Resultado de imagem para Segurança da Informação e sua própria burocracia

Quem faz parte de uma estrutura de Segurança da Informação, não importando seu tamanho ou complexidade, certamente já se deparou com situações onde determinadas ações e demandas servem apenas para satisfazer à própria área, e não à organização a qual este departamento está estabelecido.

Controles, procedimentos, processos, relatórios, auditorias e tantos outros itens de nosso cotidiano devem ser concebidos para diminuir os riscos dos ciclos produtivos de cada área corporativa, projetos, clientes ou qualquer que seja a forma de divisão organizacional atendida.

Quando desenvolvemos, seguimos, apoiamos ou sequer sabemos explicar controles que não resultam nesta missão, algo deve ser reavaliado ou até mesmo eliminado.

É muito comum nos perdermos nas implementações e pontos de vista provenientes apenas de nossa própria área em detrimento do que realmente é necessário ao negócio (por exemplo, na implementação de uma norma como a ISO 27001, já presenciei tantos floreios que acabavam por descaracterizar o foco inicial, que era a conformidade com os controles da norma e, ao invés disso, todo o framework que foi criado ao redor acabava por direcionar as ações para que dessem a conformidade a este framework, deixando o motivo inicial em segundo plano e, apesar dos altos custos e esforços empregados, eram conseguidos apenas resultados superficiais, pois já não havia claramente definido o objetivo que fora determinado no início, e isso retroalimentava algo que nunca chegava a um fim).

Portanto, para qualquer atividade de Segurança da Informação devemos, inicialmente, avaliar se aquilo está alinhado com o negócio, com a estratégia e se isso vai, de alguma forma, gerar resultados para a organização (preferencialmente na diminuição de riscos).

Fonte: Blog do Rodrigo Magdalena