fbpx

Gestão e Governança de Segurança da Informação

Quando se fala de “Gestão” ou “Governança” no ambiente corporativo, logo vem à mente a ideia de uma pessoa ou um grupo de alta importância nas decisões, e decisões que podem mudar o futuro de uma organização. E é neste plano de fundo que vamos entender sobre a Gestão e Governança de Segurança da Informação.

Atualmente a informação é considerada o ativo mais valioso de uma organização. Seus dados, dados de seus clientes, conhecimentos, metodologias, processos, estratégias entre outras são aquilo que torna o negócio diferenciado em seu mercado de atuação e garante o sucesso sobre seus concorrentes.

E não apenas para o mundo corporativo, mas também no governamental os dados são cruciais. Imagine um país sem as informações sobre demandas de uma vacina X, ou quantidade existente em estoque, como está alocada no território nacional… parecem coisas pífias mas imagine as consequências deste cenário, o surto da doença nas pessoas que não tiveram acesso a proteção simplesmente porque o governo não sabia que elas estavam desprotegidas, e imagine o prejuízo financeiro com tratamentos que poderiam ter sido evitados.

Neste mundo competitivo em que se luta para ter mais investimentos e vantagens, o gerenciamento dos recursos deve ser o melhor possível para fazer mais com menos, e acredite, a segurança da informação tem um papel crucial nessa tarefa.

Obrigações sobre a segurança da informação

Claro que o gestor é sempre aquele que tem o papel de decisão e de “fazer acontecer”. Mas como em qualquer outra área um gestor nunca está sozinho, porém suas decisões devem refletir no comportamento dos seus comandados diretos e indiretos e só assim o sucesso é possível.

É importante entender que a segurança da informação não é, por tanto, uma exclusividade do setor de TI ou do gestor responsável da área, mas sim uma tarefa multidisciplinar (e precisa ser assim) onde todos os envolvidos com a organização em toda sua escala hierárquica devem estar comprometidos.

Isso se dá porque as informações não existem apenas no âmbito digital. Ela se mescla em diferentes fontes tais como documentos impressos, anotações, mente (intelecto dos envolvidos com os dados) e até mesmo o lixo.

De nada adiante o gestor de segurança e o TI implantarem os recursos tecnológicos mais modernos e caros existentes se a senha do e-mail ou do sistema de um dos colaboradores está anotada em post-it colado no teclado de seu computador. Ou de nada adianta ter um sistema perfeito para o dia a dia da empresa se o conhecimento de como executar certas rotinas está presa no cérebro de um único funcionário, e se ele não estiver mais disponível (por diversas razões), quem cuidará daquela rotina? Ou quem poderá verificar se as rotinas não estão sendo feitas de maneira fraudulenta? É responsabilidade de todos em aplicar a segurança nos seus processos do dia a dia.

Vamos entender um pouco agora as diferenças entre essas duas áreas que tendem a crescer no mercado e trabalho nos próximos anos, principalmente com o surgimento de leis específicas da área.

Governança da Segurança da Informação

Tem como ponto importante a definição de papeis e diferentes níveis na organização, além de ficar encarregada de desenvolver, implementar e gerir um programa de segurança que seja adequado para a empresa. É dentro da governança que a segurança toma vida dentro da organização como um todo, é onde a empresa consegue alinhar as estratégias da segurança de tecnologia aos objetivos da organização. Um ponto de apoio é a ISO 27014, uma norma que trata a governança da segurança da informação.

A governança da segurança da informação consiste em:

(1) alinhar os objetivos e estratégias da segurança da informação com os objetivos e estratégias do negócio.

(2) entregar valor para as partes interessadas – isso inclui qualquer pessoa ou organização que possa afetar, ser afetada ou perceber-se afetada por uma atividade da organização.

(3) garantir que os riscos estejam devidamente resolvidos.

Para isso, será necessário identificar inicialmente 2 pontos sobre a empresa; Missão e Visão. No momento em que estes 2 pontos se encontram estabelecidos fica fácil definir o ponto de estratégia inicial.

Missão (O que a empresa é)

Ex: Para uma empresa de Cibersegurança a missão possivelmente é; aumentar a produtividade de seus clientes, entregando a melhor solução de segurança corporativa dentro dos moldes de cada empresa.

Visão (O que a empresa busca)

EX: Se tornar uma referência nos serviços de segurança corporativa com capacidade de expansão mundial.

São seis os princípios da governança da segurança da informação:

  • Estabelecer a segurança da informação em toda a organização

Para integrar a proteção da informação às atividades e aos processos da organização, é fundamental a definição de papéis e responsabilidades para coordenar as ações e engajar as diversas áreas da empresa.

  • Adotar uma abordagem baseada em riscos

As decisões relacionadas à segurança da informação devem ser tomadas com base nos riscos.

A abordagem da gestão de riscos de segurança da informação deve estar integrada ao modelo corporativo de gestão de riscos.

  • Estabelecer a direção de decisões de investimento

Estabelecer uma estratégia de investimento de segurança da informação com base em resultados de negócio alcançados, identificar o investimento adequado é tema de pesquisa em aberto e uma dor de cabeça para os responsáveis pela condução da estratégia de GSI. Convém estabelecer uma estratégia de investimento em segurança da informação com base nos resultados e objetivos do negócio. A alta administração deve assegurar que a segurança da informação esteja integrada aos atuais processos da organização para gastos com capital e operação.

  • Assegurar conformidade com os requisitos internos e externos.

A segurança da informação deve atender à legislação e às regulamentações pertinentes.

Um programa de segurança consistente, cuja tomada de decisões seja baseada em riscos, é o primeiro passo para que as organizações busquem conformidade com as novas leis e regulamentações sem as incertezas que a Lei Geral de Proteção de Dados Pessoais (LGPD) deve provocar nas organizações que não possuam um programa consistente de segurança.

  • Promover um ambiente positivo de segurança

O comportamento humano é um componente fundamental para que possamos manter o nível apropriado de segurança da informação. De forma sucinta e objetiva: é importante que a alta administração viabilize a implementação de programas de educação, treinamentos e conscientização em segurança.

  • Análise de desempenho

A alta administração deve analisar criticamente o desempenho da segurança da informação em relação ao seu impacto no negócio. Não basta apenas avaliar a eficácia e a eficiência dos controles implementados. Convém que a alta administração garanta que esses princípios sejam aplicados. Para tanto, é imperativo definir e atribuir essa responsabilidade a alguém, como, normalmente, o chief information security officer (CISO), que exerce um papel estratégico de articulação entre as áreas de negócio, segurança da informação e as partes interessadas.

Gestão da Segurança da Informação

A gestão cuida da execução de uma maneira eficiente e eficaz das atividades previstas para o processo de segurança. Deste modo é possível por em prática os projetos definidos nos processos de governança. Um ponto de apoio para os processos de gestão é a ISO 27002.

A gestão precisa de um processo contínuo, pois seus resultados devem gerar relatórios que serão analisados e servirão de base para os novos projetos gerados pela governança permitindo uma melhora contínua.

Um bom exemplo é processo contínuo é o PDCA.

Plan – Planejar/Estabelecer

Do – Executar

Check – Monitorar

Act – Agir/Manter

Planejar/Estabelecer

Suas atividades devem estabelecer políticas, objetivos, processos e procedimentos para a gestão de segurança da informação para que a organização possa integrar suas a segurança da informação às políticas e objetivos globais da organização.

Executar

Consiste em implementar e operar a política de segurança, os controles / medidas de segurança, processos e procedimentos.

Monitorar

Reúne as práticas necessárias para avaliar a eficiência e eficácia do sistema de gestão e   apresentar os resultados para a análise crítica pela direção

Manter

Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua.

Processo de gestão de Risco

Tem como objetivo reduzir ameaças a um patamar aceitável, é preciso estimar a probabilidade e o impacto com os objetivos de negócio. E para isso há 2 abordagens que podem ser utilizadas; Abordagem Quantitativa e Qualitativa.

Quantitativo

No processo de abordagem quantitativa os resultados têm maior precisão, porém tem maior custo devido o trabalho investido e necessita ter maior qualidade dos dados.

Qualitativa

No processo de abordagem qualitativa a precisão é baixa, porém é mais rápida e simples, por isso é preciso relatar cada item com sua descrição do porque a probabilidade é baixa, média ou alta, é uma abordagem baseada em entrevistas e indicada para o início da gestão de risco na empresa.

Este processo possui maior subjetividade, porém é possível combater esta subjetividade em 2 etapas:

Definição de rótulos (Ex: raro, muito raro / leve, pesado)

Triangulação das atividades (perguntar e chegar ao consenso por pessoas que tem a mesma visão e percepção diferentes)

Análise de Risco

Uma análise de risco compreende 2 atividades; identificação e estimativa de riscos. Para isso será preciso identificar os ativos, controles existentes nesses ativos, ameaças, vulnerabilidades e suas consequências. Deste modo será possível pular para uma etapa de avaliação de risco, que será o ponto onde é necessário descobrir qual será a ação necessária a ser aplicada para aquele risco especificamente.

Por último, chega a etapa de tratamento de risco, que irá definir um ponto final para aquele risco através de uma estratégia de tratamento.

Estratégias de tratamento:

Reduzir

Reduzir o risco a um patamar aceitável com implementação de controles e com um bom suporte de cibersegurança.

Aceitar

Aceitar e conviver com o risco, pode estar ligado ao custo benefício por um custo que não se paga ou decisão de negócio, ou mesmo uma probabilidade baixa de impacto por um risco presente em um determinado software pouco utilizado na empresa, ou presente somente em áreas que não apresentam risco ao restante da organização. É preciso ter a permissão do dono do risco para adotar esta estratégia.

Compartilhar

Contratar terceiros para ajudar a se prevenir do risco, como um seguro cibernético.

Evitar

Onde o risco é igual a 0, como mudando uma prática de negócio ou abandonar determinados recursos e tecnologias.

O Risco Já Foi Tratado, e Agora?

Com todas as etapas concluídas desde a análise até o tratamento do risco, após a fase de tratamento será necessário verificar o resultado deste processo no risco. Os riscos determinados como aceitáveis devem ser monitorados continuamente a ponto de abordar novas medidas no momento em quer qualquer alteração de impacto seja apresentada e necessitam ser informados as partes interessadas.

Caso o resultado tenha apresentado um risco residual (risco que permanece mesmo após o tratamento de risco), deve ser realizado um novo ciclo de análise sobre este risco até encontrar a medida adequada para combatê-lo.

Menu