• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Alinhando a segurança da informação com o direcionamento estratégico de uma organização de acordo com a ISO 27001

    Há um requisito da ISO 27001 que é muito raramente mencionado, ainda que seja provavelmente crucial para a “sobrevivência” de longo prazo de um Sistema de Gestão de Segurança da Informação SGSI) em uma organização: este é o requisito da cláusula 5.1 que diz que a alta direção precisa assegurar que a política de segurança da informação e os objetivos de segurança da informação são “compatíveis com o direcionamento estratégico da organização.”

    Primeiro de tudo, o que significa direcionamento estratégico?

    Estratégia da organização e direcionamento estratégico

    Existem muitas definições de estratégia de negócio, e parece que a definição de Michael Porter é uma das mais populares – ele definiu estratégia como uma “fórmula ampla para como um negócio irá competir, quais deveriam ser suas metas, e quais políticas serão necessárias para atingir estas metas”.

    Para o termo direcionamento estratégico, não existem gurus que tenham definido o que ele significaria, mas muitas das fontes dizem que direcionamento estratégico significa especificar objetivos, desenvolver políticas e planos para atingir estes objetivos, e prover recursos para este atingimento. Algumas fontes simplesmente dizem que direcionamento estratégico é sobre definir a visão, estratégia e táticas da organização, dizendo que a visão define a meta geral a ser atingida, a estratégia define como isto é feito e as táticas são atividades concretas que precisam ser realizadas.

    Assim, como a segurança da informação pode ajudar a organização e competir, apoiar seus planos para atingir objetivos estratégicos, e prover recursos para alcançar suas estratégias de negócio?

    No meu ponto de vista, isto pode ser alcançado como iniciativas que vão em duas direções: dos profissionais de segurança da informação em direção a alta administração, e da alta administração em direção aos profissionais de segurança da informação.

    Definindo os benefícios da segurança da informação

    Como mencionei em meu artigo: Quatro benefícios fundamentais da implementação da ISO 27001, profissionais de segurança da informação deveriam encontrar uma razão do porquê a alta direção deveria se importar com o seu SGSI – e para atingir isto eles têm que focar nos benefícios de negócio, porque estes benefícios são os que podem ser tornar atrativos o bastante para a alta direção de forma que ela possa dar prioridade suficiente para as atividades para as atividades de segurança da informação.

    No artigo mencionado eu listei quatro benefícios potenciais: conformidade com a legislação e obrigações contratuais, vantagem de mercado, redução de custos e melhor organização interna.

    Após você selecionar os benefícios de negócio mais apropriados para sua organização, você deve apresenta-los para a alta direção – aqui está um artigo que o ajudará a fazer isso: 4 técnicas cruciais para convencer sua alta direção sobre a implementação da ISO 27001 .

    Tomando decisões estratégicas sobre segurança da informação

    Uma vez que a alta direção comece a perceber a importância da segurança da informação para sua organização, o que é que eles têm que fazer?

    De acordo com o artigo Mastering the art of corroboration: A conceptual analysis of information assurance and corporate strategy alignment (publicado em 2007, mas ainda muito relevante), a alta direção precisa tomar algumas decisões cruciais sobre como encaixar a segurança da informação dentro da organização; i.e., ela precisa decidir entre as seguintes trocas:

    • Necessidade por criatividade versus o uso de controles procedurais de garantia da informação
    • Necessidade de confiança entre empregados versus controle de cima para baixo
    • Facilidade de fazer negócio para stakeholders versus uma maior exposição a ameaças
    • Insourcing versus outsourcing
    • Reputação da organização versus lucros

    Adicionalmente, de acordo com a pesquisa conduzida em 2013 pela McKinsey and World Economic Forum em ciber segurança (os resultados estão publicados neste artigo: Why senior leaders are the front line against cyberattacks), em organizações que estão entre as mais bem sucedidas em segurança da informação, os gerentes sêniores estão fazendo o seguinte:

    • Se engajando ativamente na tomada de decisões estratégicas
    • Direcionando as considerações das implicações de ciber segurança através das funções de negócio
    • Empurrando mudanças no comportamento dos usuários
    • Assegurando que governança eficaz e reporte estejam implementados

    A própria ISO 27001 requer que algumas atividades sejam feitas diretamente pela alta direção – você pode vê-las neste artigo: Papéis e responsabilidades da alta direção na ISO 27001 e ISO 22301. Adicionalmente, a alta direção precisará aprovar o orçamento para a implementação e manutenção da segurança da informação, e aprovar os riscos residuais (eles geralmente proveem esta aprovação em nome dos donos de riscos).

    O ciclo virtuoso

    Claro, não estou sugerindo estas duas iniciativas deveriam ser feitas separadamente – ao invés disso, isto deveria ser parte de um ciclo: profissionais de segurança da informação sugerem a alta direção alguns benefícios de negócio; quando eles perceberem o potencial, eles terão mais interesse e começarão a tomar decisões cruciais; isto por sua vez irá criar novas ideias de benefícios de segurança da informação, e o ciclo irá se repetir.

    Por exemplo, a alta direção de uma empresa de varejo decide que precisa aumentar sua participação de Mercado na Internet através de sua loja virtual, assim o CISO da empresa sugere que a certificação ISO 27001 poderia ajudar com a redução do risco potencial de ataques de hacking e também ao aumentar a confiança de compradores em potencial; ao iniciar a implementação do SGSI, a alta direção precisa decidir sobre quais riscos são aceitáveis e quanto eles tem que apertar seus processos existentes para que eles sejam mais seguros. Durante este processo, o CISO descobre novas formas de melhorar estes processos e diminuir os custos de operação.

    Para documentar tudo isto de acordo com a ISO 27001, estas iniciativas precisam estar refletidas na política de segurança da informação e nos objetivos de segurança – para usar o mesmo exemplo, esta empresa de varejo define os objetivos gerais de segurança relacionados ao número de incidente de segurança para sua loja virtual, e também a percepção de segurança de seus compradores (eles podem obter esta informação através de pesquisas). A política de segurança da informação deles deveria refletir o fato de que a Internet como um canal se tornará mais e mais importante para os seus negócios em geral, e que todos os outros processos na empresa terão que se tornar mais orientados em direção a vendas na Internet, mas também para se tornarem mais seguros.

    Assim, a segurança da informação se torna uma parte importante da tomada de decisão estratégica, e consequentemente, uma parte das operações diárias de todos os empregados na empresa. Qual sua opinião – isto é muito difícil de atingir?

    Clique aqui para fazer o download deste artigo gratuito:  Integration of Information Security, IT and Corporate Governance para aprender como integrar a segurança cibernética com outras funções da empresa.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan:
    Tag: #ISO 27001