(11) 5521-2021 [email protected]

Em tempos de normas e leis que tratam de segurança da informação e governança nos processos, quais as perguntas essenciais?

Vamos lá, criando um cenário onde você é chamado para falar sobre segurança para um grupo de gestores da empresa, quais as perguntas você deve estar preparado para responder?

Questão 1 – O que é risco?

Esteja preparado para uma breve definição dos conceitos de risco, ameaça e vulnerabilidade. Se possível, com um exemplo prático de perda ou despesa não programada.

Questão 2- Qual o padrão ou “framework” seguimos?

Falar em boas práticas pode ser muito genérico, se o objetivo é efetivamente identificar e proteger os ativos de informação, escolha um modelo. Use o modelo para coletar os controles que façam sentido para a sua organização. Podem ser usados mais de um modelo ou norma. Entre as fontes mais conhecidas temos a ISO27001, os documentos do NIST e é claro o CoBIT.

Questão 3 – Como estamos? E como ficamos se o pior acontecer?

Apresente a análise de risco mais recente. Se não tem disponível uma análise detalhada, faça uma de alto nível, avaliando as possíveis perdas em caso de comprometimento da integridade, confidencialidade ou disponibilidade. Mesmo que não apresente detalhes técnicos, é imprescindível que a sua organização faça uma análise de impacto e de risco.

Questão 4 – O que estamos fazendo para nos proteger?

Já que falamos dos principais riscos, é uma boa ideia listar os controles que estão disponíveis para minimizar o impacto de um incidente. E alguns indicadores que representem se possível, de forma gráfica, a efetividade dos controles. Indicadores como: percentual de colaboradores treinados em segurança da informação, percentual de servidores com atualizações de segurança aplicadas, percentual de equipamentos com antivírius, entre outros.

Questão 5- O que precisa ser feito?

As empresas normalmente investem um certo percentual de seu faturamento em TI e segurança da informação. A forma de utilizar os recursos de maneira eficaz é o que normalmente faz a diferença.

Não existe medida de segurança perfeita e, incidentes, sempre estarão presentes, mas um bom plano indicando qual o retorno, se possível apoiado com números, é uma forma de nivelar as expectativas e buscar o consenso.