Qual o verdadeiro valor de uma certificação em segurança da informação? O quanto vale uma certificação BS 7799 e agora ISO 27001 para empresas verdadeiramente preocupadas com seus ativos de informação?
Com a possibilidade de participar de um processo de certificação (que obteve sucesso) em oportunidades profissionais passadas, além da experiência de alguns anos trabalhando com tecnologia e segurança em instituições financeiras, comecei a perceber e compartilhar esta percepção.
Em primeiro lugar o nível de comprometimento e investimentos (segurança não é custo e agrega valor sim) requer esforços bem direcionados de dirigentes e colaboradores de toda empresa. Até aqui nenhuma novidade, gestores e demais profissionais de segurança já sabem disto.
Em segundo lugar (o que também não é novidade) é necessário desenvolver diversos projetos de segurança, mapear processos, estabelecer diretrizes e procedimentos, conformidade com as normas, análise de riscos, análise de impactos, planos de continuidade e recuperação de desastres, normas, regulamentos e políticas de segurança. Vamos destacar as políticas de segurança, que serão a base da nossa gestão em segurança: controle de acesso, classificação da informação, privacidade de dados, Internet, e-mail, uso de equipamentos, uso de portáteis, recursos humanos e dependendo da estrutura da empresa, outras poderão ser necessárias.
Estamos falando em certificação, conformidade com as normas internacionais, então precisamos mais de: padronização de processos e documentação, auditorias periódicas, sistema de reporte estruturado e de conhecimento por todos os colaboradores (ou usuários, como prefere a ISO 17799:2005), indicadores de performance e planos de divulgação e conscientização, buscando a tão sonhada cultura de segurança. Cultura que definimos como a percepção da importância da segurança de nossas informações. Preocupação que deve ser de todos que fazem parte da empresa, sem exceções.
Este é o ponto que queremos chegar: cultura de segurança. Todos estes esforços geralmente buscam um melhor reconhecimento no mercado e confiança dos atuais e futuros clientes. Um pensamento sempre presente nos dirigentes diz respeito ao crescimento sustentado. Com uma certificação e excelência em determinada área de gestão, com certeza existirão clientes dos nossos concorrentes que irão migrar para nossa instituição. Mas será que nossos clientes efetivamente percebem a importância e o valor desta certificação? Podemos afirmar que as pessoas preferem ser clientes de um Banco, por exemplo, que possui certificação e reconhecimento mundial em segurança da informação?
Não temos dados estatísticos nem informações oficiais e íntegras pra afirmar que não. Certamente existem pessoas que preferem trabalhar com instituições comprovadamente preocupadas com a segurança de suas informações. O verdadeiro valor e os principais benefícios de uma certificação bem sucedida dizem respeito à criação de uma verdadeira cultura de segurança. O maior ganho é a percepção dos colaboradores em relação à importância de preservar os ativos de informação, dar o tratamento adequado a dados sigilosos, garantir a segurança da empresa e das pessoas que trabalham nela. Com o conhecimento de que as informações são cada vez mais vitais para os processos de negócios e sobrevivência das organizações, e que os ativos de informação se configuram como os mais valiosos dos ambientes corporativos, é que podemos avaliar o retorno dos investimentos e que a certificação tem muito valor sim.
Toda esta energia desprendida não objetiva apenas um certificado e reconhecimento por profissionais de segurança e demais organizações, sejam elas concorrentes ou não. O verdadeiro valor está na nossa própria casa, e no quanto as pessoas irão trabalhar para preservar nossos maiores ativos.