Elementos Fundamentais A boa gestão das aquisições é um componente essencial também em termos de Segurança da Informação, pois permite benefícios como: I. mitigação de vulnerabilidades de segurança; II. redução de complexidade e heterogeneidade em equipamentos e endpoints; III. maior estabilidade nos componentes de TI; IV. menores custos de suporte; V. tempos menores de resposta e resolução. O estabelecimento e a implementação de um programa de Segurança da Informação, com a definição de políticas e padrões, assim como o fomento de uma cultura positiva em termos de Segurança da Informação, é crucial para a efetividade das iniciativas. A geração de consciência positiva nas pessoas envolvidas fortalece um dos três grandes pilares da Segurança da  Informação, possibilitando inclusive uma redução de custos, financeiros e/ou administrativos, na implementação de mecanismos de Segurança da Informação, além de naturalmente mitigar potenciais vulnerabilidades. A promoção de cultura corporativa de Segurança da Informação é fundamental e contempla iniciativas originárias dos níveis hierárquicos mais altos (top-down), incluindo o suporte da Alta Administração e o seu protagonismo como bons exemplos, e iniciativas com origem nas bases (grassroot), que engloba a conscientização e educação da força de trabalho. DIRETRIZES BÁSICAS DE SEGURANÇA DA INFORMAÇÃO A estabilidade e o insight são fatores relevantes para a efetividade da Segurança da Informação. Estabilidade significa que as mudanças ao ambiente são bem pensadas, racionais e sob alguma forma de governança que a controle. Já o insight permite que a organização conheça, compreenda e reaja aos componentes e atividades dentro do ambiente, tais como pessoas, aplicações e sistemas.  A prática de arquitetura empresarial (Enterprise Architecture) como framework estratégico para os processos é interessante, inclusive, em termos de Segurança da Informação, para dar previsibilidade e estabilidade ao ambiente e se tornar subsídio para a definição de padrões e para desenvolvimento consistente e repetível, bem como a elaboração de mapas de caminho. As pessoas são fatores fundamentais para a efetividade da Segurança da Informação, de forma que se torna necessário ter um ambiente propício à adoção de comportamentos adequados em termos de Segurança da Informação. A conscientização é a chave para o sucesso da Segurança da Informação. É importante estimular o engajamento das pessoas de forma  adequada e com visibilidade das iniciativas. Nesse contexto, é interessante trabalhar com líderes para dar o exemplo e comunicar o que se espera das pessoas, assim como obter colaboração para coletar e disseminar informações.  A Segurança da Informação preconiza que as pessoas precisam ter não só a liberdade e autonomia necessárias para executar o serviço, mas também o conhecimento para tomar decisões mais corretas. A Segurança da Informação prescreve que há a necessidade das pessoas terem a liberdade de falhar, ao mesmo tempo em que elas devem reconhecer, se apropriar e responder rapidamente a essas falhas. Uma cultura que ajude [OT 013] as pessoas que contribuam ao programa de Segurança da Informação permite detecção mais rápida de problemas e fornece oportunidades para evitar que eventuais problemas aumentem de tamanho/complexidade. A gestão apropriada da mudança é primordial para se manter a estabilidade, especialmente em um contexto de mudanças extremamente rápidas, como é o caso da tecnologia da informação e comunicação, objetivando, entre outras coisas, evidenciar a aprovação e a rastreabilidade da mudança. No âmbito desta Orientação Técnica, define-se mudança como uma alteração de processo/procedimento e/ou de arquitetura de software. A gestão da mudança contempla naturalmente as questões de segurança.  A gestão apropriada de riscos é imprescindível para a Segurança da Informação, pois baliza a tomada de decisões, inclusive em termos de apetite de risco. A gestão de riscos envolve iniciativas como análise de contexto, avaliação, tratamento e monitoramento dos riscos,  comunicação e revisão dos mecanismos implantados. Em um primeiro nível, a gestão de riscos especifica a necessidade de adoção de controles, com a subsequente definição  de níveis aceitáveis e de processos de controle. Para fins desta Orientação Técnica, a gestão de riscos engloba também a gestão de incidentes, que compreende  processos como: a. plano para determinar quais sensores dos controles estão  sendo usados para detectar incidentes, quando e como; b. processo gerencial de resposta para deter, recuperar e  mitigar um incidente; c. processo de revisão para, no mínimo, evitar que o problema  ocorra novamente ou, pelo menos, melhorar a resposta e  mitigação em caso de nova ocorrência.