Muito se fala sobre a necessidade da segurança da informação, mas quão preparado você se sente para executar a sua gestão de risco?
Se esse ainda é um tópico sensível dentre as suas habilidades profissionais, este artigo pode representar uma mudança de chave.
Ao longo do texto vamos te mostrar, de forma prática, como executar a gestão de riscos de segurança da informação na sua empresa e garantir que ela não sofra desvantagens ou prejuízo. Fique conosco.
A importância da segurança da informação
Embora esse assunto pareça clichê, é sempre bom ratificar que a segurança da informação é uma das principais demandas da tecnologia dos últimos anos.
Afinal, não só a quantidade de conteúdo em rede cresce exponencialmente, como o entendimento do usuário sobre a nuvem tem amadurecido.
Além disso, o surgimento de legislações que padronizam o tratamento dos dados pessoais, bem como os sofisticados cibercrimes, que se espalham cada vez mais, complementam a equação que coloca a segurança da informação como um das áreas de atuação mais do que necessárias para o profissional de TI nos dias de hoje.
Ou seja, o universo digital requer mais segurança e seus agentes estão mais conscientes dos seus limites e possibilidades.
Assegurar que a sua empresa tenha uma segurança da informação robusta é se desvencilhar de crises futuras.
Este cenário é comprovado por meio da pesquisa Global Digital Trust Insights Survey 2022, que identificou que o investimento em segurança cibernética está no radar de muitas organizações.
Segundo o estudo, 83% de empresas brasileiras informaram desejo por aumentar os gastos nessa área, sendo que:
- 36% dos negócios brasileiros que compuseram a pesquisa pensam em crescer seu orçamento, para essa área, entre 6 e 10%;
- Já 33% deles indicam um aporte de 15% ou mais.
Como executar uma gestão de riscos em segurança da informação?
O termo “gestão de riscos” pode ser aplicado em diversas áreas dos negócios, pois todas elas necessitam de uma estratégia de recuperação em caso de incidentes.
É disso que se trata uma gestão de riscos – identificar, mapear e observar possíveis pontos falhos para um produto, serviço ou negócio e, diante disso, elaborar maneiras factíveis, rentáveis e de fácil execução para desviar a empresa desses obstáculos.
Na perspectiva da TI, a Gestão de Riscos (NBR 31.000) engloba ou tangencia não só a Gestão da Segurança da Informação (NBR 27.001, NBR 27.002, NBR 27.005 e NBR 27.701), como a Gestão de TI e a Gestão da Continuidade do Negócio (NBR 22.301 e ABNT NBR ISO 22.313).
Observa-se neste contexto a importância do entendimento acerca das normas e suas atualizações.
A exemplo disso, a 27002:2022 possui diversas transformações comparada a 27002:13, como você pode observar respectivamente abaixo:
- 27002:2022 – relaciona-se com:
Segurança da informação, cibersegurança e proteção de privacidade – Informações controles de segurança.
- 27002:2013 – relaciona-se com:
Tecnologia da informação – Segurança técnicas – Código de prática para controles de segurança da informação
Neste link você fica por dentro das principais atualizações e modificações vistas nas normatizações, em um webinar original ESR..
Para executar uma boa gestão de risco, seja em qualquer de suas temáticas elencadas acima, você deve dominar também o que cada norma prevê.
Dando enfoque para a segurança da informação, existem ainda algumas especificidades importantes dentro deste cenário que devem fazer parte da sua rotina de gestão de risco.
Um deles é que enquanto a norma NBR 31.000 trata-se de uma visão geral de risco, incluída a visão corporativa, a norma NBR 27.005 apresenta-se como uma “especialização” do risco para o contexto de segurança da informação.
Confira os demais pontos:
1) Entendimento sobre o que é gestão de riscos para segurança da informação
Nesse contexto, a gestão de risco é parte integrante da dimensão do processo corporativo de segurança da informação e serve para prever a ocorrência de ameaças que sejam capazes de interferir no bom funcionamento e utilização dos recursos de informação das empresas.
Dessa forma, o principal objetivo da gestão de risco da segurança da informação é permitir que a organização desempenhe seu planejamento e objetivos sem que que os perigos encontrados na rede os atinjam.
Tudo isso tendo um postulado teórico bem desenvolvido.
2) Atenção para as normas
O profissional de TI responsável pela gestão de risco da segurança da informação deve redobrar a atenção para a Norma ABNT NBR ISO/IEC 27005:2019 – Tecnologia de segurança – Técnicas de segurança – Gestão de riscos em segurança da informação.
Ela contém os principais pontos a serem observados nessa prática, além de conceitos e estruturas fundamentais para o conhecimento desta área.
3) Profissionais capacitados
Por se tratar de uma área tão essencial, a gestão de risco da segurança da informação requer um time de execução qualificado e que saiba exatamente o que está fazendo.
Para isso, é importante – caso você seja o líder da equipe, garantir que os envolvidos estejam cientes de todas as etapas desse processo.
Além disso, uma das formas mais assertivas de assegurar a capacitação do time é por meio de treinamentos referência no mercado, como é o caso da ESR.
No curso Gestão de Riscos de Segurança da Informação e Privacidade (EaD), da Escola Superior de Redes, os integrantes participam de 40 horas de atividades, com 10 encontros online, para desenvolverem a capacidade de propor controles de segurança da informação para tratar e mitigar os riscos nas organizações.
Há também o aprendizado sobre como identificar ameaças, vulnerabilidades e riscos associados à segurança da informação e sobre como aplicar a metodologia de gestão e análise de riscos da norma NBR 27005 nas organizações.
O calendário de turmas está sempre atualizado e você já pode se inscrever na próxima aqui!
4) Estruturação do processo de gestão de riscos
Como todo segmento do negócio, a gestão de risco da segurança da informação requer planejamento.
Identifique quais serão os conceitos adotados na organização e como eles irão se relacionar com a dimensão de gestão de risco.
Este desenho servirá de base estática para as demais funções dessa atividade.
É nesta etapa que você e sua equipe precisam entender qual modelo de gestão utilizar, para que haja resultados práticos na análise de riscos e ameaças cibernéticas.
Embora não exista uma única forma de desenvolver esse processo, alguns pontos devem fazer parte daquela que vocês irão escolher.
É necessário um método que consiga avaliar, conhecer e fazer a classificação do maior número de riscos possíveis, oferecendo além desse mapa, condições para elaboração de plano de ação e de comunicação, junto a um diagnóstico da situação.
5) Avaliações constantes
Para detectar ameaças à gestão de risco da segurança da informação, é preciso contar com ciclos de observação e avaliação das vulnerabilidades.
Essa avaliação irá fazer um recorte do momento exato em que foi realizada, sendo necessário repetir esse processo para a construção de um cenário mais completo e abrangente da Dimensão Gestão de Riscos de Segurança da Informação.
Nesse sentido é preciso estipular um calendário preciso que contemple as observações e avaliações periódicas.
6) O momento da prática
Após a definição da periodicidade das avaliações, as equipes devem recorrer a ferramentas completas para executá-las, como um dispositivo de escaneamento de vulnerabilidade, auditoria, parâmetros dados por normas oficiais tal qual a ISO, pentest, etc.
Nesta etapa também é fundamental escolher as empresas parceiras e os fornecedores certos.
O importante é não ficar refém de soluções que não atendam às necessidades da empresa, nem se conectem ao propósito da organização.
7) A documentação é uma peça-chave
Como toda análise, a gestão de riscos da segurança da informação demanda que tudo seja documentado e tenha relatórios de cada etapa do processo.
Dessa forma será mais fácil cumprir uma das premissas dessa atividade – a integração entre departamentos e o convencimento dos gestores sobre alguma prática necessária para contornar um risco ou falha.
Somente com relatórios otimizados e eficientes será possível elevar o entendimento da gestão de riscos da segurança da informação para toda empresa, impactando diretamente no resultado da atividade.
8) O passo final
Após todos esses processos, a gestão de risco da segurança da informação implica na elaboração de duas práticas:
- as que visam minimizar os erros e falhas até então encontradas;
- ou, planos de ação para o futuro – que devem ser conduzidos de forma a impedir que cenários parecidos voltem a ocorrer na empresa.
Além disso, a gestão de riscos da segurança da informação é responsável por enxergar pontos de melhoria e oportunidades de aproveitamento das organizações em relação ao tratamento da informação no seu dia a dia.
Somente com a boa implementação dessa área é que as empresas passam a atuar de forma preventiva em detrimento ao comportamento típico do “apagar o fogo” gerado por algum problema.
__________________________________
Desenvolva o seu conhecimento sobre gestão de riscos para segurança da informação junto com a ESR.
Inscreva-se na próxima turma do curso prático sobre o assunto, aqui!