• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Alinhando a segurança da informação com o direcionamento estratégico de uma organização de acordo com a ISO 27001

    Há um requisito da ISO 27001 que é muito raramente mencionado, ainda que seja provavelmente crucial para a “sobrevivência” de longo prazo de um Sistema de Gestão de Segurança da Informação SGSI) em uma organização: este é o requisito da cláusula 5.1 que diz que a alta direção precisa assegurar que a política de segurança da informação e os objetivos de segurança da informação são “compatíveis com o direcionamento estratégico da organização.”

    Primeiro de tudo, o que significa direcionamento estratégico?

    Estratégia da organização e direcionamento estratégico

    Existem muitas definições de estratégia de negócio, e parece que a definição de Michael Porter é uma das mais populares – ele definiu estratégia como uma “fórmula ampla para como um negócio irá competir, quais deveriam ser suas metas, e quais políticas serão necessárias para atingir estas metas”.

    Para o termo direcionamento estratégico, não existem gurus que tenham definido o que ele significaria, mas muitas das fontes dizem que direcionamento estratégico significa especificar objetivos, desenvolver políticas e planos para atingir estes objetivos, e prover recursos para este atingimento. Algumas fontes simplesmente dizem que direcionamento estratégico é sobre definir a visão, estratégia e táticas da organização, dizendo que a visão define a meta geral a ser atingida, a estratégia define como isto é feito e as táticas são atividades concretas que precisam ser realizadas.

    Assim, como a segurança da informação pode ajudar a organização e competir, apoiar seus planos para atingir objetivos estratégicos, e prover recursos para alcançar suas estratégias de negócio?

    No meu ponto de vista, isto pode ser alcançado como iniciativas que vão em duas direções: dos profissionais de segurança da informação em direção a alta administração, e da alta administração em direção aos profissionais de segurança da informação.

    Definindo os benefícios da segurança da informação

    Como mencionei em meu artigo: Quatro benefícios fundamentais da implementação da ISO 27001, profissionais de segurança da informação deveriam encontrar uma razão do porquê a alta direção deveria se importar com o seu SGSI – e para atingir isto eles têm que focar nos benefícios de negócio, porque estes benefícios são os que podem ser tornar atrativos o bastante para a alta direção de forma que ela possa dar prioridade suficiente para as atividades para as atividades de segurança da informação.

    No artigo mencionado eu listei quatro benefícios potenciais: conformidade com a legislação e obrigações contratuais, vantagem de mercado, redução de custos e melhor organização interna.

    Após você selecionar os benefícios de negócio mais apropriados para sua organização, você deve apresenta-los para a alta direção – aqui está um artigo que o ajudará a fazer isso: 4 técnicas cruciais para convencer sua alta direção sobre a implementação da ISO 27001 .

    Tomando decisões estratégicas sobre segurança da informação

    Uma vez que a alta direção comece a perceber a importância da segurança da informação para sua organização, o que é que eles têm que fazer?

    De acordo com o artigo Mastering the art of corroboration: A conceptual analysis of information assurance and corporate strategy alignment (publicado em 2007, mas ainda muito relevante), a alta direção precisa tomar algumas decisões cruciais sobre como encaixar a segurança da informação dentro da organização; i.e., ela precisa decidir entre as seguintes trocas:

    • Necessidade por criatividade versus o uso de controles procedurais de garantia da informação
    • Necessidade de confiança entre empregados versus controle de cima para baixo
    • Facilidade de fazer negócio para stakeholders versus uma maior exposição a ameaças
    • Insourcing versus outsourcing
    • Reputação da organização versus lucros

    Adicionalmente, de acordo com a pesquisa conduzida em 2013 pela McKinsey and World Economic Forum em ciber segurança (os resultados estão publicados neste artigo: Why senior leaders are the front line against cyberattacks), em organizações que estão entre as mais bem sucedidas em segurança da informação, os gerentes sêniores estão fazendo o seguinte:

    • Se engajando ativamente na tomada de decisões estratégicas
    • Direcionando as considerações das implicações de ciber segurança através das funções de negócio
    • Empurrando mudanças no comportamento dos usuários
    • Assegurando que governança eficaz e reporte estejam implementados

    A própria ISO 27001 requer que algumas atividades sejam feitas diretamente pela alta direção – você pode vê-las neste artigo: Papéis e responsabilidades da alta direção na ISO 27001 e ISO 22301. Adicionalmente, a alta direção precisará aprovar o orçamento para a implementação e manutenção da segurança da informação, e aprovar os riscos residuais (eles geralmente proveem esta aprovação em nome dos donos de riscos).

    O ciclo virtuoso

    Claro, não estou sugerindo estas duas iniciativas deveriam ser feitas separadamente – ao invés disso, isto deveria ser parte de um ciclo: profissionais de segurança da informação sugerem a alta direção alguns benefícios de negócio; quando eles perceberem o potencial, eles terão mais interesse e começarão a tomar decisões cruciais; isto por sua vez irá criar novas ideias de benefícios de segurança da informação, e o ciclo irá se repetir.

    Por exemplo, a alta direção de uma empresa de varejo decide que precisa aumentar sua participação de Mercado na Internet através de sua loja virtual, assim o CISO da empresa sugere que a certificação ISO 27001 poderia ajudar com a redução do risco potencial de ataques de hacking e também ao aumentar a confiança de compradores em potencial; ao iniciar a implementação do SGSI, a alta direção precisa decidir sobre quais riscos são aceitáveis e quanto eles tem que apertar seus processos existentes para que eles sejam mais seguros. Durante este processo, o CISO descobre novas formas de melhorar estes processos e diminuir os custos de operação.

    Para documentar tudo isto de acordo com a ISO 27001, estas iniciativas precisam estar refletidas na política de segurança da informação e nos objetivos de segurança – para usar o mesmo exemplo, esta empresa de varejo define os objetivos gerais de segurança relacionados ao número de incidente de segurança para sua loja virtual, e também a percepção de segurança de seus compradores (eles podem obter esta informação através de pesquisas). A política de segurança da informação deles deveria refletir o fato de que a Internet como um canal se tornará mais e mais importante para os seus negócios em geral, e que todos os outros processos na empresa terão que se tornar mais orientados em direção a vendas na Internet, mas também para se tornarem mais seguros.

    Assim, a segurança da informação se torna uma parte importante da tomada de decisão estratégica, e consequentemente, uma parte das operações diárias de todos os empregados na empresa. Qual sua opinião – isto é muito difícil de atingir?

    Clique aqui para fazer o download deste artigo gratuito:  Integration of Information Security, IT and Corporate Governance para aprender como integrar a segurança cibernética com outras funções da empresa.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001