Muito tem se falado a respeito do tema de Segurança da Informação nas empresas, porém o que tenho visto é muita ação desordenada ou com pouco foco naquilo que é prioritário.
Algumas empresas tentam colocar segurança através puramente através de tecnologias enquanto outras ficam no blablabla de práticas de Governança que são lindos no power point, porém na prática acabam por não acontecer.
Eu acho que os gestores de Segurança nas empresas deveriam ter uma visão de alinhar a teoria de administração e governança, porém sem perder a visão das ações de curto, médio e longo prazo.
Se formos enveredar por tudo aquilo que as "best practicses" de mercado (ITIL, CobIT, normas ISO, COSO, etc) sem um direcionamento acabamos por criar um arcabouço para proteger as informações de forma que podemos engessar o negócio.
Antes de tudo é preciso ter objetvidade e simplicidade naquilo que se deseja proteger da empresa.
Imaginem que para proteger uma informação num computador investimos uma grana preta que no final vai proteger os arquivos de MP3 e videos particulares do dono daquele computador, seja um desktop ou um notebook.
Emfin, para basear meu ponto de vista e experiência no tema, estou me propondo a colocar periodicamente (não posso me comprometer com períodos rígidos, pois preciso trabalhar e levar o leite para as crianças e viver) a colocar o caminho das pedras que acho que as empresas deveriam trilhar no quesito de estruturação da área e principais ações que acabam por criar um bom programa de segurança
Entendo que minhas colocações que aqui colocarei, podem não ser aplicáveis a todas empresas e organizações. Por isso, desde já recomendo a ponderação e bom senso para se orientar a como utilizar melhor os recursos disponíveis (sejam financeiros ou tecnológicos) para a criação de um programa de Segurança da Informação factível.
Vou buscar me basear nas melhores práticas de governança, porém sempre atentando para ações simples para se colocar em prática.
Procurei sempre colocar leituras complementares através da internet e literatura disponível.
