Por COMPUTERWORLD

O CISO (Chief Information Security Officer) da Universidade da Geórgia (EUA), Stan Gatewood, em parceria com o COMPUTERWORLD, reuniu os principais passos para construir – ou mesmo reestruturar – o departamento de segurança da informação da sua empresa.

1. Identifique um executivo líder. Um executivo patrocinador precisa defender a nova estratégia do programa de segurança.

2.  Selecione uma pessoa principal. O CISO ou outro líder de segurança devem gerenciar diariamente as atividades.

3. Defina ou priorize os objetivos. Tente amarrar os objetivos de negócio aos de segurança.

4. Estabeleça um mecanismo de revisão. Um processo revisto pela diretoria, por executivos de tecnologia da informação, segurança física, recursos humanos, jurídico, auditoria e pela área de segurança da informação avaliará e aprimorará as iniciativas.

5. Estime o estado corrente da segurança. Considere política, processos, sugestões, padrões, tecnologias existentes (hardware e software), treinamento e educação.

6. Estabeleça – ou restabeleça – a organização da segurança. O grupo deve ter o foco na segurança das informações, não só as limitações das tecnologias que possui.

7. Revise a posição existente e desenvolva novas de acordo com as necessidades. Isso pode incluir uma política aceitável e configuração de segurança mínima para qualquer equipamento da rede.

8. Monte times de implementação. Coloque juntos grupos com funções complementares, com funções técnicas e de negócio para orquestrar os planos as novas políticas, iniciativas, ferramentas e processos.

9. Tenha um executivo da diretoria de segurança revisando os planos. Este grupo deve considerar o orçamento, tempo de execução e prioridades.

10. Revise as possibilidades técnicas. Isto pode ser feito por um técnico de segurança que represente o escritório do CIO e do CTO, mais o pessoal de operações, serviços de produção e suporte.

11. Determine, faça a programação, execute e discute o que pode ser feito e entregue. Dê claras responsabilidades individuais e de grupo.

12. Coloque toda a equipe de trabalho no plano estratégico. Cada um do departamento de segurança deve estar apto a introduzir e explicar os objetivos do plano de segurança e detalhar como os projetos estão contribuindo para a meta da empresa.

13. Mensure resultados com métricas e estas métricas de segurança de TI devem estar baseadas em objetivos que terminem em decisões certas e melhorias de negócio.