SECURITY OFFICER

O security officer é o profissional responsável pela coordenação do processo de segurança da informação, do planejamento à implementação, da avaliação permanente às melhorias. Para exercer esse cargo é necessário muito mais do que experiência e conhecimento abrangente, é preciso conhecer em detalhes as atividades do negócio. Só assim o security officer será capaz de encontrar as soluções que realmente se enquadram à realidade da organização. Outra característica desejável é a ética, uma vez que se lida frequentemente com dados pessoais e confidenciais.

Alguém que exerce esse cargo precisa estar se atualizando constantemente e ter em mente que a proteção não é para os recursos de tecnologia da informação, embora esse conhecimento técnico seja importantíssimo, e sim para a organização como um todo. Logo, é fundamental que se busque a integração do setor de segurança da informação com as áreas jurídica, administrativa, de recursos humanos, de tecnologia da informação, fornecedores etc. Capacidade de comunicação, é pré-requisito para ser  security officer.

Um de seus desafios principais é conseguir recursos para o setor de segurança da informação, visto que a segurança é geralmente tratada como despesa e não como investimento, por não trazer retorno direto. Sem o apoio da direção e autonomia para a tomada de decisões, se torna impossível levar em frente qualquer política de segurança da informação. Vale lembrar que a segurança é responsabilidade de todos e o security officer tem apenas a missão de organizar esse processo.

Existem diversas certificações na área de segurança da informação que costumam pesar bastante no momento da contratação. As principais são CobiT, ITIL, CISM, CISA, CFE, CITP, ISO 27001 LA, CISSP e CGEIT.

ANÁLISE CRÍTICA INDEPENDENTE

Em intervalos regulares ou diante de modificações estruturais importantes na organização, é importante que políticas, controles e procedimentos passem por uma análise crítica, com o intuito de garantir a qualidade no gerenciamento da segurança da informação.

A análise crítica é um processo que deve ser realizado de forma independente, isto é, o avaliador não pode ser da área avaliada. Além disso, essa pessoa deve ter experiência nesse tipo de trabalho, que inclui a análise de documentos como a política de segurança da informação, a verificação de registros de log e de incidentes de segurança, entrevistas com funcionários etc. Ao final dessa etapa, o avaliador deve estar apto a apontar aspectos que não estão de acordo com a política de segurança da informação e sugerir correções ou ainda propôr melhorias na própria política, nos controles, procedimentos e no gerenciamento da segurança da informação como um todo.

O resultado da análise precisa ser registrado e o próprio avaliador também deve ser avaliado de forma crítica e, é claro, independente.


MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.