Estruturar área de Segurança da Informção - 1 - levantamento do terreno

Em continuidade ao processo de mapeamento de ativos, vale ressaltar que o levantamento de ativos não é tarefa fácil, haja vista que os processos de negócio das empresas são dependentes da interação de vários grupos que detem o conhecimento e particularidades do processo.

Sabendo deste fator de desafio, é veementemente recomendável envolver os principais interlocutores do processo (lideres e usuários chaves) para o correto mapeamento do ativo de informação.

Os processos passam por diversas etapas no seu ciclo de atividade, sendo que para nós no momento estamos interessados em proteger a informação gerada ou manipulada por tais processos.

A metodologia apresentada por Marcos Semola em seu livro (Gestão da Segurança da Informação- Editora Campus) oferece uma boa base para este levantamento :

1) Identificação dos processos de negócio

Os processos devem ser analisados sob a prisma do negócio, portanto é comum que as empresas fixem seus principais processos em pequenos grupos para depois quebrar os macro-processos em micro-processos.

Diante disto, podemos a partir da elencagem dos macro- processos partirmos em busca da informação do suporte (seja sistêmico, infra-estrutura e humano) para o funcionamento do processo. Desta forma começaremos a traçar nossa rota do fluxo e armazenagem da informação.

Vejamos o gráfico ao lado. Nele temos identificados os macros-processos, as aplicações (sistemas) que o suportam, a base humana de sustentação do processo e todo suporte de infra-estrutura.

Temos a partir deste instante, nosso ponto de partida para detalharmos nosso mapa de riscos que envolver todo o processo.



Nosso próximo passo será o Mapeamento da relevância.