Comunicação com Conselho Administração: conformidade, sustentabilidade e efetividade para a Segurança da Informação

0

A Governança Corporativa tem por "… finalidade preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade" (IBGC) e a Governança da Segurança da informação tem como finalidade "… alinhar os objetivos e estratégia da segurança da informação com os objetivos e estratégia do negócio" (ISO 27014). Sendo assim a comunicação da gestão da segurança da informação com o corpo diretivo (conselho, corpo diretivo, executivos) é obrigatória. Mas como fazer que esta comunicação seja efetiva? 

Muito se questiona o texto utilizado nesta comunicação. Concordo, mas entendo que além das palavras e termos utilizados é necessário que a comunicação tenha conteúdo válido e profissional. O Conselho de Administração precisa receber informação robusta, de credibilidade e simples, para que possa tomar decisões, para que possa definir direcionadores. Recomendo a seguir etapas que devem ser consideradas para facilitar e dar credibilidade a esta comunicação da segurança da informação com o Conselho de Administração. São de responsabilidade do Gestor da Segurança da Informação.

  1. Identifique os produtos e serviços da organização

Inicialmente é necessário conhecer a missão, visão e valores da empresa e principalmente quais são os produtos ou serviços que possibilitam a sustentabilidade do negócio da organização. 

Para estes produtos e/ou serviços avalie com os executivos qual o controle direcionador de proteção da informação mais importante: disponibilidade, credibilidade, reputação, confidencialidade, conformidade legal, verdade, integridade ou outra.

  1. Identifique os Ambientes de Informação

Ambiente de informação indica onde é tratada a informação: tecnologia interna (centralizada, descentralizada), tecnologia de terceiros, prestadores de serviço (fornecedores), órgãos governamentais, tratamento transnacional e outras situações.

Relacione os ambientes de informação com os produtos e/ou serviços utilizados no negócio da organização e identifique a dependência do negócio da organização nestes ambientes.

  1. Identifique os Direcionadores Obrigatórios

Considere a legislação nacional e internacional, os normativos de agências reguladoras (ou similar), exigências contratuais e exigências de mercado que a organização é obrigada a seguir sob pena de impactos negativos.

Considere os Direcionadores Estruturais que são as referências que devem ser consideradas para a avaliação de maturidade. Muitas vezes Direcionadores Obrigatórios exigem determinados Direcionadores Estruturais.

  1. Avalie a Maturidade dos Controles de Segurança da Informação

Considere um ou mais Direcionador Estrutural (ISO, NIST, outro) e avalie a efetividade (eficácia e eficiência ao longo do tempo) de todos os controles de segurança da informação com ênfase na gestão dos mesmos. Considere um padrão de mercado tipo CMMI (Capability Maturity Model Integration – 5 níveis) ou um padrão próprio da organização, desde que com critérios bem definidos. Utilize cores verde, amarelo e vermelho, considerando o vermelho: controle não adequado, podendo ser explorado facilmente por situações ou por criminosos.

  1. Defina uma recomendação de Plano de Ação

Considerando a avaliação realizada da efetividade dos controles, elabore uma Gestão de Riscos considerando o Impacto Negativo de ameaças explorando a fragilidade dos controles, considerando os ambientes de informação e a criticidade da informação para o negócio.

O principal objetivo do plano de ação é a definição da prioridade, que deve vir acompanhada do tempo de duração e recursos necessários para a implementação de maneira a posicionar a organização em um patamar de proteção adequado.

A recomendação do plano de ação é uma consequência da Análise e Gestão de Riscos realizadas. O Conselho de Administração ou similar, definirá se concorda (ou não) com a mitigação dos riscos apresentados, podendo decidir por uma abordagem mais ou menos agressiva. Os Conselheiros precisam entender o relacionamento da fragilidade de um macrocontrole de segurança com a "preservação e otimização do valor da organização".

Conclusão

O Gestor da Segurança da Informação precisa ter a sabedoria e experiencia para apresentar todos estes elementos de maneira harmoniosa, com dados confiáveis para que o Conselho de Administração defina o apetite de risco pelo uso da informação. 

Edison Fontes, CyberSecurity & Privacy Head and Advisor.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.