Organização da

Segurança da Informação

O Security Officer
e o Comitê de Segurança
 Organização da Seg. da Informação

 Tudo depende de uma organização eficaz do trabalho,

passando por uma postura correta dos profissionais envolvidos.

 Pela forma como eles se relacionam

com as outras áreas da organização.

 Pela forma como o trabalho

é distribuído e organizado
e pelas escolhas tomadas em termos
de hierarquia.
 Organização da Seg. da Informação
 O profissional de segurança
tem uma característica, muitas das vezes,
beirando aquilo que
muitas pessoas de outras áreas
chamam de paranóia.

 Não que a maioria

dos profissionais de segurança
torça o tempo todo para que algo de errado aconteça.
 Organização da Seg. da Informação

 Controladores, possessivos, tecnicistas ...

 Os conflitos entre esses profissionais

e os diversos departamentos são razoavelmente frequentes.

 Cuidado... São coisas que levam um projeto ao insucesso.

 Organização da Seg. da Informação
 Um Security Officer precisa ter os seguintes atributos:

 Ter visão global e foco local

 Tomar decisões por meio de análise de riscos
 Criar e multiplicar padrões
 Comunicar-se com facilidade
 Relacionar-se com habilidade
 Ter capacidade de liderança
 Ser um agente de mudanças
 Organização da Seg. da Informação
 Um Security Officer precisa ter os seguintes atributos:

Visão Glogal com Foco Local

A visão global com foco local é importante para que consiga resolver
as ações imediatas (curto prazo), sem perder o foco das ações de longo prazo.

Longo Prazo -> elaboração/implantação PSI

Curso Prazo -> atendimento de demandas urgentes
 Comitê Corporativo
de Segurança da Informação
Conselho de administração

Comitê de Segurança Comitê de Auditoria

Comitê Executivo

Diretoria RH Diretoria Comercial Diretoria de TI Dir. Financeira

 Comitê Corporativo
de Segurança da Informação

 Representa o núcleo concentrador dos trabalhos

 Deve estar adequadamente posicionado hierarquicamente

 Formatado a partir da clara definição de seus objetivo

 Estrutura, funções, responsabilidades

 Envolve representantes das áreas tecnológica, comunicação,

comercial, negócios, jurídico, patrimônio, financeiro, auditoria, etc...
 Comitê Corporativo
de Segurança da Informação
Objetivos

 Fomentar o Modelo de Gestão Corporativa de Segurança da Informação,

através de ações distribuídas que têm abrangência física, tecnológica e humana,
e interferem em todos os processos de negócio da empresa.

 Analisar os resultados parciais e finais das ações de forma a medir efeitos,

compará-los à metas definidas e realizar ajustes no Plano Diretor de Segurança,
adequando a nova realidade gera da pela mudança de variáveis internas e externas.
 Comitê Corporativo
de Segurança da Informação
Objetivos

 Interagir constantemente com o Comitê Executivo e o Comitê de Auditoria,

buscando sinergia dos macro objetivos da empresa, além de trocar informações
ligadas aos índices e indicadores de segurança.

 Alinhar e definir ações para os Comitês Interdepartamentais

que deverão agir localmente de forma distribuída, coletando,
com maior riqueza de detalhes, os fatos relacionados aos aspectos físicos,
tecnológicos e humanos inerentes a sua esfera e abrangência.
 Comitê Corporativo
de Segurança da Informação
Conselho de administração

Comitê de Segurança Comitê de Auditoria

Comitê Executivo

Diretoria RH Diretoria Comercial Diretoria de TI Dir. Financeira

Comitê Int. RH Comitê Int. Comercial

 Comitê Corporativo
de Segurança da Informação
Coordenador do Comitê Corporativo de Segurança da Informação

Security Officer

Estrutura Básica do Comitê

 Coordenação Geral de Segurança

 Coordenação de Segurança Comitês

 Controle Interdepartamentais
 Planejamento e Avaliação de Segurança
 Execução
 Comitê Corporativo
de Segurança da Informação
O Security Officer Ele deve:
Conhecer o negócio da empresa
 É quem recebe toda a pressão
da empresa diante dos resultados.
Conhecer o segmento de mercado
 Não basta ter um perfil tecnológico

 Deve ter uma visão completa e Conhecer o Business Plan da empresa

horizontal da segurança da informação

 Deve possuir ricos fundamentos Conhecer as expectativas dos executivos com

de gestão de projetos relação à sua atividade

 Deve ser um executivo

 Comitê Corporativo
de Segurança da Informação
Principais desafíos

 Orçamento
 Conscientização de gestores e colaboradores
 Questões políticas
 Desenvolver e reter profissionais e suas habilidades
 Administrar ambientes em que a ocorrência
de incidentes urgentes é constante, comprometendo
o planejamento de longo prazo
 Comitê Corporativo
de Segurança da Informação
Metas

 Viabilizar negócios e diminuir riscos dos ativos da organização

 Desenvolver a responsabilidade de segurança nos colaboradores
 Suportar as áreas da organização nas questões de segurança
 Implementar o programa de segurança
 Organização da
Segurança da Informação

Gestão de Pessoas
 Gestão de Pessoas
Indivíduos e seus valores

A Segurança da Informação
está intimamente ligada à compreensão do contexto,
seu significado e sua importância.

Envolve a emoção
e implica em valores éticos, morais, econômicos...
 Gestão de Pessoas
Indivíduos e seus valores

• É necessário que cada colaborador compreenda o negócio da organização;

• Conheça os seus valores e seu código de ética;

• Saiba o que é importante para a organização.

Se ele não entender e não absorver isso,

dificilmente protegerá adequadamente as informações da empresa.
 Gestão de Pessoas
Indivíduos e seus valores

• Associado a tudo isso temos ainda o que chamamos “vulnerabilidades

humanas”, que variam de pessoa para pessoa, conforme as circunstâncias.

Vaidade, ambição, medo, entusiasmo, paixão

• Essas e outras vulnerabilidades são exploradas pela “engenharia social”.

• O valor da informação nem sempre é pago em dinheiro. Muitas das vezes é

com carinho e atenção.
 Gestão de Pessoas
Indivíduos e seus valores

• Pessoas não são ativos que podem ser configurados ou programados.

• Pessoas são ativos que têm sentimentos, emoções, vontades.

• São ativos que são educados.

 Gestão de Pessoas
Aspectos gerais da comunicação

Considerar com atenção os elementos básicos do processo:

Emissor Canal Mensagem Receptor

Ruídos
 Gestão de Pessoas
Aspectos gerais da comunicação

Os ruídos são todas as interferências que podem existir entre um

extremo e outro e que podem prejudicar a compreensão.

 Aspectos emocionais
 Confusão de referência
 Auto-suficiência
 Desconforto interno ou externo
 Gestão de Pessoas
Aspectos gerais da comunicação

Temos, basicamente, três tipos de comunicação:

 Comunicação não-verbal: simbólica e sonora.

 Comunicação oral: códigos que expressam sensações e sentimentos.

 Comunicação estrita: representação gráfica.

 Gestão de Pessoas
Aspectos gerais da comunicação

• Toda organização tem seus códigos próprios

• Uma linguagem cheia de símbolos e significados

• As pessoas também
• Um olhar pode dizer coisas que jamais sairiam da boca

É nesse contexto que a S.I. está inserida e que o Security Officer

necessita entender.
 Gestão de Pessoas
Aspectos gerais da comunicação

Em todos grupo social ou profissional existem laços de amizade, de simpatia

ou antipatia que podem unir ou afastar as pessoas.

Com relação ao trabalho, é necessário considerarmos ainda as relações

hierárquicas e os papéis e funções de cada um.
 Gestão de Pessoas
Aspectos gerais da comunicação

O fator humano nas organizações pode ser divididos em três partes:

• Adaptação do homem ao trabalho: capacitação e adaptação à tecnologia,

métodos e processos, valores da organização.

• Adaptação do trabalho ao homem: adaptação dos ambientes físicos,

ergonomia, cultura local, etc.

• Adaptação do homem ao homem: relações humanas.

 Gestão de Pessoas
Aspectos gerais da comunicação

• Todas essas questões tanto servem como referências para um bom processo de
Gestão de Pessoas como para a engenharia social.

• Quando alguém quer obter uma informação usando esse método, observa as
pessoas, seu caráter, personalidade, valores e vulnerabilidades;

• Estabelece uma comunicação que lhe permite obter o que quer explorando as
fraquezas de um dos ativos humanos da organização.

Torna-se necessário que o Security Officer mantenha laços estreitos com o RH.
 Gestão de Pessoas
Essas recomendações são importantes para o processo da
elaboração da PSI com suas diretrizes, normas, procedimentos e
instruções, bem como nas campanhas de divulgação e
sensibilização, treinamento, etc.

•Usar códigos conhecidos

• Usar meios adequados aos tipos de mensagens e usuários
• Adotar estilo simples e claro
PSI • Respeitar o interlocutor, não super ou subestimá-lo
• Respeitar a cultura organizacional
• Evitar ruídos no processo.
 Gestão de Pessoas

 Quando elaboramos um PSI, devemos usar termos conhecidos

para facilitar a formação de imagens mentais o mais próximo
possível daquilo que desejamos transmitir, auxiliando na
formação de juízos e desencadeando o raciocínio de todas as
pessoas que a lêem e necessitam segui-la.

 De nada adianta uma política se as pessoas para as quais se

destina não a compreendam.
 Gestão de Pessoas
• Entender a importância dos papéis que os colaboradores desempenham
dentro de uma organização é um dos pontos primordiais na implementação
de um programa de segurança da informação.

• Além de entender, o Security Officer deve ser capaz de compartilhar essas

responsabilidades, dando ciência a todos os envolvidos.

• Toda organização é responsável pela segurança. Porém, dependendo do

papel do colaborador, essas responsabilidades variam em abrangência e
importância.
 Gestão de Pessoas
• Pessoas são movidas pelo conhecimento, pela falta dele e também pela
emoção e pelo sentimento.

• Aprender implica mudança de hábitos, que significa mudança de

comportamento.

• Uma campanha de Segurança da Informação não é apenas um questão de

endomarketing, mas também um processo de educação.

• Conscientização é uma prática já estabelecida e tem como propósito focar a

conscientização coletiva da corporação a respeito dos problemas de
segurança.
 Gestão de Pessoas
• Fatores externos às questões de trabalho interferem no relacionamento entre o
funcionário e a organização.
• O nascimento de um filho ou o desejo de adquirir algo que dependa de um
orçamento doméstico maior.
• Estresse, irritação, descontentamento, depressão...

São estados de ânimo que podem ser nocivos para a SI, bem como:

• Rotatividade de pessoal: há sempre alguém entrando ou saindo da empresa ou

sendo remanejado de um setor para outro.
• As empresas terceirizadas, serviços e profissionais temporários, estagiários, etc.
 Gestão de Pessoas
Resumo:
• Uma das coisas mais difíceis é o que chamamos “disciplina consciente”.
Independente de estar sendo controlado ou supervisionado, o indivíduo age
corretamente considerando-se as convenções estabelecidas. Isso exige
maturidade emocional.

• Assim as regras devem ser claras, a adesão à PSI deve ser medida
periodicamente, o processo de seleção deve ser criterioso, o treinamento e a
atualização devem ser constantes, além de todo um conjunto de tecnologias
aplicas a SI.

• Lembre-se: você pode configurar um firewall e programar um computador, mas

não consegue fazer isso com um ser humano.