Há um requisito da ISO 27001 que é muito raramente mencionado, ainda que seja provavelmente crucial para a “sobrevivência” de longo prazo de um Sistema de Gestão de Segurança da Informação SGSI) em uma organização: este é o requisito da cláusula 5.1 que diz que a alta direção precisa assegurar que a política de segurança da informação e os objetivos de segurança da informação são “compatíveis com o direcionamento estratégico da organização.”
Primeiro de tudo, o que significa direcionamento estratégico?
Estratégia da organização e direcionamento estratégico
Existem muitas definições de estratégia de negócio, e parece que a definição de Michael Porter é uma das mais populares – ele definiu estratégia como uma “fórmula ampla para como um negócio irá competir, quais deveriam ser suas metas, e quais políticas serão necessárias para atingir estas metas”.
Para o termo direcionamento estratégico, não existem gurus que tenham definido o que ele significaria, mas muitas das fontes dizem que direcionamento estratégico significa especificar objetivos, desenvolver políticas e planos para atingir estes objetivos, e prover recursos para este atingimento. Algumas fontes simplesmente dizem que direcionamento estratégico é sobre definir a visão, estratégia e táticas da organização, dizendo que a visão define a meta geral a ser atingida, a estratégia define como isto é feito e as táticas são atividades concretas que precisam ser realizadas.
Assim, como a segurança da informação pode ajudar a organização e competir, apoiar seus planos para atingir objetivos estratégicos, e prover recursos para alcançar suas estratégias de negócio?
No meu ponto de vista, isto pode ser alcançado como iniciativas que vão em duas direções: dos profissionais de segurança da informação em direção a alta administração, e da alta administração em direção aos profissionais de segurança da informação.
Definindo os benefícios da segurança da informação
Como mencionei em meu artigo: Quatro benefícios fundamentais da implementação da ISO 27001, profissionais de segurança da informação deveriam encontrar uma razão do porquê a alta direção deveria se importar com o seu SGSI – e para atingir isto eles têm que focar nos benefícios de negócio, porque estes benefícios são os que podem ser tornar atrativos o bastante para a alta direção de forma que ela possa dar prioridade suficiente para as atividades para as atividades de segurança da informação.
No artigo mencionado eu listei quatro benefícios potenciais: conformidade com a legislação e obrigações contratuais, vantagem de mercado, redução de custos e melhor organização interna.
Após você selecionar os benefícios de negócio mais apropriados para sua organização, você deve apresenta-los para a alta direção – aqui está um artigo que o ajudará a fazer isso: 4 técnicas cruciais para convencer sua alta direção sobre a implementação da ISO 27001 .
Tomando decisões estratégicas sobre segurança da informação
Uma vez que a alta direção comece a perceber a importância da segurança da informação para sua organização, o que é que eles têm que fazer?
De acordo com o artigo Mastering the art of corroboration: A conceptual analysis of information assurance and corporate strategy alignment (publicado em 2007, mas ainda muito relevante), a alta direção precisa tomar algumas decisões cruciais sobre como encaixar a segurança da informação dentro da organização; i.e., ela precisa decidir entre as seguintes trocas:
- Necessidade por criatividade versus o uso de controles procedurais de garantia da informação
- Necessidade de confiança entre empregados versus controle de cima para baixo
- Facilidade de fazer negócio para stakeholders versus uma maior exposição a ameaças
- Insourcing versus outsourcing
- Reputação da organização versus lucros
Adicionalmente, de acordo com a pesquisa conduzida em 2013 pela McKinsey and World Economic Forum em ciber segurança (os resultados estão publicados neste artigo: Why senior leaders are the front line against cyberattacks), em organizações que estão entre as mais bem sucedidas em segurança da informação, os gerentes sêniores estão fazendo o seguinte:
- Se engajando ativamente na tomada de decisões estratégicas
- Direcionando as considerações das implicações de ciber segurança através das funções de negócio
- Empurrando mudanças no comportamento dos usuários
- Assegurando que governança eficaz e reporte estejam implementados
A própria ISO 27001 requer que algumas atividades sejam feitas diretamente pela alta direção – você pode vê-las neste artigo: Papéis e responsabilidades da alta direção na ISO 27001 e ISO 22301. Adicionalmente, a alta direção precisará aprovar o orçamento para a implementação e manutenção da segurança da informação, e aprovar os riscos residuais (eles geralmente proveem esta aprovação em nome dos donos de riscos).
O ciclo virtuoso
Claro, não estou sugerindo estas duas iniciativas deveriam ser feitas separadamente – ao invés disso, isto deveria ser parte de um ciclo: profissionais de segurança da informação sugerem a alta direção alguns benefícios de negócio; quando eles perceberem o potencial, eles terão mais interesse e começarão a tomar decisões cruciais; isto por sua vez irá criar novas ideias de benefícios de segurança da informação, e o ciclo irá se repetir.
Por exemplo, a alta direção de uma empresa de varejo decide que precisa aumentar sua participação de Mercado na Internet através de sua loja virtual, assim o CISO da empresa sugere que a certificação ISO 27001 poderia ajudar com a redução do risco potencial de ataques de hacking e também ao aumentar a confiança de compradores em potencial; ao iniciar a implementação do SGSI, a alta direção precisa decidir sobre quais riscos são aceitáveis e quanto eles tem que apertar seus processos existentes para que eles sejam mais seguros. Durante este processo, o CISO descobre novas formas de melhorar estes processos e diminuir os custos de operação.
Para documentar tudo isto de acordo com a ISO 27001, estas iniciativas precisam estar refletidas na política de segurança da informação e nos objetivos de segurança – para usar o mesmo exemplo, esta empresa de varejo define os objetivos gerais de segurança relacionados ao número de incidente de segurança para sua loja virtual, e também a percepção de segurança de seus compradores (eles podem obter esta informação através de pesquisas). A política de segurança da informação deles deveria refletir o fato de que a Internet como um canal se tornará mais e mais importante para os seus negócios em geral, e que todos os outros processos na empresa terão que se tornar mais orientados em direção a vendas na Internet, mas também para se tornarem mais seguros.
Assim, a segurança da informação se torna uma parte importante da tomada de decisão estratégica, e consequentemente, uma parte das operações diárias de todos os empregados na empresa. Qual sua opinião – isto é muito difícil de atingir?
Clique aqui para fazer o download deste artigo gratuito: Integration of Information Security, IT and Corporate Governance para aprender como integrar a segurança cibernética com outras funções da empresa.
Nós agradecemos a Rhand Leal pela tradução para o português.