O primeiro passo é reconhecer que o tema Segurança da Informação é relevante e deve ser incorporado à estratégia de negócio.
Da decisão estratégica
Tendo a compreensão pela alta direção de que as ações para preservação da Confidencialidade, Integridade e Disponibilidade farão a diferença na proteção das informações dos seus clientes, na oferta de melhores produtos e de serviços seguros, na privacidade dos dados, na imagem de uma empresa diligente, preocupada e que busca - por meio de um processo de gestão de risco organizado, seguro e auditado com independência - a transparência requerida junto a acionistas, clientes, colaboradores, parceiros e prestadores de serviços.
Da adoção de um sistema de gestão
Com a mesma facilidade que se encontram vários métodos com a proposição de organizar um sistema de gestão (inclusive alguns pouco ortodoxos), esta mesma facilidade também pode levá-lo ao desperdício de tempo, dinheiro e ao abismo da falsa sensação de estar protegido. Assim, simplifique a busca e vá até uma fonte confiável e adote o padrão ISO - International Organization for Standardization (Organização Internacional de Normalização). Nesta fonte, em específico a série ISO IEC 27000 e seus desdobramentos, estão os pilares que o apoiarão nesta jornada.
Do diagnóstico atual (Gap Analysis)
A decisão é estratégica e endereça a adoção pela organização de um Sistema de Gestão de Segurança da Informação (SGSI). Para isso, será necessário conhecer a situação atual em relação aos requisitos de segurança exigidos para estabelecer, implementar, manter e melhorar continuamente o próprio modelo de gestão.
Levantar a situação atual é a realização de uma auditoria preliminar (mesmo interna) que permite conhecer qual o nível de atendimento e/ou aderência à uma norma de sistema de gestão e quais ações corretivas, caso necessário, devem ser executadas.
Do plano de ação
Com o fruto do resultado de Gap Analysis deve-se elaborar um plano de ação, sendo uma ferramenta de gestão muito utilizada para planejamento e acompanhamento de atividades para o atingimento de um resultado desejado.
A forma é variada, porém, deve conter no mínimo: as atividades, os prazos de execução e/ou atingimento, os recursos (humanos, tecnológicos, etc) necessários e os responsáveis. Caso tenha dificuldade, pense na elaboração do plano com conceitos tipo SMART (Especifico, Mensurável, Alcançável, Relevante e no Tempo) e organize-o com conceitos tipo 5W1H (Quem? O quê?, Onde?, Quando?, Por que? e Como?).
Da Comunicação
A aplicação de um modelo de gestão, seja ele qual for, vai requer um grande esforço de toda a organização e esse esforço, sem dúvida alguma, passa pela comunicação. Trata-se de Segurança da Informação, sobre a qual desejamos o aculturamento para um comportamento positivo frente às ameaças que rodeiam nossas empresas diariamente.
Para isso, divulgue a política de segurança da informação para todas as partes interessadas, por meio de palestras e workshops, apresentando os requisitos de controle, os benefícios para o negócio e a importância da proteção das informações. De forma estruturada, pense no que comunicar, quando comunicar, quem deve comunicar, a quem será comunicado e qual meio deve ser utilizado.
Da pré-auditoria
A realização da pré-auditoria tem um papel fundamental pois potencializa o grau de êxito, quando o objetivo é alcançar a certificação do modelo de Gestão de Segurança da Informação. Tal iniciativa contribui para a otimização do tempo e preparação do time, possibilitando melhorias consideráveis na qualidade de todos os esforços aplicados.
Da remediação
O instrumento remediação trata da ação de fazer correções. Após um Gap Analysis e/ou Auditorias Interna e Externa, caso tenha alguma não conformidade ainda passível de reversão e diante de um novo prazo pactuado com o auditor, deve-se reparar e corrigir qualquer anomalia identificada. Caso contrário, incorre-se em não obter o êxito esperado na certificação.
Da conclusão
Se você obteve da alta direção o informe de que a Segurança da Informação passou a ser parte da estratégica do negócio, se realizou o diagnóstico da situação atual, elaborou relatório com os pontos de atenção, preparou o plano de ação, fez o cronograma com todas as fases, trabalhou a comunicação adequadamente junto a todos os envolvidos, organizou e executou o plano de ação, monitorou cada fase, colocou em marcha a pré-auditoria, se manteve o foco e partiu para a remediação... sim, o trabalho foi corretamente executado e pode-se considerar que a probabilidade de alcançar a certificação é alta.