Primeiramente, tido como um dos pilares da Gestão da Segurança, a Gestão de Risco é composta por atividades envolvendo identificação, avaliação e prevenção de riscos e ameaças tanto para os ativos de informação de determinada organização quanto para seus sistemas, tão essenciais às operações. Além disso, o bom nível dessa gestão prevê certificações profissionais tais como CISSP, CRISC e CISM, que apresentam conteúdos teóricos, e os padrões atuais, NIST e ISO, que fomentam a existência da Gestão de Risco.
Gestão de Segurança
Avaliar um risco é peça-chave na construção de uma estratégia eficiente. Haverá dificuldade desnecessária no enfrentamento às ameaças, caso não haja a identificação de urgências, gravidades e possíveis riscos à integridade da empresa. Sendo assim, a avaliação de risco é o item principal dessa Gestão e, só a partir de então, pode-se realizar a abordagem do que representa perigo.
Nesse sentido, selecionar a metodologia mais adequada à especificidade da organização fará diferença no tipo de resposta dedicada ao problema. Aliás, optar por uma abordagem quantitativa indicará que a organização deverá valorar precisamente cada um de seus ativos de informação. Mas, como tal ação se revela um penoso desafio, muitas organizações optam pela abordagem qualitativa. Ela propõe uma escala que vai de "muito valioso" até "valioso a ninguém”.
O NIST, com a publicação SP 800 - 30, Revisão 1, iniciou a promoção da Estrutura de Gestão de Risco (RMF - Risk Management Framework) como sendo a metodologia mais adequada. Em sua publicação de 2018 (Risk Management Framework for Information Systems and Organizations), o NIST indicou sete etapas para a Estrutura de Gestão de Risco. Sendo uma delas, inteiramente dedicada à preparação organizacional, a fim de que esteja adequada à execução dos procedimentos seguintes.
Por sua vez, a Organização Internacional de Normalização (ISO) possui dois padrões relacionados à gestão de riscos. O padrão 31000 é mais voltado para a avaliação geral dos negócios e sua estrutura inclui: integrar, projetar, implementar, avaliar e melhorar o gerenciamento de risco por toda a organização. O 27005, que é uma versão adaptada do padrão 31000, configura a Gestão de Risco especificamente à Segurança da Informação. Além disso, ele prevê uma implementação mais facilitada por definir quais decisões e esforços valerão os riscos que manifestam, ou se outra iteração será necessária.
Chave em uma tela
Solicite o contato de um de nossos especialistas e entenda melhor como a gestão de segurança combinada ao programa de conscientização são a chave para mitigar riscos.
Minimizando risco do fator humano
Dentro de uma organização, todas as atividades e funções carregam sua importância no que tange ao pleno funcionamento estrutural e seu bom desempenho frente ao mercado. Da mesma forma que uma tarefa depende de outra, a Gestão da Segurança e a efetividade de sua proposta se baseiam no bom rendimento de uma série de fatores operando de forma combinada e complementar. Conscientizar acerca da importância da segurança significa ultrapassar a execução de workshops ou treinamentos pontuais, feitos apenas para cumprir tabela.
Tal qual as atividades e os setores organizacionais, só fazem sentido em um contexto integrado e bem orquestrado. Sendo assim, a conscientização só será plenamente efetiva se combinada ao contexto geral de gerenciamento da segurança. Não são apenas treinamentos ou mudanças na cultura das empresas os responsáveis por assegurar a segurança da informação. A consideração e identificação das interações entre as gestões de risco e de segurança e a conscientização reforçam tanto a noção sobre a interconectividade que perpassa toda a estrutura da empresa, quanto a importância de serem adotados e praticados comportamentos criteriosos e cautelosos. Assim, compondo de forma harmoniosa o contexto envolvendo a Gestão de Segurança.
Além de estar em conformidade com as diretrizes da missão e filosofia da segurança que integra o modelo de negócio da organização, a conscientização precisa se alinhar às metas de negócios e estar adaptada à realidade de cada setor e usuário para não só ser mais bem assimilada, como também mais eficiente. As melhores práticas da ISO / IEC 27002:2005 centram-se nas fases de planejamento e execução, posicionando a conscientização em diversos pontos de controle.
Pontos de Controle
-
Política de segurança;
-
Organização de segurança da informação;
-
Gestão de recursos humanos;
-
Gerenciamento de incidentes de segurança da informação;
-
Gestão de continuidade de negócios;
-
Comunicações e gerenciamento de operações;
-
Conformidade.
Um programa de conscientização realmente transformador, incorporado ao modelo de negócio e baseando o comportamento de todos os usuários, incluindo gerentes, deve ser abrangente e se fazer presente e relevante ao longo de todos os procedimentos da gestão. Tomando como exemplo a interconectividade das redes e sua constituição tão diversa, também podemos dizer que a conscientização é indispensável ao contexto geral do gerenciamento da segurança. Isso porque, implica em esforços conjuntos e compartilhados para o estabelecimento de bases sólidas, com crescente nível de consciência e proteção.
Conclusão
A mitigação de riscos jamais será satisfatória se, antes, os esforços não envolverem a combinação e integração entre Gestão de Segurança e programas de conscientização. O gerenciamento dos riscos estarão em melhor cenário se todo o quadro de usuários estiver a par das práticas mais seguras. Além de estarem conscientes sobre a responsabilidade de seus atos e as implicações de suas atitudes para toda a organização. Os processos ao longo da cadeia produtiva, não estão isolados uns dos outros. Tanto quanto a conscientização está interconectada, tanto com a capacidade de as empresas mitigarem seus riscos, quanto com a eficiência das gestões que visam combatê-los.
Para saber mais sobre segurança da informação, venha conferir o blog da Eskive. Além disso, você ainda ganha uma dica nova toda semana.
