A estratégia de segurança da organização precisa estar definida em um plano documentado e auditável, conhecido e executado em todas as áreas envolvidas.
Falhas de segurança podem provocar perdas financeiras e de imagem irrecuperáveis para uma organização. Invasão de bases de informações, quebra de sigilo de dados de clientes e operações são ameaças cada vez mais presente na vida corporativa.
Dada a importância dessa estratégia, notadamente no segmento de Meios de Pagamento, o Banco Central do Brasil publicou a resolução do Conselho Monetário Nacional 4.893, de 26 de fevereiro de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.
A Segurança da informação passou a ser um aspecto estratégico de uma empresa e é muito mais que criptografia de dados ou proteção de perímetros. exige uma ação integrada que envolve todas as áreas, pessoas, canais de comunicação processos e sistemas.
Ao criar o Plano Estratégico de Segurança, será necessário identificar, qualificar e quantificar todos os fatores de risco, enquadrá-los na matriz de risco e então definir as políticas para cada caso. Só depois é possível definir processos, ferramentas e controles.
O planejamento deve responder às seguintes questões:
- O que deve ser protegido?
- Contra incidentes será necessário proteger?
- Como será realizada a proteção?
A gestão da segurança da informação necessita da participação de todos os funcionários da organização, outros colaboradores, parceiros de negócios, fornecedores, clientes e acionistas. Caberá à alta administração da organização garantir que a estratégia de segurança seja definida, divulgada, aplicada, auditada e revisada periodicamente.
A estratégia de segurança está baseada em Pessoas, Processos e Tecnologia
Nesse universo cada vez mais complexo, as ferramentas de gestão da segurança precisam apoiar a estratégia.
Não basta mais suportar algum processo operacional ou de auditoria. Não considerar esse universo complexo certamente levará a organização e investir muito capital e esforço em ações que não responderão estrategicamente aos desafios.
Nos dias de hoje, HSM é só mais uma das ferramentas utilizadas nessa estratégia e deve se integrar a outros recursos, utilizando padrões de comunicação como PKCS #11 e KMIP.
