Que o caso da Receita Federal sirva de exemplo. – 18set10

14 de maio de 2013 enigma.consultoria Sem categoria Leave a comment  

 Vou voltar mais uma vez ao caso da Receita Federal para servir de exemplo à minha argumentação. Para que a Segurança da Informação funcione dentro de um contexto de gerenciamento razoável é necessário que se planeje, execute o planejado, verifique o executado e aja sobre os resultados da verificação (ciclo PDCA). Pois bem, até planejamos, selecionando processos e controles preventivos e detectivos, adotamos a ideia de gerenciar o risco da segurança da informação e passamos do planejamento para a execução, implementando processos e controles.

 Quero dar uma primeira parada para argumentar. Nós brasileiros gostamos de pensar em controles, antes de pensar no processo (em sua análise e modelagem). O caso da Receita é típico (e não é só ela): falta de processos adequados de segurança da informação em disciplinas importantes como controle de acesso lógico. Porque não pensamos em processos quando estamos planejando? Porque pensar em controles é mais rápido, gasta menos e aparece mais aos olhos de quem promove. E quando acontece o problema? Vai lá e veja que, ou foi falta de processo ou foi falha em sua modelagem. Ainda essa semana o ministro Mantega enumerou uma série de novos controles que serão exercidos a partir de agora..não vi ele falar no bendito processo.

 E saindo da execução e entrando na verificação (veja o leitor amigo que já estou no C – control do ciclo PDCA de Deming). O nosso querido C, esse então deixamos de lá porque o orçamento não permite. Quando verificamos, fazemos isso somente por meio da auditoria, que geralmente é lenta e pode chegar tarde demais (veja que no caso da Receita quando a Corregedoria chegou a casa já havia caído). Não dá para depender somente da Auditoria para fazer o C. Há que existir um Monitoramente mais constante, mais dia a dia. Êpa, mas é preciso budget para isso. É, precisa! Então…então espera-se que alguém acerte a mosca, talvez quando já não der mais tempo. E por último o nosso A – act, que deve agir sobre o que encontramos no C. Um C ágil e eficaz e um A, composto por um Comitê que se reúne com frequência (no mínimo uma vez no mês), pode ajudar e muito o sistema de gestão da segurança da informação.

 Que o exemplo da Receita não caia no esquecimento, ou se reze todos os dias para que seus controles segurem tudo, mesmo sem processos!!

 Um abraço e até a próxima

Add a Comment