Porque TI e Segurança da Informação devem ser separadas ?

Atualmente, uma das coisas mais comuns que profissionais de Segurança da Informação ouvem, quando estão apresentando um projeto de implantação de Segurança da informação em uma empresa é "Então a área de Segurança vai ficar dentro da TI, certo ?"

Uma dúvida comum, mas que esta presente na realidade de empresas de todos os tamanhos, desde por falta de pessoal, falta de definição de características de atividades e outras variáveis, chegando até mesmo a desconhecimento.

Este conceito de se colocar a área de Segurança da Informação dentro da área de Tecnologia da Informação reside principalmente no fato de que a grande maioria das pessoas atribui as características de segurança de REDE, onde basicamente estão alicerçadas as bases das implementações de mecanismos de controle como Firewalls, Proxys e Sistemas de Anti-vírus como sendo isso princípios da Segurança da Informação.

Conceito errado mas, compreensível. Vamos primeiro entender, e tentar esclarecer os conceitos de ambas as áreas, tentando fazer um paralelo entre as duas.

Vamos começar verificando e analisando o que sabemos sobre a Tecnologia da Informação. Quando buscamos mais informações sobre o que, e quais são os objetivos da área de Tecnologia da informação vamos observar que, de forma geral, o seu principal objetivo é a criação de meios e condições para que as empresas e pessoas possam ter acesso a recursos que possibilitem a comunicação, o processamneto e o armazenamento de dados, que posteriormente irão se transformar em informação, desta forma, criando uma base operacional onde as pessoas possam, por meio de recursos computacionais(Computadores, redes e sistemas) ter acesso a serviços e informações. Podemos então dizer que a Tecnologia da Informação é uma área que atua diretamente na implementantação, na manutenção e no suporte da base tecnologia de uma empresa ou instituição para que esta possa alcançar os seus objetivos de negócio.

Ainda, podemos dizer que a área de Tecnologia da Informação é uma área bem mais antiga que a área de Segurança da Informação, e teve seu início nos anos 60, muito antes da badalada área de Segurança da Informação, muito mais recente. Mesmo assim, esta área (TI) possui tantos significados que trouxe para os nossos dias a confusão de conceitos e posicionamento gerencial e de organograma. Coisa normal nos dias de hoje!

Então, de uma forma geral, podemos dizer que a área de Tecnologia da Informação é responsável pela manutenção de toda a estrutura e recursos necessários para que a empresa possa alcançar os seus objetivos de negócio, dando suporte ao negócio.

Quando vamos observar os conceitos adotados hoje para a área de Segurança da Informação, na sua grande maioria temos conceitos onde o objetivo principal da área é a manutenção de um conjunto básico de 3 componentes, hoje conhecidos como CIA (Confidencialidade, Integridade e Autenticidade) da informação, mesmo que outras correntes de pensamento defendam que na verdade existam 5 princípios básicos, incluindo neste conjunto a Legalidade e o Não-Repúdio da informação.

Se deixarmos de lado estas questões de diferença entre as correntes de pensamentos e observarmos o todo, continuamos com o conceito focal na Informação, e não na infraestrutura, base principal para a área de Tecnologia da Informação.

Ainda, quando falamos de Segurança da informação falamos de um conjunto mais abrangente como segurança física, segurança lógica, controles lógicos, físicos e administrativos de acesso, políticas, procedimentos, métricas e muitas outras coisas, ligeiramente voltadas para a área de gerenciamento ou gerencial. Mas, tudo voltado para garantir a segurança da INFORMAÇÃO, e aqui vem o início da confusão, por estarem hoje armazenadas em formato digital, portanto dentro de computadores e dispositivos computacionais, as informações, e a manutenção da segurança destas, é notadamente confundida com a área de Tecnologia da Informação.

Quando falamos de Segurança da Informação, falamos basicamente de implementar um Sistema de Gestão de Segurança da Informação, tal sistema, muitas vezes baseados em metodologias ou Normas Internacionais, como a ABNT ISO/IEC 27001:2011, ou ainda seus conceitos.

Acredito fortemente que, para sabermos como separar, veja separar e não dividir, estas duas áreas, o primeiro passo é a definição clara e bem definida de quais seriam os objetivos de cada uma delas. Tendo isso sido feito, ficará muito mais fácil a definição de posicionamento da área de Segurança da informação, com relação à sua "irmã" a área de Tecnologia da Informação. 

Tradicionalmente, a área de Segurança da Informação tem sido "ligada" mais à parte gerencial das empresas e organizações, aparecendo mais próximos aos centros de decisão, visto que pode ser um ponto importante a se observar, para a definição dos objetivos de negócio, objetivos estes que serão suportados pela área de Tecnologia da Informação, e que também,a TI, servirá de base para a atuação de boa parte das implementações recomendadas pela área de Segurança da Informação.

Nos conta a experiência que, tendo uma visão gerencial, a área de Segurança da Informação deve ter a sua porção operacional e técnica dentro da área de Tecnologia da informação mas que também deve ter a sua porção gerencial dentro da estrutura de Gestão da Empresa, desta forma, fazendo um "link" entre a área de TI e as áreas de Gestão da empresa.

A área de Segurança da Informação tem uma característica singular pois, dentro de sua estrutura, podemos colocar aspectos Gerenciais e Operacionais ao mesmo tempo, tornando esta área uma área notadamente expansível horizontalmente dentro da estrutura das empresas.

E você, como entende estes dois conceitos e suas aplicações ?