Após o apagão tecnológico, aumentam investimentos em segurança. Como investir corretamente?

0

Quinta feira 18 de julho de 2024, será para sempre lembrado por muitas organizações e pelas pessoas em geral como o Dia Mundial do Apagão Tecnológico. Nunca um único evento afetou tantas empresas de diversos setores em diversos países. 

Após o impacto (maior ou menor) aumentam os recursos financeiros para investimento em segurança. Mas, como garantir que estes recursos serão aplicados com sabedoria e proporcionarão controles efetivos? Gastar este dinheiro é fácil. Comprar um monte de novos produtos, é mais fácil ainda. Será este caminho? Evidentemente que não. Mas o que deve ser feito? Descrevo abaixo alguns passos estruturais que entendo que devem ser seguidos.

  1. Identifique os Ambientes de Informação da organização.

Ambiente de informação é qualquer ambiente que faça algum tratamento (armazenamento, processamento, transmissão,…) da informação. Identifique todos os ambientes, inclusive o ambiente de não tecnologia e o ambiente dos parceiros.

  1. Identifique os recursos de informação de cada ambiente.

Recursos tecnológicos, tradicionais, pessoais, entre outros.

  1. Garanta que a organização definiu a sua Arquitetura da Informação

Arquitetura de Informação define as Dimensões de Informação que devem ser consideradas, tomando por base Estruturas Direcionadoras (ISO, NIST, SOC2, outras) e as Estruturas Obrigatórias (legislação, contratos, objetivos corporativos, normativos de agências reguladoras, outros).

  1. Avalie a Maturidade dos Controles de Segurança da Informação, Proteção da Privacidade, Continuidade de Negócio.

Considerando a arquitetura definida, detalhe a mesma em controles e avalie a efetividade de cada controle. Seja profissional e que esta avaliação tome por base fatos verdadeiros, concretos e que podem gerar evidências.

5.Paça uma efetiva Gestão de Riscos da Maturidade

Considerando a maturidade dos controles, faça uma gestão de riscos, considerando o impacto negativo (financeiro, operacional, reputação, legal, outro) e a probabilidade de uma ameaça utilizar uma fragilidade de um controle.

  1. Priorize e Elabore um Plano de Ação

Em função da gestão de riscos, priorize ações para tornar os controles efetivos. Considere além da gestão de riscos, o conceito de Controles Estruturais: controle que se implementado possibilita e facilita a implementação de outros controles. Priorize Controles Estruturais.

  1. Apresente o Plano de Ação para o Corpo Diretivo: presidência, alta direção, conselho de administração.

Indique que mesmo com todo o dinheiro do mundo, tudo não pode ser feito ao mesmo tempo. Algumas ações sim. Explique que durante este período a organização continua correndo riscos em função das vulnerabilidades que serão corrigidas ao longo do tempo.

  1. Faça a implementação

Implemente os controles (considerando os investimentos disponibilizados) baseado no Plano de Ação.

CONCLUSÃO

Entendo que esta é uma boa sequência que possibilitará uma efetiva (eficaz e eficiente ao longo do tempo) implementação de controles e de um gasto dos recursos financeiros disponibilizados.

O Apagão tecnológico aconteceu em um Ambiente de Informação de um parceiro fruto de um erro ou falha ou negligência organizacional. Mas com a ajuda de um não efetivo controle das organizações de receber e implantar código de terceiro sem uma rigidez de controles.

O que recomendei acima é o mínimo que cada organização deve considerar.

Sua organização tem peculiaridades e podemos conversar sobre isto.

Edison Fontes, CISM, CISA, CRISC, Ms. 2024.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.