Linkedin Youtube Instagram
Faça parte
Linkedin Youtube Instagram

Como praticar a Governança da Segurança da Informação?

‎Por Edison Fontes

O tema Governança da Segurança da Informação tem sido cada vez mais tratado nas mídias e nas organizações. Com certeza você já participou de eventos ou de roda de conversa em que este tema foi tratado. Artigos são escritos, e digamos apresentam uma boa base teórica. Mas, fica a pergunta: como faço para implementar e ter razoável sucesso na organização em que trabalho ou presto serviço? Seguem abaixo algumas recomendações que permitirá que você siga o “Caminho das Pedras” e consiga atravessar o rio do dia a dia das organizações.

1. A Governança da Segurança da Informação é única para a sua organização.

Apesar do tema ser geral, aplicável para todas as organizações, a implementação na sua organização é única. Cuidado para não se apegar a certos conceitos e engessar (e não ter sucesso) com a Governança da Segurança da Informação. Por exemplo, eu já presenciei criação de Comitês de Segurança onde não era necessário. A própria diretoria cumpre bem este papel. Analise a o tamanho da organização, identifique suas características e adeque aos conceitos de governança.

2. Defina os Direcionadores da Segurança da Informação

Definindo os direcionadores para o Processo Corporativo de Segurança da Informação explicitaremos as bases de todas as ações e faremos a ligação com controles de governança corporativa. Desta maneira elaboraremos a Governança da Segurança da Informação.

Considero dois tipos de direcionadores: Estruturais e Obrigatórios.

2.1. Direcionadores estruturais

São os direcionadores que ajudam na construção do processo de segurança. Ao apresentar estes direcionadores para o Corpo Diretivo da organização, informaremos que nossa estrutura de controles está baseada em estrutura formais. Exemplo: Norma 27002 e demais normas da Família 2700, ITIL, COBIT, NIST e conceitos de governança.

2.2. Direcionadores obrigatórios

São os direcionadores que a organização deve obrigatoriamente seguir. Ao apresentar estes direcionadores para o Corpo Diretivo da organização, validamos o que devemos seguir ou não. Exemplo: legislação, regulamentos de agências reguladoras, BACEN, auditorias internas/externas, cláusulas contratuais, exigências de mercado tipo PCI.

Recomendo que uma das principais ações seja um cruzamento destes direcionadores com os controles de segurança considerados pelos direcionadores estruturais.

3. Desenvolva o conjunto de políticas e normas de segurança da informação

Os regulamentos de segurança da informação devem ser desenvolvidos especificamente para a organização. Não existe receita pronta. Um Processo Corporativo de Segurança da Informação somente acontece em uma organização quando existe uma arquitetura de políticas e normas de segurança da informação que reflete o que a organização (gestores) deseja de proteção da informação. Apresente para os gestores da organização as responsabilidades deles. O Presidente ou o Conselho de Administração da Organização deve assinar a política principal. Mas isto não impede que um presidente assine uma norma.

4. Avalie a Maturidade da Gestão da Segurança da Informação da Organização

É fator crítico de sucesso para alcançarmos o entendimento e o comprometimento do Corpo Diretivo da Organização a apresentação da maturidade dos controles de segurança da informação. Separe pelas dimensões de segurança dos direcionadores estruturais. É muito importante que se apresente uma fotografia desta maturidade em um slide. O presidente e os demais executivos precisam saber como está a organização. E na maioria das vezes vão ficar surpresos com a baixa maturidade. Espero que não seja o seu caso. Evidentemente esteja preparado para a pergunta: o que falta para a nossa organização chegar em um nível adequado?

5. Elabore e sugira um Plano de Ação

Baseado na maturidade dos controles de segurança da informação, apresente um planejamento de ações, considerando prioridades, facilidade de implementação, atendimento aos aspectos legais e características da organização. Explique o que será implementado de imediato e os riscos que a organização terá em função deste seu planejamento. O Corpo Diretivo da Organização precisa saber de maneira transparente estas implementações e os riscos da decisão (priorização) tomada.

Implementando a Governança da Segurança da Informação

Na medida em que o Corpo Diretivo da Organização entende, questiona, altera e finalmente valida este conjunto de ações descritas acima, entendo que estamos praticando Governança da Segurança da Informação. Esta governança se cristaliza quando a Gestão da Segurança da Informação acontece de maneira coerente com as diretrizes acima descritas.

Evidentemente governança tem outros aspectos que devem ser considerados, mas entendo que de uma maneira prática podemos começar por estes cinco itens declarados acima.

É necessário suar muito, trabalhar muito, conhecer muito bem o processo de segurança da informação para poder levar estas questões para o Corpo Diretivo da Organização. Mas, tenha certeza na medida em que estes passos forem acontecendo, estremos construindo uma base sólida, alinhada com os objetivos da organização, transparente, com base teórica e desenvolvida especificamente para a organização. É base para o alcance da Governança da Segurança da Informação.

Em fato importante: ao elaborar a Politica Principal de Segurança da Organização, assinada pelo Presidente ou aprovada pelo Conselho, você fez a ligação da Governança da Segurança da Informação e a Governança Corporativa.

Edison-Fontes

CONSELHEIR@

Edison Fontes

Sou Profissional de Proteção da Informação, Continuidade de Negócio, Resiliência Digital, Conformidade com Direcionadores Estratégicos e Proteção da Privacidade. Mestre em Tecnologia e Certificado CISA – Certified Information System Auditor, CISM – Certified Information Security Manager, CRISC – Certified in Risk and Information Systems Control, todas ISACA-USA.

Desempenhei função de Gestor de Segurança em instituições financeiras e empresa internacional de alta disponibilidade. Adaptei para o Brasil metodologia global de gestão de continuidade de negócio de consultoria internacional, onde fui executivo responsável pelo produto continuidade de negócio.

Sou professor convidado de pós-graduação e autor de oito livros sobre segurança da informação.

Search
LinkedIn
Twitter
Facebook
WhatsApp
Email

, ,

Quem também está com a gente

Empresas, Startups, Centros de Pesquisa e Investidores

blocoAssociados_1811-mix_01
blocoAssociados_1811-mix_02
blocoAssociados_1811-mix_03
blocoAssociados_1811-mix_11
blocoAssociados_1811-mix_04
blocoAssociados_1811-mix_10
blocoAssociados_1811-mix_09
blocoAssociados_1811-mix_08
blocoAssociados_1811-mix_07
blocoAssociados_1811-mix_06
blocoAssociados_1811-mix_05

Um ecossistema onde inovação e conexão se somam para desbloquear o potencial
ilimitado da transformação digital. Faça parte!

assessoria@redelideres.com

55 (11) 98426-4469

© 2024 Rede Líderes Digitais. Todos os direitos reservados.