Como fazer gestão de riscos de segurança da informação na empresa?

Gestão de riscos para segurança da informação

Muito se fala sobre a necessidade da segurança da informação, mas quão preparado você se sente para executar a sua gestão de risco?

Se esse ainda é um tópico sensível dentre as suas habilidades profissionais, este artigo pode representar uma mudança de chave. 

Ao longo do texto vamos te mostrar, de forma prática, como executar a gestão de riscos de segurança da informação na sua empresa e garantir que ela não sofra desvantagens ou prejuízo. Fique conosco. 

A importância da segurança da informação 

Embora esse assunto pareça clichê, é sempre bom ratificar que a segurança da informação é uma das principais demandas da tecnologia dos últimos anos. 

Afinal, não só a quantidade de conteúdo em rede cresce exponencialmente, como o entendimento do usuário sobre a nuvem tem amadurecido. 

Além disso, o surgimento de legislações que padronizam o tratamento dos dados pessoais, bem como os sofisticados cibercrimes, que se espalham cada vez mais, complementam a equação que coloca a segurança da informação como um das áreas de atuação mais do que necessárias para o profissional de TI nos dias de hoje.

Ou seja, o universo digital requer mais segurança e seus agentes estão mais conscientes dos seus limites e possibilidades. 

Assegurar que a sua empresa tenha uma segurança da informação robusta é se desvencilhar de crises futuras. 

Este cenário é comprovado por meio da pesquisa Global Digital Trust Insights Survey 2022, que identificou que o investimento em segurança cibernética está no radar de muitas organizações. 

Segundo o estudo, 83% de empresas brasileiras informaram desejo por aumentar os gastos nessa área, sendo que: 

  • 36% dos negócios brasileiros que compuseram a pesquisa pensam em crescer seu orçamento, para essa área, entre 6 e 10%;
  • Já 33% deles indicam um aporte de 15% ou mais. 

Como executar uma gestão de riscos em segurança da informação?

O termo “gestão de riscos” pode ser aplicado em diversas áreas dos negócios, pois todas elas necessitam de uma estratégia de recuperação em caso de incidentes. 

É disso que se trata uma gestão de riscos – identificar, mapear e observar possíveis pontos falhos para um produto, serviço ou negócio e, diante disso, elaborar maneiras factíveis, rentáveis e de fácil execução para desviar a empresa desses obstáculos. 

Na perspectiva da TI, a Gestão de Riscos (NBR 31.000) engloba ou tangencia não só a Gestão da Segurança da Informação (NBR 27.001, NBR 27.002, NBR 27.005 e NBR 27.701), como a Gestão de TI e a Gestão da Continuidade do Negócio (NBR 22.301 e ABNT NBR ISO 22.313). 

Observa-se neste contexto a importância do entendimento acerca das normas e suas atualizações. 

A exemplo disso, a 27002:2022 possui diversas transformações comparada a 27002:13, como você pode observar respectivamente abaixo: 

  • 27002:2022 – relaciona-se com:

Segurança da informação, cibersegurança e proteção de privacidade – Informações controles de segurança.

  • 27002:2013 – relaciona-se com:

Tecnologia da informação – Segurança técnicas – Código de prática para controles de segurança da informação

Neste link você fica por dentro das principais atualizações e modificações vistas nas normatizações, em um webinar original ESR..

Para executar uma boa gestão de risco, seja em qualquer de suas temáticas elencadas acima, você deve dominar também o que cada norma prevê. 

Dando enfoque para a segurança da informação, existem ainda algumas especificidades importantes dentro deste cenário que devem fazer parte da sua rotina de gestão de risco. 

Um deles é que  enquanto a norma NBR 31.000 trata-se de uma visão geral de risco, incluída a visão corporativa, a norma NBR 27.005 apresenta-se como uma “especialização” do risco para o contexto de segurança da informação.

Confira os demais pontos:

1) Entendimento sobre o que é gestão de riscos para segurança da informação 

Nesse contexto, a gestão de risco é parte integrante da dimensão do processo corporativo de segurança da informação e serve para prever a ocorrência de ameaças que sejam capazes de interferir no bom funcionamento e utilização dos recursos de informação das empresas. 

Dessa forma, o principal objetivo da gestão de risco da segurança da informação é permitir que a organização desempenhe seu planejamento e objetivos sem que que os perigos encontrados na rede os atinjam. 

Tudo isso tendo um postulado teórico bem desenvolvido.

2) Atenção para as normas 

O profissional de TI responsável pela gestão de risco da segurança da informação deve redobrar a atenção para a Norma ABNT NBR ISO/IEC 27005:2019 – Tecnologia de segurança – Técnicas de segurança – Gestão de riscos em segurança da informação.

Ela contém os principais pontos a serem observados nessa prática, além de conceitos e estruturas fundamentais para o conhecimento desta área. 

3) Profissionais capacitados 

Por se tratar de uma área tão essencial, a gestão de risco da segurança da informação requer um time de execução qualificado e que saiba exatamente o que está fazendo. 

Para isso, é importante – caso você seja o líder da equipe, garantir que os envolvidos estejam cientes de todas as etapas desse processo. 

Além disso, uma das formas mais assertivas de assegurar a capacitação do time é por meio de treinamentos referência no mercado, como é o caso da ESR.

No curso Gestão de Riscos de Segurança da Informação e Privacidade (EaD), da Escola Superior de Redes, os integrantes participam de 40 horas de atividades, com 10 encontros online, para desenvolverem a capacidade de propor controles de segurança da informação para tratar e mitigar os riscos nas organizações. 

Há também o aprendizado sobre como identificar ameaças, vulnerabilidades e riscos associados à segurança da informação e sobre como aplicar a metodologia de gestão e análise de riscos da norma NBR 27005 nas organizações.

O calendário de turmas está sempre atualizado e você já pode se inscrever na próxima aqui

4) Estruturação do processo de gestão de riscos 

Como todo segmento do negócio, a gestão de risco da segurança da informação requer planejamento. 

Identifique quais serão os conceitos adotados na organização e como eles irão se relacionar com a dimensão de gestão de risco. 

Este desenho servirá de base estática para as demais funções dessa atividade. 

É nesta etapa que você e sua equipe precisam entender qual modelo de gestão utilizar, para que haja resultados práticos na análise de riscos e ameaças cibernéticas. 

Embora não exista uma única forma de desenvolver esse processo, alguns pontos devem fazer parte daquela que vocês irão escolher. 

É necessário um método que consiga avaliar, conhecer e fazer a classificação do maior número de riscos possíveis, oferecendo além desse mapa, condições para elaboração de plano de ação e de comunicação, junto a um diagnóstico da situação.

5) Avaliações constantes

Para detectar ameaças à gestão de risco da segurança da informação, é preciso contar com ciclos de observação e avaliação das vulnerabilidades. 

Essa avaliação irá fazer um recorte do momento exato em que foi realizada, sendo necessário repetir esse processo para a construção de um cenário mais completo e abrangente da Dimensão Gestão de Riscos de Segurança da Informação. 

Nesse sentido é preciso estipular um calendário preciso que contemple as observações e avaliações periódicas. 

6) O momento da prática

Após a definição da periodicidade das avaliações, as equipes devem recorrer a ferramentas completas para executá-las, como um dispositivo de escaneamento de vulnerabilidade, auditoria, parâmetros dados por normas oficiais tal qual a ISO, pentest, etc. 

Nesta etapa também é fundamental escolher as empresas parceiras e os fornecedores certos. 

O importante é não ficar refém de soluções que não atendam às necessidades da empresa, nem se conectem ao propósito da organização. 

7) A documentação é uma peça-chave

Como toda análise, a gestão de riscos da segurança da informação demanda que tudo seja documentado e tenha relatórios de cada etapa do processo. 

Dessa forma será mais fácil cumprir uma das premissas dessa atividade – a integração entre departamentos e o convencimento dos gestores sobre alguma prática necessária para contornar um risco ou falha. 

Somente com relatórios otimizados e eficientes será possível elevar o entendimento da gestão de riscos da segurança da informação para toda empresa, impactando diretamente no resultado da atividade.

8) O passo final 

Após todos esses processos, a gestão de risco da segurança da informação implica na elaboração de duas práticas: 

  • as que visam minimizar os erros e falhas até então encontradas;
  • ou, planos de ação para o futuro – que devem ser conduzidos de forma a impedir que cenários parecidos voltem a ocorrer na empresa. 

Além disso, a gestão de riscos da segurança da informação é responsável por enxergar pontos de melhoria e oportunidades de aproveitamento das organizações em relação ao tratamento da informação no seu dia a dia. 

Somente com a boa implementação dessa área é que as empresas passam a atuar de forma preventiva em detrimento ao comportamento típico do “apagar o fogo” gerado por algum problema. 

__________________________________

Desenvolva o seu conhecimento sobre gestão de riscos para segurança da informação junto com a ESR. 

Inscreva-se na próxima turma do curso prático sobre o assunto, aqui!  

5 1 votar
Article Rating
Inscrever
Notificar
guest

0 Comentários
Feedbacks em linha
Ver todos os comentários