Elementos Fundamentais
A boa gestão das aquisições é um componente essencial
também em termos de Segurança da Informação, pois permite benefícios como:
- I. mitigação de vulnerabilidades de segurança;
- II. redução de complexidade e heterogeneidade em equipamentos e endpoints;
- III. maior estabilidade nos componentes de TI;
- IV. menores custos de suporte;
- V. tempos menores de resposta e resolução.
O estabelecimento e a implementação de um programa de Segurança da Informação, com a definição de políticas e padrões, assim como o fomento de uma cultura positiva em termos de Segurança da Informação, é crucial para a efetividade das iniciativas.
A geração de consciência positiva nas pessoas envolvidas fortalece um dos três grandes pilares da Segurança da
Informação, possibilitando inclusive uma redução de custos, financeiros e/ou administrativos, na implementação de mecanismos de Segurança da Informação, além de naturalmente mitigar potenciais vulnerabilidades.
A promoção de cultura corporativa de Segurança da Informação é fundamental e contempla iniciativas originárias dos níveis hierárquicos mais altos (top-down), incluindo o suporte da Alta Administração e o seu protagonismo como bons exemplos, e iniciativas com origem nas bases (grassroot), que engloba a conscientização e educação da força de trabalho.
DIRETRIZES BÁSICAS DE SEGURANÇA DA INFORMAÇÃO
A estabilidade e o insight são fatores relevantes para a efetividade da Segurança da Informação. Estabilidade significa que as mudanças ao ambiente são bem pensadas, racionais e sob alguma forma de governança que a controle. Já o insight permite que a organização conheça, compreenda e reaja aos componentes e atividades dentro do ambiente, tais como pessoas, aplicações e sistemas.
A prática de arquitetura empresarial (Enterprise Architecture) como framework estratégico para os processos é interessante, inclusive, em termos de Segurança da Informação, para dar previsibilidade e estabilidade ao ambiente e se tornar subsídio para a definição de padrões e para desenvolvimento consistente e repetível, bem como a elaboração de mapas de caminho.
As pessoas são fatores fundamentais para a efetividade da
Segurança da Informação, de forma que se torna necessário
ter um ambiente propício à adoção de comportamentos
adequados em termos de Segurança da Informação.
A conscientização é a chave para o sucesso da Segurança
da Informação. É importante estimular o engajamento das
pessoas de forma adequada e com visibilidade das iniciativas.
Nesse contexto, é interessante trabalhar com líderes para
dar o exemplo e comunicar o que se espera das pessoas,
assim como obter colaboração para coletar e disseminar
informações.
A Segurança da Informação preconiza que as pessoas precisam ter não só a liberdade e autonomia necessárias para
executar o serviço, mas também o conhecimento para tomar
decisões mais corretas.
A Segurança da Informação prescreve que há a necessidade das pessoas terem a liberdade de falhar, ao mesmo
tempo em que elas devem reconhecer, se apropriar e responder rapidamente a essas falhas. Uma cultura que ajude
[OT 013]
46
as pessoas que contribuam ao programa de Segurança da
Informação permite detecção mais rápida de problemas e
fornece oportunidades para evitar que eventuais problemas
aumentem de tamanho/complexidade.
A gestão apropriada da mudança é primordial para se manter
a estabilidade, especialmente em um contexto de mudanças
extremamente rápidas, como é o caso da tecnologia da informação e comunicação, objetivando, entre outras coisas,
evidenciar a aprovação e a rastrebailidade da mudança.
No âmbito desta Orientação Técnica, define-se mudança
como uma alteração de processo/procedimento e/ou de
arquitetura de software.
A gestão da mudança contempla naturalmente as questões
de segurança.
A gestão apropriada de riscos é imprescindível para a
Segurança da Informação, pois baliza a tomada de decisões,
inclusive em termos de apetite de risco.
A gestão de riscos envolve iniciativas como análise de contexto, avaliação, tratamento e monitoramento dos riscos,
comunicação e revisão dos mecanismos implantados.
Em um primeiro nível, a gestão de riscos especifica a necessidade de adoção de controles, com a subsequente definição
de níveis aceitáveis e de processos de controle.
Para fins desta Orientação Técnica, a gestão de riscos engloba também a gestão de incidentes, que compreende
processos como: