Quinta feira 18 de julho de 2024, será para sempre lembrado por muitas organizações e pelas pessoas em geral como o Dia Mundial do Apagão Tecnológico. Nunca um único evento afetou tantas empresas de diversos setores em diversos países.
Após o impacto (maior ou menor) aumentam os recursos financeiros para investimento em segurança. Mas, como garantir que estes recursos serão aplicados com sabedoria e proporcionarão controles efetivos? Gastar este dinheiro é fácil. Comprar um monte de novos produtos, é mais fácil ainda. Será este caminho? Evidentemente que não. Mas o que deve ser feito? Descrevo abaixo alguns passos estruturais que entendo que devem ser seguidos.
- Identifique os Ambientes de Informação da organização.
Ambiente de informação é qualquer ambiente que faça algum tratamento (armazenamento, processamento, transmissão,…) da informação. Identifique todos os ambientes, inclusive o ambiente de não tecnologia e o ambiente dos parceiros.
- Identifique os recursos de informação de cada ambiente.
Recursos tecnológicos, tradicionais, pessoais, entre outros.
- Garanta que a organização definiu a sua Arquitetura da Informação
Arquitetura de Informação define as Dimensões de Informação que devem ser consideradas, tomando por base Estruturas Direcionadoras (ISO, NIST, SOC2, outras) e as Estruturas Obrigatórias (legislação, contratos, objetivos corporativos, normativos de agências reguladoras, outros).
- Avalie a Maturidade dos Controles de Segurança da Informação, Proteção da Privacidade, Continuidade de Negócio.
Considerando a arquitetura definida, detalhe a mesma em controles e avalie a efetividade de cada controle. Seja profissional e que esta avaliação tome por base fatos verdadeiros, concretos e que podem gerar evidências.
5.Paça uma efetiva Gestão de Riscos da Maturidade
Considerando a maturidade dos controles, faça uma gestão de riscos, considerando o impacto negativo (financeiro, operacional, reputação, legal, outro) e a probabilidade de uma ameaça utilizar uma fragilidade de um controle.
- Priorize e Elabore um Plano de Ação
Em função da gestão de riscos, priorize ações para tornar os controles efetivos. Considere além da gestão de riscos, o conceito de Controles Estruturais: controle que se implementado possibilita e facilita a implementação de outros controles. Priorize Controles Estruturais.
- Apresente o Plano de Ação para o Corpo Diretivo: presidência, alta direção, conselho de administração.
Indique que mesmo com todo o dinheiro do mundo, tudo não pode ser feito ao mesmo tempo. Algumas ações sim. Explique que durante este período a organização continua correndo riscos em função das vulnerabilidades que serão corrigidas ao longo do tempo.
- Faça a implementação
Implemente os controles (considerando os investimentos disponibilizados) baseado no Plano de Ação.
CONCLUSÃO
Entendo que esta é uma boa sequência que possibilitará uma efetiva (eficaz e eficiente ao longo do tempo) implementação de controles e de um gasto dos recursos financeiros disponibilizados.
O Apagão tecnológico aconteceu em um Ambiente de Informação de um parceiro fruto de um erro ou falha ou negligência organizacional. Mas com a ajuda de um não efetivo controle das organizações de receber e implantar código de terceiro sem uma rigidez de controles.
O que recomendei acima é o mínimo que cada organização deve considerar.
Sua organização tem peculiaridades e podemos conversar sobre isto.
Edison Fontes, CISM, CISA, CRISC, Ms. 2024.