A segurança da informação deve se concentrar na proteção de ativos, conformidade ou governança corporativa?

Tradicionalmente, a segurança da informação tem sido percebida como uma atividade que foi construída em torno da proteção de ativos de informações sensíveis – afinal, era isso que a primeira revisão (2005) da ISO 27001, e sua predecessora BS 7799-2, também enfatizavam. Essas normas exigiam que as empresas identificassem todos os ativos e, em seguida, construíssem as salvaguardas (ou seja, a defesas) em torno desses ativos.

Mas, na última década, surgiram outras formas de olhar para a segurança da informação: sendo a segurança principalmente um trabalho de conformidade e que a segurança faz parte de um controle interno, isto é, parte da governança corporativa. (Nota: este post do blog adaptou o modelo apresentado no artigo Information assurance: Strategic alignment and competitive advantage.)

Assim, qual destas três abordagens é a melhor de se usar?

Segurança da informação como uma abordagem de proteção de ativos de informação / Segurança da TI

Esta abordagem tradicional de proteger os ativos veio da filosofia que existe na segurança física há milhares de anos – você tem um ativo físico e, em seguida, constrói um perímetro de segurança à sua volta. (Veja também: Segurança Física na ISO 27001: Como proteger as áreas seguras.)

Essa abordagem tradicional foi assumida principalmente por departamentos de TI que desenvolveram a tecnologia de segurança de TI – por exemplo, firewalls, proteção antivírus, sistemas de detecção de intrusos, etc. – em torno dos ativos que eles queriam proteger. (Veja também: Segurança da informação ou segurança de TI?)

E essa abordagem funcionou bem para a segurança física; no entanto, o problema é que agora com serviços em nuvem, dispositivos móveis, insiders, backdoors, hackers, etc. – está se tornando realmente difícil definir o perímetro de segurança em torno de ativos de informações e depois construir os controles em torno deles; Obviamente, algo mais é necessário.

Segurança da informação como um trabalho de conformidade

Uma vez que a proteção de informações confidenciais corporativas e / ou privadas está se tornando uma questão muito importante, os governos – assim como os clientes – estão adotando uma abordagem mais proativa e definindo vários requisitos de segurança da informação por meio de leis, regulamentos e contratos. (Veja também: Como identificar os requisitos de partes interessadas do SGSI na ISO 27001.)

E então, as empresas estão começando a se concentrar em cumprir todos esses requisitos – na maioria dos casos, isso é feito através da escrita de várias políticas e procedimentos, mas este tipo de abordagem “marcar o item ao escrever a documentação” não resolve a principal situação – como diminuir o número de incidentes de segurança ao tornar os processos nas empresas mais seguros.

Segurança da informação como parte do controle interno / governança corporativa

Esta abordagem é mais típica para as grandes organizações que querem saber exatamente quem é responsável pelo que, quais relatórios são enviados para quem, quem tem que tomar quais decisões, etc. Estes tipos de organizações basicamente querem reduzir o risco de algo dar errado, embora muitas vezes elas não tenham um processo formal de gestão de risco.

Esta abordagem se encaixa muito bem com a abordagem de conformidade; no entanto, existem muitas empresas a tomar que assumem esta abordagem sem o “empurrão” da conformidade. A desvantagem desta abordagem é que a comunicação geralmente é de sentido único – a partir da sede da empresa para cada departamento – desta forma, é muito difícil de explicar para a alta gerência os problemas reais que são enfrentados nas operações do dia-a-dia quando se trata de ameaças, vulnerabilidades ou dificuldades de adoção de novas regras corporativas.

Uma abordagem combinada

Agora, a questão é: qual dessas três abordagens deve ser a sua guia? Se você olhar para a revisão 2013 da ISO 27001, então a resposta é: nenhuma. Ou, para ser mais preciso, a ISO 27001: 2013 exige que você misture todas essas abordagens em um único sistema de gerenciamento baseado na abordagem de risco. (Veja também: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.)

A ISO 27001:2013 requer que você realize a avaliação e tratamento dos riscos, e escolha os controles mais apropriados para sua informação; ela também requer que você identifique todos os requisitos legais e regulatórios, e os requisitos de seus parceiros e clientes, para, em seguida, cumprir com os mesmos; finalmente, a ISO 27001: 2013 exige que você configure um sistema de gerenciamento com funções e responsabilidades claramente definidas, medição, relatórios e funções de auditoria interna.

Então, qual é o ponto aqui? Não se deixe enganar ao ver uma dessas abordagens como sua principal filosofia de segurança da informação – o que seria um erro, porque você não seria capaz de proteger suas informações corretamente.

Clique aqui para fazer o download gratuito do artigo:  Integration of Information Security, IT and Corporate Governance para aprender mais sobre como integrar a segurança da informação com outras funções da organização.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001