...benefícios ao negócio através da segurança da informação, (iii) zelar pelo uso adequado e responsável de ativos, (iv) manter os riscos de segurança da informação adequadamente gerenciados, (v) medir, monitorar e reportar o desempenho da segurança da informação através da seleção e apuração de métricas e indicadores de desempenho e (vi) demonstrar o valor da segurança da informação para o negócio.
Alcançar todos estes objetivos é um grande desafio, dado que para isso deve haver disciplina, comprometimento, foco e interesse da alta direção no assunto. Entretanto, não é obrigatória a existência de uma Gestão de Segurança da Informação altamente madura, para que se possa governar. Por outro lado, é importante ressaltar que notadamente os benefícios da Governança em Segurança da Informação, com o apoio de uma gestão madura, são potencializados ainda mais.
Manter uma Gestão de Segurança da Informação madura significa garantir um planejamento de Segurança da Informação adequado e alinhado ao negócio, implantar de forma eficaz seus direcionamentos, definir metas e monitorá-las tempestivamente, além de avaliar seus resultados, definindo os planos de ação para melhoria dos aspectos desalinhados com o planejado. Em geral, as corporações em um processo de gestão, chegam a desenhar planos adequados e implantar, mas pecam em seu monitoramento e na garantia de sua melhoria contínua.
Sendo a Gestão de Segurança da Informação madura ou não, para governá-la, uma série de atividades precisam ser executadas, as quais devem estar ligadas a cinco áreas que devem ser foco da alta direção das organizações - Alinhamento Estratégico, Gestão de Riscos, Gestão de Recursos, Gestão do Desempenho e Entrega de Valor:
• O Alinhamento Estratégico de Segurança da Informação com os objetivos de negócio é uma das áreas da Governança de SI mais difíceis de atingir.
• A Gestão de Riscos de Segurança da Informação tem por objetivo gerenciar e mitigar os riscos e reduzir seu impacto potencial aos ativos para níveis aceitáveis pelo negócio;
• A Gestão de Recursos zela pelo uso eficiente e eficaz do conhecimento e da infra-estrutura de Segurança da Informação;
• A Gestão do Desempenho tem como alvos a medição e monitoração dos processos de Segurança da Informação e reporte dos resultados que permitem atingir os objetivos de negócio;
• A Entrega de Valor visa à otimização dos investimentos em Segurança da Informação que suportam os objetivos organizacionais, seja por sua priorização adequada, seja pela opção aos investimentos de menores custos ou pela minimização da necessidade de investimentos em função da otimização da maturidade da Segurança da Informação.
Para a implantação de um processo de Governança de Segurança da Informação que contemple as cinco áreas acima descritas, alguns aspectos essenciais devem ser considerados. Primeiramente, Segurança da Informação deve ser parte integrante da agenda executiva corporativa, havendo comprometimento dos executivos com relação ao assunto, o que acontece naturalmente quando há um entendimento claro dos benefícios de Segurança da Informação para o negócio.
Com o comprometimento dos executivos com a Gestão e a Governança de Segurança da Informação, o próximo passo é a definição dos papéis e responsabilidades para seu planejamento, execução e monitoração. Este passo deve ser sucedido pela escolha dos canais de comunicação dos resultados de Segurança da Informação, bem como pela escolha das melhores métricas e indicadores de desempenho, que podem demonstrar o status vigente e a evolução dos Sistemas de Gestão de Segurança da Informação.
Por fim, com os aspectos essenciais estabelecidos e preservados, a coleta dos resultados pode ser iniciada e a Governança de Segurança da Informação já pode ser declarada presente em uma organização, rumo à maturidade dos processos que a compõem e rumo a melhoria contínua dos Sistemas de Gestão de Segurança da Informação.
Certamente Governar a Segurança da Informação, além de Gerí-la, faz com que as organizações possam constantemente apurar seus resultados e benefícios com a transparência requerida pelo negócio.
Blog de Assuntos ligados a T.I e Segurança da Informação
No comments:
Post a Comment
Digite seu comentario