Rangel Rodrigues, advisor em Segurança da Informação, alerta: há uma diferença entre o papel da governança de segurança e a gestão de segurança
Em meu último artigo “A segurança versus o arquiteto” mencionei a importância do uso de framewoks para implantação de uma arquitetura robusta e eficiente citando alguns do principais standards conhecidos e mais usados pela comunidade de segurança. Logo que o primeiro passo para constituir um modelo de gestão de segurança e cibersegurança com o uso e a combinação de frameworks são fundamentais para preparar a organização alcancar um nível de maturidade aceitável pelo conselho.
Neste contexto gostaria de aguçar a imaginação que o assunto governança de segurança tem sido um tabu para as novas organizações talvez ainda desconhecido e um desafio para as grandes organizações, mas desejo elencar neste artigo de acordo com alguns dos melhores frameworks que há uma diferença entre o papel da governança de segurança e a gestão de segurança. A governança de segurança é um conjunto de responsabilidades e práticas exercidas que tem alguns dos princÍpios assegurar que os objetivos de segurança estejam alinhados com as necessidades de negócios provendo direção estratégica e garantir também que os controles de conformidade com políticas e regulamentações estejam sendo cumpridas possibilitando que a gestão dos riscos seja apropriada e saudável para o nível aceitável para a organização, ou seja, é exercer governo e conduzir a melhor abordagem da matéria de segurança.
Enquanto que a gestão de segurança é o pilar fundamental para suportar a arquitetura, é por meio deste processo continuo que planejamos um modelo para gerir os controles de segurança, implementamos os controles de segurança apropriados certificando que os ativos de valor estão protegidos apropriadamente e partir disso controlamos e monitoramos a eficiência do processo dentro do contexto organizacional.
Em outras palavras remete a um ciclo PDCA produto oriundo da ISO 27001 que possibilita a construção de um road map com uma visualização do modelo de gestão de segurança da informação e no caso integrado com o COBIT 5 que não só apenas tem foco e contribuir com a governança de TI, também traz a capacidade para absorver controles de segurança para medir em níveis de maturidade no contexto de pessoas, processo e tecnologia que viabiliza a construção de um modelo de gestão risco conduzindo o conselho a compreender e endereçar os riscos de segurança versus TI para o melhor nível aceitável para a empresa deixando todas as partes felizes. Entretanto, cabe o gestor de segurança endereçar os potenciais riscos e possíveis impactos nos relacionamentos com o parceiros e provedores externos de serviços que devem ser claros e devidamente documentados.
Tipicamente há alguns benefícios que a governança de segurança produz elevando para um alto nível de maturidade e contribui para o: i) Alinhamento estratégico, ii) Gerenciamento de risco eficaz, iii) Entrega de valor, iv) Optimização de recursos, v) e Medição de desempenho e vi) Integração e garantia de processo.
O primeiro (i) interconecta a visão de segurança provendo uma direção estratégica de negócio para que obtenha um suporte dos executivos para que os objetivos de segurança se cumpram e sejam atingidos.
O segundo (ii) impermeabiliza a execução de medidas apropriadas para a mitigação de riscos para redução de impactos nos ativos de valor para um nível aceitável, ou seja, gerenciar os riscos apropriadamente.
O terceiro (iii) optimiza os investimentos em soluções e medidas de segurança para cumprimento do objetivo esperado.
O quarto (iv) viabiliza o conhecimento da segurança da informação para o uso responsável de recursos organizacionais garantindo maior eficácia e eficiência da infraestrutura de segurança absorvendo a aplicação do conhecimento de práticas para construir uma arquitetura de segurança eficiente.
O quinto (v) ajuda a garantir o sucesso com monitoramento do programa de segurança da informação corporativo por meio de reporte de métricas que estejam alinhadas com os objetivos estratégicos para a alta gestão.
O sexto (vi) e último assegura total integração e participação de toda a cadeia de colaboradores, o desenvolvimento continuo do relacionamento entre eles, coordenação efetiva, responsabilidades dos mesmos que emprega todos envolvidos contribuindo para que o modus operandi da gestão de segurança tenha uma abordagem para o planejamento, distribuição, geração de métricas e gestão madura.
Em âmbito conceitual de governança de SI podemos entender que a alta gestão é responsável por definir a estratégia de negócio resultando nos objetivos organizacionais. Logo o comitê de segurança em conjunto com os executivos ajudam a definir a estratégia de segurança e gerenciamento de risco resultando então nos requerimentos de segurança que devem ser atendidos. Enquanto que o papel do CISO e comitê de segurança é assegurar que o plano de gestão de segurança, políticas, normas e procedimentos sejam implementados, monitorados e medidos viabilizando que os objetivos de segurança são efetivamente cumpridos. Como pode ver é um processo contínuo e vale ressaltar alguns dos desafios a enfrentar na estrutura organizacional de governança é saber onde posicionar na estrutura, a quem deve ser reportado, como integrar com as demais áreas e diferenciar os objetivos de governança de segurança comparados com os da auditoria.
Evidentemente que a gestão de segurança da informação para ser mais eficiente é importante que seja integrada com a governança de segurança e ressalto este ponto com convicção depois ter passado experiências reais em grandes empresas e ter aprendido com os principais mestres neste campo, podemos concluir que os principais elementos para a gestão de segurança efetiva e a governança de SI que este produto proporciona para as organizações são:
Este artigo foi publicado no portal Security Report.
Em meu último artigo “A segurança versus o arquiteto” mencionei a importância do uso de framewoks para implantação de uma arquitetura robusta e eficiente citando alguns do principais standards conhecidos e mais usados pela comunidade de segurança. Logo que o primeiro passo para constituir um modelo de gestão de segurança e cibersegurança com o uso e a combinação de frameworks são fundamentais para preparar a organização alcancar um nível de maturidade aceitável pelo conselho.
Neste contexto gostaria de aguçar a imaginação que o assunto governança de segurança tem sido um tabu para as novas organizações talvez ainda desconhecido e um desafio para as grandes organizações, mas desejo elencar neste artigo de acordo com alguns dos melhores frameworks que há uma diferença entre o papel da governança de segurança e a gestão de segurança. A governança de segurança é um conjunto de responsabilidades e práticas exercidas que tem alguns dos princÍpios assegurar que os objetivos de segurança estejam alinhados com as necessidades de negócios provendo direção estratégica e garantir também que os controles de conformidade com políticas e regulamentações estejam sendo cumpridas possibilitando que a gestão dos riscos seja apropriada e saudável para o nível aceitável para a organização, ou seja, é exercer governo e conduzir a melhor abordagem da matéria de segurança.
Enquanto que a gestão de segurança é o pilar fundamental para suportar a arquitetura, é por meio deste processo continuo que planejamos um modelo para gerir os controles de segurança, implementamos os controles de segurança apropriados certificando que os ativos de valor estão protegidos apropriadamente e partir disso controlamos e monitoramos a eficiência do processo dentro do contexto organizacional.
Em outras palavras remete a um ciclo PDCA produto oriundo da ISO 27001 que possibilita a construção de um road map com uma visualização do modelo de gestão de segurança da informação e no caso integrado com o COBIT 5 que não só apenas tem foco e contribuir com a governança de TI, também traz a capacidade para absorver controles de segurança para medir em níveis de maturidade no contexto de pessoas, processo e tecnologia que viabiliza a construção de um modelo de gestão risco conduzindo o conselho a compreender e endereçar os riscos de segurança versus TI para o melhor nível aceitável para a empresa deixando todas as partes felizes. Entretanto, cabe o gestor de segurança endereçar os potenciais riscos e possíveis impactos nos relacionamentos com o parceiros e provedores externos de serviços que devem ser claros e devidamente documentados.
Tipicamente há alguns benefícios que a governança de segurança produz elevando para um alto nível de maturidade e contribui para o: i) Alinhamento estratégico, ii) Gerenciamento de risco eficaz, iii) Entrega de valor, iv) Optimização de recursos, v) e Medição de desempenho e vi) Integração e garantia de processo.
O primeiro (i) interconecta a visão de segurança provendo uma direção estratégica de negócio para que obtenha um suporte dos executivos para que os objetivos de segurança se cumpram e sejam atingidos.
O segundo (ii) impermeabiliza a execução de medidas apropriadas para a mitigação de riscos para redução de impactos nos ativos de valor para um nível aceitável, ou seja, gerenciar os riscos apropriadamente.
O terceiro (iii) optimiza os investimentos em soluções e medidas de segurança para cumprimento do objetivo esperado.
O quarto (iv) viabiliza o conhecimento da segurança da informação para o uso responsável de recursos organizacionais garantindo maior eficácia e eficiência da infraestrutura de segurança absorvendo a aplicação do conhecimento de práticas para construir uma arquitetura de segurança eficiente.
O quinto (v) ajuda a garantir o sucesso com monitoramento do programa de segurança da informação corporativo por meio de reporte de métricas que estejam alinhadas com os objetivos estratégicos para a alta gestão.
O sexto (vi) e último assegura total integração e participação de toda a cadeia de colaboradores, o desenvolvimento continuo do relacionamento entre eles, coordenação efetiva, responsabilidades dos mesmos que emprega todos envolvidos contribuindo para que o modus operandi da gestão de segurança tenha uma abordagem para o planejamento, distribuição, geração de métricas e gestão madura.
Em âmbito conceitual de governança de SI podemos entender que a alta gestão é responsável por definir a estratégia de negócio resultando nos objetivos organizacionais. Logo o comitê de segurança em conjunto com os executivos ajudam a definir a estratégia de segurança e gerenciamento de risco resultando então nos requerimentos de segurança que devem ser atendidos. Enquanto que o papel do CISO e comitê de segurança é assegurar que o plano de gestão de segurança, políticas, normas e procedimentos sejam implementados, monitorados e medidos viabilizando que os objetivos de segurança são efetivamente cumpridos. Como pode ver é um processo contínuo e vale ressaltar alguns dos desafios a enfrentar na estrutura organizacional de governança é saber onde posicionar na estrutura, a quem deve ser reportado, como integrar com as demais áreas e diferenciar os objetivos de governança de segurança comparados com os da auditoria.
Evidentemente que a gestão de segurança da informação para ser mais eficiente é importante que seja integrada com a governança de segurança e ressalto este ponto com convicção depois ter passado experiências reais em grandes empresas e ter aprendido com os principais mestres neste campo, podemos concluir que os principais elementos para a gestão de segurança efetiva e a governança de SI que este produto proporciona para as organizações são:
- Ter uma estratégica de segurança conectada aos objetivo de negócio e TI;
- Ter uma organização de SI e governança estruturada e efetivas;
- Ter uma estratégia de segurança que considera o valor da informação da organização efetivamente protegida;
- Ter políticas de segurança que endereçam a estratégia, controles e conformidade com regulamentações;
- Ter padrões, normas e procedimentos de segurança estuturados;
- Ter um processo de monitoração corporativo dando visibilidade da mitigação dos riscos;
- Ter um processo de avaliação de segurança continua e atualizações dos padrões e riscos;
- Ter uma metodologia de gestão de riscos de segurança da informação vigente.
Este artigo foi publicado no portal Security Report.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
Comentários
Postar um comentário