Governança em Segurança da Informação

 

Governança em SI

 

Os investimentos em Segurança da Informação já estão na lista de prioridades dos CIOs de grandes corporações há tempos, todavia esta preocupação já começa a ser questionada do ponto de vista estratégico, notadamente sob a ótica do gerenciamento de risco. Organizar a TI para crescer de forma sustentável é um objetivo comum das organizações, no entanto ao dar os primeiros passos as questões de governança da sua segurança se tornam cada vez mais prioritárias, tornando cada vez mais claro que há um GAP entre o que existe hoje de real na maioria delas e a distância que tais empresas ainda precisam percorrer para sua governança sob os aspectos e enfoques de um sistema efetivo de gestão da segurança da informação - SGSI com a Gestão de Riscos.  Enquanto a Gestão da Segurança da Informação atende as demandas pontuais (visão de curto prazo ou operacional) para garantir confidencialidade, integridade e disponibilidade dos ativos, a Governança da Segurança da Informação alinha as ações de Governança aos objetivos estratégicos da organização, o que permite a área de Segurança da  Informação  venha agregar  valor  ao  negócio  e esteja apta para atender não somente as demandas atuais mais também as futuras.  

 

Nesse contexto fica evidente que governar a Segurança da Informação é uma tarefa complexa, que exige o apoio da alta direção e que é mais facilmente atendida quanto maior for o nível de maturidade do processo de gestão da segurança da informação.

 

Esta visão deve partir desde a criação de plano formal de negócios e preparar a organização para eventuais incertezas, desenvolver um modelo de governança compatível com o futuro planejado, que permite identificar e gerir os riscos associados ao negócio, levando-se em conta  que na avaliação dos riscos potenciais não passará despercebido os temas ligados a ações de hackers e vírus, eventuais perda de informações dos clientes, indisponibilidade operacional, falha de conduta e falta ética de parceiros e colaboradores, roubo de propriedade intelectual, espionagem, vazamento de informações e até fraude.

Neste esforço, a experiência nos diz que ainda há uma enorme dificuldade em demonstrar para a alta direção das organizações, o valor real da Segurança da Informação e o retorno do investimento necessário nessa área quando ainda não ocorreu um incidente grave de segurança. O mesmo se passa frequentemente na implementação de um sistema de gestão de continuidade de negócio, por exemplo.

Para os dirigentes de uma organização o número de vulnerabilidades corrigidas em determinada aplicação ou a quantidade de ataques sofridos no último mês não são informações relevantes se não forem relacionadas com as principais interrupções nos principais processos de negócio, ou prejuízos de ordem financeira.  Daí a importância em direcionar as ações e o planejamento da gestão de maneira que "falem a mesma língua" da direção do negócio.

Esta capacitação que propomos - Curso Governança em Segurança da Informação - habilita o participante a ampliar o conhecimento sobre a Governança da Segurança da Informação, sua importância estratégica e descreve detalhadamente os seus principais componentes. Por outro lado, dá subsídios para que a Governança Corporativa possa interagir e controlar a Governança de TI nos seus aspectos relativos 'a segurança da informação permitindo que a organização estabeleça seus objetivos,  determine os meios necessários para alcançá-los e monitore seu desempenho com elementos garantidores suportados por um SGSI.

Sempre é bom lembrar que a visão integrada da segurança da informação e as novas quatro "ondas" (mobilidade, social network, cloud e Big data) que estão se "quebrando" sobre as empresas e a própria indústria de TI vão provocar uma descontinuidade na maneira de como se adquire e usa tecnologia garantindo a confiabilidade, disponibilidade e integridade das informações que a partir desta nova visão será distribuída e gerenciada por toda a cadeia produtiva, indo desde a indústria até o ponto de venda. Mas para "surfar estas ondas" de forma segura temos que ir além das tecnologias que as suportam, e para isso precisamos dar muita atenção à preparação, contratação e reciclagem dos profissionais de TI, processos e todos os componentes envolvidos com a segurança de forma ampla e de todo risco relacionado.

 

Este conteúdo aborda várias metodologias,  modelos de boas práticas, frameworks e normas ISO, partindo-se de um tópico muito comum da administração baseado na ferramenta da qualidade, o enfoque PDCA. Esta ferramenta visa garantir o alcance das metas necessárias à sobrevivência dos negócios e, embora simples, representa um avanço sem limite para o planejamento eficaz e também é a base do planejamento para a Governança com foco na segurança da informação.

Este ciclo é necessário para que todas as experiências sejam constantemente revisadas, para que os ajustes sejam realizados e para que o aprendizado com os erros seja possível. Desta forma é possível sempre identificar necessidades de melhoria, principalmente nas áreas suportadas por processos de apoio onde os recursos em todos os sentidos são mais escassos, devendo dessa forma alcançar a melhor produtividade possível nos processos implantados.

Diversos fatores influenciam a implantação de uma Governança de Segurança da Informação, começando pela nomenclatura, dialetoum tanto estranho à realidade dos principais executivos das empresas. O Perfil do profissional gestor de TI é outro fator que é decisivo para o sucesso de um projeto desse nível. Além das habilidades técnicas, tornam-se necessárias outras características, como um perfil de negociador e de liderança transformacional independente da hierarquia que ocupa. O gestor deve buscar obter alinhamento estratégico da segurança da informação. A organização precisa, por exemplo, desenvolver e divulgar de forma conjunta com a Governança em geral uma politica de segurança da informação de acordo com um plano de continuidade de negócio, se possível.

Já no que diz  respeito  a  gestão  de riscos   as   diretrizes gerais devem focar em uma   análise sistemática e avaliação dos riscos, identificar, monitorar e reportar incidentes de segurança, estimar e reduzir a probabilidade e o impacto dos riscos.

 

A Governança em Segurança da informação deve ter como diretrizes mestras o Alinhamento Estratégico, a Gestão de Riscos, Gestão de Infraestrutura (incluindo todos os recursos de forma eficaz), Gestão de Indicadores de Desempenho de Segurança da Informação e principalmente estar alinhada a entrega de Valor do negócio como um todo.

 

 

Sobre a gestão de desempenho através de indicadores é bom frisar que não basta criar e implementar controles, é preciso checar a eficácia dos mesmos. Exemplos de metas para monitorar esse objetivo: número de incidentes e quantidade de sistemas que não atendem aos requisitos de segurança.

 

Minimizar o impacto de incidentes e reduzir a probabilidade de interrupção dos serviços são exemplos de metas que podem ser utilizadas para verificar se a organização está alcançando  seu  objetivo principal,  a  entrega  de valor.

 

 

Escrito por Administrator, postado terça-feira, 4 de junho de 2013. Link permanente. Siga com o RSS feed para este artigo. Você pode postar comentários.

Recomende

Comente

Contato
+11 4063-0077
+11 97344-2533
atendimento@grupotreinar.com.br
RSS
Sobre
Pesquisar por Curso ou Mentoria Minha Conta Entrevistas Crie Cursos Online Publique Conteúdos Contato Fórum Exclusivo
Cursos em destaque
Curso ISO 27000 Gestão de Projetos Curso fmea Forense Computacional Curso ITIL V3 Governança de TI Curso COBIT
MENTORIAS EM DESTAQUE
Mentoria sobre Governança Corporativa
Mentoria sobre Vendas Consultivas
Mentoria Gestão de Branding com Técnicas Teatrais
Mentoria para Empreendedores
Mentoria para Gestores de Equipes de Software
Copyright © 2020 GrupoTreinar
Confira também o FastSalas