Em uma publicação anterior, abordamos aspectos básicos que podem ser considerados para o desenvolvimento e posterior implementação de um programa de segurança, destacando que os benefícios gerados não poderiam ser obtidos se os projetos que o compõem fossem realizados individualmente.

Além das condições que podem ser essenciais para um programa de segurança, como apoio, estratégia, recursos necessários ou métricas de revisão, este post aborda outros destaques, como objetivos, resultados esperados e importância para uma organização.

Elementos que compõem o programa de segurança

De um modo geral, o programa de segurança da informação compreende os projetos, iniciativas, atividades e recursos utilizados e executados coletivamente para fornecer serviços de segurança à organização. O seu objetivo consiste em pôr em prática o plano elaborado para atingir as metas de proteção dos ativos.

A estratégia de segurança deve definir os resultados esperados e as metas, portanto, uma vez definidos, o passo seguinte consiste em realizar uma análise das brechas de segurança. Nesta atividade é necessário conhecer o estado atual da segurança e a posição que se deseja alcançar com a execução do programa. Uma referência sobre o estado de segurança desejado são geralmente as boas práticas da indústria, incorporadas em normas reconhecidas internacionalmente.

Independentemente das referências, as metas devem ser definidos de acordo com a empresa, as suas necessidades, requisitos de segurança e o que pretende proteger. Também é necessário ter em conta o que se pretende proteger, por isso, outro dos elementos iniciais para a implementação de um programa de segurança são geralmente as avaliações de risco.

Derivado dos resultados da avaliação de riscos, os próximos passos na execução do programa de segurança consistem em estabelecer as medidas necessárias para eliminar as brechas de segurança ou aplicar controles para mitigar os riscos de segurança identificados. Por esta razão, o programa de segurança é o processo pelo qual os sistemas de segurança de uma organização são definidos, planejados, implementados, operados, medidos, monitorados, mantidos e aprimorados.

Devido a fatores internos e externos à organização, o programa deve ser adaptado. Alguns dos elementos que motivam os ajustes podem ser o dinamismo nos riscos, novas tecnologias, priorização de objetivos, atualização das melhores práticas, promulgação de legislações e novos requisitos de segurança, entre outros. Neste contexto, as modificações exigem habilidades, conhecimentos, aptidões, ferramentas, técnicas, processos e recursos, tanto tecnológicos como gerenciais.

Resultados do Programa de Segurança da Informação

O programa de segurança é medido em função do atingimento das metas definidas na estratégia. Portanto, as métricas desempenham um papel importante no conhecimento da adequação e eficácia.

De um modo geral, há elementos que devem ser considerados como objetivos básicos, por exemplo, os enumerados a seguir.

  • Alinhamento estratégico. De forma simples, refere-se ao fato de que cada atividade, iniciativa ou recurso aplicado nos projetos que compõem o programa de segurança contribui para a realização dos objetivos e cumprimento da missão da organização, bem como a visão, ou seja, o que se pretende que ser no futuro. Por esta razão, a implementação de medidas de segurança centra-se nos processos substanciais da empresa - uma boa prática consiste na formação de um comitê de segurança em que participam os proprietários do negócio, responsáveis pela tomada de decisões.
  • Gestão de risco. A gestão consiste na monitorização e tomada de decisões orientadas a atingir os objetivos - em termos de riscos, são feitas escolhas para evitar ameaças latentes e corrigir as vulnerabilidades identificadas. As decisões são tomadas com base na aversão ou propensão ao risco, por isso é necessário estabelecer critérios objetivos para dar um tratamento adequado aos perigos que ameaçam os ativos mais importantes da organização.
  • Fornecimento de valor. Em outras palavras, esse objetivo se traduz em que o programa de segurança deve proporcionar benefícios à organização, inicialmente proporcionando o nível de proteção exigido para cada um dos ativos, principalmente para as informações. Da mesma forma, todos os recursos atribuídos à segurança devem ser aplicados de forma otimizada para apoiar os objetivos empresariais e alcançar o alinhamento.
  • Gestão de recursos. Em relação ao ponto anterior, a execução do programa de segurança requer recursos diferentes, desde os financeiros, até o pessoal com os conhecimentos, habilidades e aptidões, passando pelos recursos tecnológicos e sem deixar o tempo de lado. Portanto, todos os elementos necessários para o cumprimento da estratégia de segurança devem ser aplicados de forma otimizada.
  • Medição de desempenho. Outro aspecto importante do programa é determinar se tem sido algo realmente apropriado e eficaz para a organização. É necessário monitorizar e medir o desempenho e a execução da estratégia. É essencial saber se as metas inicialmente estabelecidas estão sendo realmente alcançadas.

Em resumo, a estratégia de segurança define o que se pretende alcançar em termos de proteção dos ativos de uma empresa. A análise de brechas de segurança ou avaliações de risco são muitas vezes um ponto de partida.

É fundamental iniciar a execução do programa de segurança com base nas características da organização, com elementos planejados, organizados e coordenados, em busca de outros benefícios, como alinhamento, gestão de riscos e recursos, entrega de valor e medição de desempenho.

Ao mesmo tempo, a gestão da segurança é alcançada através de um processo holístico, transversal e de melhoria contínua. Diretamente, isso se traduz no objetivo principal: a proteção do negócio, que as organizações possam continuar suas operações, cumprir seus objetivos, alcançar suas metas e alcançar sua missão, ao mesmo tempo que geram uma cultura de cibersegurança organizacional.