Com exceção das Instituições Financeiras, entendo que a grande maioria dos CEOs e Conselhos de Administração não conhecem a Maturidade dos Controles de Segurança da Informação, Cibersegurança e Proteção da Privacidade das suas organizações. Neste texto chamaremos de maneira simplificada Maturidade da Segurança da Informação. É uma situação de não conformidade com as responsabilidades dos […]
Com exceção das Instituições Financeiras, entendo que a grande maioria dos CEOs e Conselhos de Administração não conhecem a Maturidade dos Controles de Segurança da Informação, Cibersegurança e Proteção da Privacidade das suas organizações. Neste texto chamaremos de maneira simplificada Maturidade da Segurança da Informação.
É uma situação de não conformidade com as responsabilidades dos CEOs e Conselhos de Administração. Por uma razão simples: Segurança da Informação tem por objetivo possibilitar que a organização alcance seus objetivos corporativos, no que depende da informação. E convenhamos, tudo depende da informação. Se a organização tem o objetivo de vender seus produtos ou serviços, um ataque bem-sucedido de sequestro (criptografia criminosa) de dados impede o funcionamento de lojas físicas e ambiente de comercio eletrônico. Estar em conformidade com a legislação pode não acontecer em função de um vazamento de dados pessoais, por uma má gestão de controles de acesso lógico.
Simplificando: se o CEO (você?) ou o Conselho de Administração não conhecem a Maturidade de Segurança da Informação, entendo que estão sendo profissionais negligentes em relação à Governança e Gestão. E por favor, não digam que as Áreas de Tecnologia e Gestão de Segurança da Informação conhecem a situação. Elas devem conhecer, podem e devem executar a Avaliação de Maturidade e recomendar ações, mas a decisão de validar as prioridades sugeridas que inclusive vão exigir recursos financeiros, é do CEO e/ou Conselho de Administração.
Essa é uma das maneiras de garantirmos alinhamento da Governança Corporativa com a Governança da Segurança da Informação.
Uma avaliação de maturidade deve ter definido o seu escopo e os referenciais regulatórios que serão tomados como base. Inicialmente devemos considerar as Normas ISO/IEC da Família 27.000, outros referencias como o NIST (USA), legislação aplicável, tipo LGPD/Brasil, padrões de mercado como o PCI para empresas que tratam de cartões e os regulamentos setoriais como BACEN, ANS ou SUSEP.
Outra referência a ser definida antes da avaliação é o critério para a Maturidade. Podemos tomar como base o CMMI (Capability Maturity Model Integration) e podemos definir:
Nível de Maturidade 0 (Zero): Inexistente
– Não existe o controle.
– Está em planejamento.
Nível de Maturidade 1: Inicial
– Ad-hoc, informal, sem confiabilidade.
– Em planejamento, sem implementação.
– Não possuem práticas definidas.
Nível de Maturidade 2: Básico
– Existem alguns templates ou checklist.
– São processos normalmente reativos.
– Qualidade do controle fraca, considerando os padrões de referência.
Nível de Maturidade 3: Definido
– Formalmente documentados, os processos são consistentes.
– Os processos já possuem uma melhor definição e proatividade.
– Os processos pertencem à empresa. Não depende de colaborador específico.
Nível de Maturidade 4: Gerenciado
– Formal, integrado com métricas, mesmo que iniciais.
– Medido e controlado.
– Controle de Segurança aplicado de maneira proativa.
Nível de Maturidade 5: Otimizado
– Maduro e automatizado total ou parcial.
– Tem foco na melhoria contínua do desempenho de processo
– Controle de Segurança Excelente. “Melhor da Classe.”
Para priorizar as ações é importante a elaboração de uma Matriz de Riscos, considerando o Impacto Negativo de Controles Frágeis e a Probabilidade desta Vulnerabilidade ser explorada por criminosos, acontecer por erros ou outro motivo.
Porém, apesar do tema ser Maturidade da Segurança da Informação, o mais importante é um dos produtos: o Plano de Ação. Nesta priorização de atividades a organização (CEO ou Conselho de Administração) receberá uma recomendação profissional por onde (re) começar ou aprimorar os Controles de Segurança da Informação.
Exemplo de um Plano de Ação:
Na minha experiência quando o Corpo Diretivo recebe esta orientação, não ficam parados. Perguntam: Quanto custa a implementação e quanto tempo leva? E decide qual será o ritmo da implementação proposta.
Normalmente a grande maioria dos controles a serem implementados ou aprimorados são de baixo custo: procedimentos, regras e responsabilização.
Quem quer implementar, implementa. E ainda torna uma situação de segurança da informação como um diferencial competitivo e uma carta de referência para os negócios da organização.
O CEO da empresa que você trabalha conhece a Maturidade de Segurança da Informação, Cibersegurança e Proteção da Privacidade da organização?
Grande abraço.
Edison Fontes, CISM, CISA, CRISC, Ms.
Expert CyberSecurity Consultant – NTT DATA Europe & LATAM
Autor do Livro Segurança da Informação: Gestão e Governança. Conformidade com a LGPD.
edison@pobox.com.br
