• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Onde a segurança da informação se encaixa em uma organização?

    Frequentemente, ouço discussões controversas sobre se a segurança da informação é parte da TI, ou se ela deveria estar separada dela, parte de algum departamento de conformidade ou de riscos, etc.

    Mas, antes de determinarmos quem deveria estar lidando com a segurança da informação e a partir de qual unidade organizacional, vejamos primeiro o ponto de vista conceitual – onde a segurança da informação se encaixa em uma organização?

    Geralmente, a segurança da informação e parte da gestão geral de riscos em uma organização, com áreas que se sobrepõem com a segurança cibernética, gestão da continuidade do negócio, e gestão da TI, como mostrado abaixo.

    information_security_inside_organization_pt

    Figura: Relação entre segurança da informação, gestão de riscos, continuidade de negócio, TI, e segurança cibernética

    Segurança cibernética é basicamente um subconjunto da segurança da informação porque ela foca na proteção da informação no formato digital, enquanto a segurança da informação é um conceito ligeiramente maior porque ela protege a informação em qualquer mídia.

    A sobre posição com a continuidade de negócio existe porque seu propósito é, entre outras coisas, permitir a disponibilidade da informação, que também é um dos papéis chave da segurança da informação. Veja também este artigo: Como usar a ISO 22301 para implementar a continuidade de negócio na ISO 27001.

    Naturalmente, a tecnologia da informação tem um papel extremamente importante na segurança da informação; assim, consequentemente, também existe uma área de sobreposição; a tecnologia da informação não é apenas sobre segurança, então é por isso que boa parte da TI não está relacionada a segurança.

    Por que gestão de riscos?

    Mas, a coisa mais importante é que a segurança da informação, a segurança cibernética, e a continuidade de negócio têm o mesmo objetivo: reduzir os riscos para as operações do negócio. Você pode não chamar de gestão de riscos no dia a dia do seu trabalho, mas basicamente isto é o que a segurança da informação faz – avalia quais potenciais problemas podem ocorrer, e estão aplica várias salvaguardas ou controles para reduzir estes riscos.

    Alguns setores possuem a segurança da informação formalmente reconhecida como parte da gestão de riscos – ex.: no mundo bancário, a segurança da informação frequentemente pertence a gestão dos riscos operacionais. Meu palpite é que no futuro veremos mais e mais profissionais de segurança da informação trabalhando na parte de gestão de riscos de suas organizações, e a segurança da informação tenderá a se fundir com a continuidade de negócio.

    Veja também este artigo: Chief Information Security Officer (CISO) – where does he belong in an org chart?

    Segurança é mais do que TI

    Assim, o ponto é: pensar em segurança da informação apenas em termos de TI é errado – esta é uma forma de estreitar a segurança apenas para assuntos de tecnologia, o que não resolverá a principal fonte de incidentes: o comportamento das pessoas.

    Se você quer que sua segurança da informação seja eficaz, você deve permitir a ela acessar tanto as partes de TI quanto a de negócio da organização – e para que isto tenha sucesso, você precisará de ao menos duas coisas: mudar a percepção sobre segurança, e prover uma posição organizacional apropriada para as pessoas lidando com a segurança.

    Estre artigo é uma amostra do livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnClique aqui  o que está incluído no livro…

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.