Corpo Diretivo, Executivos, Conselho de Administração da maioria das organizações não conhecem a Maturidade da Gestão da Segurança da Informação. E aqui entre nós, muitos profissionais de tecnologia e de segurança também não sabem. Neste caso o que sabem é que existem controles. Mas não sabem a maturidade da gestão destes controles.
Realizar uma Avaliação da Maturidade da Gestão dos Controles de Segurança da Informação significa apresentar para o Corpo Diretivo uma visão clara e objetiva da maturidade da prática da segurança da informação e da gestão dos controles, definindo um plano de ação das atividades necessárias para o alcance de um patamar adequado.
Controles e Gestão de Controles
Inicialmente precisamos entender que existe uma grande diferença entre Controles e Gestão de Controles:
– Controle é uma ação que minimiza o risco (probabilidade) de uma ameaça que pode gerar impactos negativos para a organização, se concretizar.
– Gestão de Controles é o conjunto de ações que buscam garantir a sustentabilidade e efetividade dos controles no ambiente corporativo. Para tanto, vamos considerar os seguintes Meta Controles (Supervisão e sustentação) na Gestão de Controle:
- Existência do controle e seu escopo de proteção.
- Regras definidas e formalizadas.
- Garantia de continuidade do controle.
- Definição de responsabilidades.
- Estruturação adequada da atividade/processo.
- Transparência – Possibilidade de gerar evidências e ser auditado.
- Comunicação adequada para Corpo Diretivo. (Governança)
- Planejamento de ações. (Sustentabilidade)
- Conformidade com legislação e normativos
Benefícios e Valor Agregado
De uma maneira resumida, entendemos que uma Avaliação da Maturidade da Gestão de Segurança da Informação acarreta os seguintes Benefícios e Valor Agregado para a organização:
Governança e Compliance
Um dos quatro princípios da Governança é a Sustentabilidade Organizacional. A avaliação possibilita implementar ações para a continuidade da organização.
A Conformidade (Compliance) é garantida pela consideração dos Direcionadores Obrigatórios (legislação, contratos e normativos obrigatórioas).
Visão Estratégica Clara
Com o Plano de Ação validado pelo Corpo Diretivo garantimos que os objetivos corporativos serão atendidos em alinhamento com a estratégia organizacional definida.
Redução de Riscos
Com a identificação de Controles Não Adequados (Risco de Impacto Negativo Alto) são definidas ações para tratamento do controle e da gestão de controle, minimizando o risco.
Credibilidade Organizacional
A Credibilidade Organizacional é fortalecida quando realizamos uma Avaliação da Maturidade da Gestão da Segurança da Informação, pois demonstramos compromisso com a melhoria contínua, a conformidade com normas e a transparência na proteção dos ativos mais críticos da empresa.
Otimização de Investimentos
A Avaliação da Maturidade da Gestão de Segurança da Informação gera um Plano de Ação considerando prioridades para a implementação dos controles e demais atividades, desta maneira otimizando os investimentos.
Simplifique
Considere três níveis de maturidade de gestão:
Não Adequado
– Implementar o mais rápido possível.
– Com certeza será Ponto de Auditoria
– Não atende o mínimo.
Adequação Mínima
– Necessita estruturar e gerenciar.
– Possível Ponto de Auditoria
– Atende o mínimo.
– Precisa de esforço e recursos para estar adequado
Adequado
– Necessário manter esta maturidade.
– Não será Ponto de Auditoria.
– Possui gestão efetiva do controle.
Conclusão
Toda organização deve conduzir uma Avaliação da Maturidade da Gestão da Segurança da Informação, preferencialmente com imparcialidade e independência. Embora possa ser realizada por profissionais internos, minha experiência demonstra que avaliações conduzidas de forma independente tendem a oferecer maior precisão, objetividade e valor estratégico para a alta liderança.
Edison Fontes, CISM, CISA, CRISC, Ms. ,Chief Information Security Officer @NAVA – Technology for business.
