e com os procedimentos da organização.
Este controle já existia na versão anterior da norma (antigo 7.2.1 do documento de 2013) , foi atualizado para deixar mais claro o propósito de que a alta direção entenda seu papel na segurança da informação e realize ações para assegurar que todo o pessoal, sejam funcionários ou terceiros, estejam cientes e cumpram suas responsabilidades.
Para entender melhor este papel da alta direção na segurança da informação, recomendo a leitura do artigo anterior sobre o Controle 5.2 - Papéis e responsabilidades pela segurança da informação, deixando claro para todos na organização, de forma documentada e comunicada, as respectivas responsabilidades e estrutura definida para implementar, operar e gerenciar a segurança da informação.
Como primeiro passo, a alta direção precisa dar o exemplo cumprindo e demonstrando seu apoio às políticas, procedimentos e controles de segurança da informação. Em seguida, assegurar que todos os demais na organização, independente de suas funções, também conheçam e cumpram a Política de Segurança da Informação, com as diretrizes gerais estabelecidas pela Alta Direção. Necessário assegurar também o cumprimento de outras regras e normas, conhecidas como "políticas específicas por tema".
Mais detalhamento e orientações sobre o tema, sugiro o artigo sobre o Controle 5.1 - Políticas de Segurança da Informação, que visa assegurar a adequação contínua, suficiência, efetividade da direção de gestão e suporte à segurança da informação de acordo com os requisitos comerciais, legais, estatutários, regulamentares e contratuais.
Como orientações específicas, a norma recomenda um conjunto de 8 práticas que a direção deve realizar para garantir que todos na organização conheçam e cumpram as regras e diretrizes estabelecidas, assegurando que o pessoal:
- seja devidamente informado sobre seus papéis e responsabilidades de segurança da informação antes de ser concedido acesso às informações da organização e outros ativos associados;
- tenha recebido as diretrizes que afirmam as expectativas de segurança da informação em seu papel dentro da organização;
- seja obrigado a cumprir a política de segurança da informação e políticas específicas por tema da organização;
- alcance um nível de consciência da segurança da informação relevante para seus papéis e responsabilidades dentro da organização (ver 6.3);
- esteja de acordo com os termos e condições de trabalho, contrato ou acordo, incluindo a política de segurança da informação da organização e os métodos apropriados de trabalho;
- continue a ter as habilidades e qualificações de segurança da informação adequadas através de educação profissional contínua;
- sempre que possível, seja fornecido um canal confidencial para relatar violações da política de segurança da informação, políticas específicas por temas ou procedimentos para segurança da informação (“denúncia”). Isso pode permitir denúncias anônimas ou ter disposições para assegurar que o conhecimento da identidade do denunciante seja conhecido apenas por aqueles que precisam lidar com estes reportes;
- seja fornecido recursos adequados e tempo de planejamento de projetos para a implementação dos processos e controles relacionados à segurança da organização.
Em resumo, a segurança da informação eficaz apenas é possível com a liderança e comprometimento da alta direção, que é responsável por fornecer as diretrizes gerais, assegurar a visão de negócios e garantir que as políticas, procedimentos e controles existam, sejam adequadamente implementadas, conhecidas e seguidas por todos!
Se você é executivo ou membro da Alta Direção, espero ter ajudado na compreensão de sua responsabilidade. Ou então, repasse o artigo para seu superior até que chegue no nível mais acima da organização.
Boa sorte e até a próxima,
