DESCONTO BLACK FRIDAY
Ganhe 30% de desconto em kits de documentos, exames de cursos e livros.
Oferta por tempo limitado – termina em 28 de novembro de 2022
Use o código promocional:
30OFFBLACK
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Onde a segurança da informação se encaixa em uma organização?

    Frequentemente, ouço discussões controversas sobre se a segurança da informação é parte da TI, ou se ela deveria estar separada dela, parte de algum departamento de conformidade ou de riscos, etc.

    Mas, antes de determinarmos quem deveria estar lidando com a segurança da informação e a partir de qual unidade organizacional, vejamos primeiro o ponto de vista conceitual – onde a segurança da informação se encaixa em uma organização?

    Geralmente, a segurança da informação e parte da gestão geral de riscos em uma organização, com áreas que se sobrepõem com a segurança cibernética, gestão da continuidade do negócio, e gestão da TI, como mostrado abaixo.

    information_security_inside_organization_pt

    Figura: Relação entre segurança da informação, gestão de riscos, continuidade de negócio, TI, e segurança cibernética

    Segurança cibernética é basicamente um subconjunto da segurança da informação porque ela foca na proteção da informação no formato digital, enquanto a segurança da informação é um conceito ligeiramente maior porque ela protege a informação em qualquer mídia.

    A sobre posição com a continuidade de negócio existe porque seu propósito é, entre outras coisas, permitir a disponibilidade da informação, que também é um dos papéis chave da segurança da informação. Veja também este artigo: Como usar a ISO 22301 para implementar a continuidade de negócio na ISO 27001.

    Naturalmente, a tecnologia da informação tem um papel extremamente importante na segurança da informação; assim, consequentemente, também existe uma área de sobreposição; a tecnologia da informação não é apenas sobre segurança, então é por isso que boa parte da TI não está relacionada a segurança.

    Por que gestão de riscos?

    Mas, a coisa mais importante é que a segurança da informação, a segurança cibernética, e a continuidade de negócio têm o mesmo objetivo: reduzir os riscos para as operações do negócio. Você pode não chamar de gestão de riscos no dia a dia do seu trabalho, mas basicamente isto é o que a segurança da informação faz – avalia quais potenciais problemas podem ocorrer, e estão aplica várias salvaguardas ou controles para reduzir estes riscos.

    Alguns setores possuem a segurança da informação formalmente reconhecida como parte da gestão de riscos – ex.: no mundo bancário, a segurança da informação frequentemente pertence a gestão dos riscos operacionais. Meu palpite é que no futuro veremos mais e mais profissionais de segurança da informação trabalhando na parte de gestão de riscos de suas organizações, e a segurança da informação tenderá a se fundir com a continuidade de negócio.

    Veja também este artigo: Chief Information Security Officer (CISO) – where does he belong in an org chart?

    Segurança é mais do que TI

    Assim, o ponto é: pensar em segurança da informação apenas em termos de TI é errado – esta é uma forma de estreitar a segurança apenas para assuntos de tecnologia, o que não resolverá a principal fonte de incidentes: o comportamento das pessoas.

    Se você quer que sua segurança da informação seja eficaz, você deve permitir a ela acessar tanto as partes de TI quanto a de negócio da organização – e para que isto tenha sucesso, você precisará de ao menos duas coisas: mudar a percepção sobre segurança, e prover uma posição organizacional apropriada para as pessoas lidando com a segurança.

    Estre artigo é uma amostra do livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnClique aqui  o que está incluído no livro…

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: