Executivos das organizações precisam exercer sua liderança para a segurança da informação, demonstrando seu comprometimento e definindo papéis e responsabilidades. Este é o Controle 5.2 da nova ISO 27002: Papéis e responsabilidades pela segurança da informação.
Mais do que uma melhor prática, este controle é também um requisito obrigatório da ISO 27001, determinando à Alta Direção que assegure que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuídas e comunicadas.
O requisito 5.3 da ISO 27001 (Autoridades, responsabilidades e papéis organizacionais) segue a mesma estrutura alto nível de todas as outras normas de certificação da ISO (como ISO 9001, ISO 22301, ISO 37001, etc).
A segurança é dever de todos mas o exemplo começa de cima! Os executivos devem seguir as políticas, reforçando a importância de se proteger as informações na organização e atribuindo responsáveis pela conformidade com a norma e reporte sobre o desempenho do SGSI - Sistema de Gestão de Segurança da Informação.
Como propósito principal deste controle, a nova ISO 27002 estabelece que deve estar claro para todos na organização as suas respectivas responsabilidades, além de conhecerem a estrutura definida e aprovada para a implementação, operação e gestão da segurança da informação.
A alocação de papéis e responsabilidades deve ser documentada e comunicada, de acordo com a política de segurança da informação e as políticas específicas por tema.
Sobre o controle 5.1 - Políticas de segurança da informação, mais detalhes no final com o link para o artigo anterior.
Segundo a ISO 27002, convém que as organizações definam e gerenciem as responsabilidades por:
- proteção de informações e outros ativos associados;
- realização de processos específicos de segurança da informação;
- atividades de gestão de riscos de segurança da informação e, em especial, aceitação de riscos residuais (por exemplo, para os proprietários de risco);
- todo o pessoal usando as informações de uma organização e outros ativos associados
Uma ferramenta prática que pode ajudar na definição mais clara das atividade e funções é a Matriz de Responsabilidades (ou Matriz RACI) que define visualmente em formato de tabela a lista de atividades e atribuições, utilizando-se as letras da sigla RACI: R: Responsável (Responsible), A: Autoridade (Accountable), C: Consultado (Consulted) e I: Informado (Informed).
É usual que se defina uma função específica em tempo integral de Gestor de Segurança da Informação (ou em inglês, CISO - Chief Information Security Officer), com a responsabilidade global pela implementação da segurança da informação e conhecimento para desenvolver processos e sistemas. De acordo com o tamanho e recursos da organização, esta função ou responsabilidade pode ser coberta de forma adicional por funções existentes.
É comum também as organizações definirem um Comitê de Segurança da Informação para apoiar, definir e a aprovar políticas e decisões sobre segurança da informação.
Responsabilidades específicas também podem ser necessárias, como por exemplo nomear pessoas como pontos focais em áreas ou locais distintos de tratamento de informações ou mesmo funções técnicas com conhecimentos e habilidades especializadas.
Outra prática habitual é a definição de um proprietário da informação ou ativo que, se torna também o responsável pela avaliação de riscos e sua proteção. Neste caso, o gestor de segurança deve apoiar para que este se mantenha atualizado e disponibilizar recursos e conhecimentos necessários para que possa cumprir as responsabilidades do papel.
Finalmente, a nova ISO 27002 aborda a responsabilização (accountability em inglês), orientando que pessoas com responsabilidades definidas podem até delegar tarefas de segurança a outros, mas continuam sendo as responsabilizadas e assim, precisam assegurar e prestar contas que sejam executadas corretamente.
Boa leitura e até a próxima!
