Este artigo escrito por Brian Nichols que é Chief IT Security and Policy Officer na Louisiana State University, compartilha um checklist a fazer para os novos CISO's.
Se você é um novo CISO/CSO e/ou recebeu a missão de melhorar o nível de segurança da informação em sua organização, anote estas dicas e monte seu plano:
10 - Descubra o que os outros estão fazendo. O importante aqui é se relacionar com outros executivos de segurança e entender como estão planejando e lhe dando com o assunto.
9 - Estabeleça intercâmbio de informações relativas a área de segurança em comunidades, grupos e eventos.
8 - Conquiste a sua independência e confiança dos executivos em sua organização. Neste caso a área de auditoria deverá prover um benchmark das melhores práticas no campo de atuação enquanto que o CISO/CSO deverá ter em mãos um roadmap para garantir o sucesso do security plan.
7 - Defina um time de especialistas de segurança para TI com uma boa visão de negócio e defina políticas relacionadas e plano de comunicação (awareness security).
6 - Desenvolva uma política de segurança da informação corporativa que abrange processos, negócios e tecnologia, crie um website na Intranet, faça um slogan da área e defina a missão e responsabilidades.
5 - Desenvolva um plano para proteger as informações sensíveis e saiba como responder aos incidentes de segurança.
4 - Assegure um plano estratégico de Risk Management. Este item é extremamente importante, ter um processo que visualize todos os riscos da organização e dar visibilidade imediata para o senior management.
3 - Aplicar um modelo de PDCA (Plan, Do, Check, Act), garantir o monitoramento, medir e saber reportar a postura de segurança da informação para a alta administração.
2 - Desenvolver métodos e procedimentos para classificação e proteção dos recursos de informação. Aqui é importante que todos os gestores classifiquem suas informações para estabelecer níveis e controles preventivos para assegurar a proteção de dados sensíveis.
1 - Desenvolver um Business Continuity Plan (BCP) e um Disater Recovery Plano (DRP) para TI. Aplique um Business Impact Analysis (BIA) para mapear os processos críticos dos negócios em sua organização e não esqueça de realizar uma Análise de Gaps (tire uma foto da situação atual).
Para finalizar, por experiência eu gostaria de complementar nesta lista a importância de criar um Comitê de Segurança da Informação com envolvimento de representantes de todas as áreas da empresa. No começo você irá encontrar uma resistência, mas verá que ao longo dos meses terá resultados satisfatórios, é a lei da semeadura, você planta e depois colhe!
Sucesso para o seu security plan 2014...
Link do artigo: http://campustechnology.com/articles/2006/08/a-new-cisos-todo-list.aspx?sc_lang=en
Se você é um novo CISO/CSO e/ou recebeu a missão de melhorar o nível de segurança da informação em sua organização, anote estas dicas e monte seu plano:
10 - Descubra o que os outros estão fazendo. O importante aqui é se relacionar com outros executivos de segurança e entender como estão planejando e lhe dando com o assunto.
9 - Estabeleça intercâmbio de informações relativas a área de segurança em comunidades, grupos e eventos.
8 - Conquiste a sua independência e confiança dos executivos em sua organização. Neste caso a área de auditoria deverá prover um benchmark das melhores práticas no campo de atuação enquanto que o CISO/CSO deverá ter em mãos um roadmap para garantir o sucesso do security plan.
7 - Defina um time de especialistas de segurança para TI com uma boa visão de negócio e defina políticas relacionadas e plano de comunicação (awareness security).
6 - Desenvolva uma política de segurança da informação corporativa que abrange processos, negócios e tecnologia, crie um website na Intranet, faça um slogan da área e defina a missão e responsabilidades.
5 - Desenvolva um plano para proteger as informações sensíveis e saiba como responder aos incidentes de segurança.
4 - Assegure um plano estratégico de Risk Management. Este item é extremamente importante, ter um processo que visualize todos os riscos da organização e dar visibilidade imediata para o senior management.
3 - Aplicar um modelo de PDCA (Plan, Do, Check, Act), garantir o monitoramento, medir e saber reportar a postura de segurança da informação para a alta administração.
2 - Desenvolver métodos e procedimentos para classificação e proteção dos recursos de informação. Aqui é importante que todos os gestores classifiquem suas informações para estabelecer níveis e controles preventivos para assegurar a proteção de dados sensíveis.
1 - Desenvolver um Business Continuity Plan (BCP) e um Disater Recovery Plano (DRP) para TI. Aplique um Business Impact Analysis (BIA) para mapear os processos críticos dos negócios em sua organização e não esqueça de realizar uma Análise de Gaps (tire uma foto da situação atual).
Para finalizar, por experiência eu gostaria de complementar nesta lista a importância de criar um Comitê de Segurança da Informação com envolvimento de representantes de todas as áreas da empresa. No começo você irá encontrar uma resistência, mas verá que ao longo dos meses terá resultados satisfatórios, é a lei da semeadura, você planta e depois colhe!
Sucesso para o seu security plan 2014...
Link do artigo: http://campustechnology.com/articles/2006/08/a-new-cisos-todo-list.aspx?sc_lang=en
A New CISO's To-Do-List
Comentários
Postar um comentário