Já falei algumas vezes aqui sobre o Segurança da Informação. Hoje, a Segurança da Informação
é sem dúvida, um quesito bem complexo dentro de uma organização. Ela entra em vários pontos, dentre eles o Organizacional ( ou seja, criar métodos e regras para que a Segurança seja bem aplicada ), além dos quesitos técnicos ( resumindo, a parte Geek/Nerd da coisa ).
Me saio bem no segundo quesito, pois sou um cara altamente técnico. Mas, por força da minha opção de carreira, ser mais ligado a Segurança da Informação, entende como um CSO deve se portar é um pouco digamos, muito necessário. Assim, vou falar um pouco do que eu entendo como necessidades de regras organizacionais para que uma Política séria de Segurança da Informação realmente seja implementada com sucesso em uma empresa.
Uma imagem que eu achei na internet mostra um pouco os campos em que uma política bem fomentada de Segurança da Informação devem abranger.
Pode-se ver nela que os diversos campos da Segurança da Informação cobrem praticamente todas as áreas de uma empresa, inclusive sendo necessário esta formatação da estrutura de segurança de uma empresa levar em conta que haverão as famosas exceções.
Quem são elas ? Aquele famoso gerente amigo do CSO que vai acessar um site qualquer, um diretor que não aceita que as regras impostas para o resto dos funcionários e por aí vai.
Ou seja, acredito que o gráfico acima cubra todas as estruturas necessárias. Na série de posts em cima deste desenho acima, eu irei cobrir a parte de formação, políticas e instruções tal qual a imagem está mostrando. No site original em que consegui a imagem você pode conseguir visualizar sem problemas o que o autor original dela gostaria de passar.
Esperem portanto nos próximos dias os posts referentes a isto, e no fim, uma análise de algumas ferramentas de dois grandes players do mercado, Cisco e Trend Micro para ajudar o CSO e quando não, o SysAdmin neste processo maluco de criar Segurança da Informação em uma empresa.