Elementos Fundamentais

A boa gestão das aquisições é um componente essencial também em termos de Segurança da Informação, pois permite benefícios como:

• I. mitigação de vulnerabilidades de segurança;
• II. redução de complexidade e heterogeneidade em equipamentos e endpoints;
• III. maior estabilidade nos componentes de TI;
• IV. menores custos de suporte;
• V. tempos menores de resposta e resolução.

O estabelecimento e a implementação de um programa de Segurança da Informação, com a definição de políticas e padrões, assim como o fomento de uma cultura positiva em termos de Segurança da Informação, é crucial para a efetividade das iniciativas.

A geração de consciência positiva nas pessoas envolvidas fortalece um dos três grandes pilares da Segurança da 
Informação, possibilitando inclusive uma redução de custos, financeiros e/ou administrativos, na implementação de mecanismos de Segurança da Informação, além de naturalmente mitigar potenciais vulnerabilidades.

A promoção de cultura corporativa de Segurança da Informação é fundamental e contempla iniciativas originárias dos níveis hierárquicos mais altos (top-down), incluindo o suporte da Alta Administração e o seu protagonismo como bons exemplos, e iniciativas com origem nas bases (grassroot), que engloba a conscientização e educação da força de trabalho.

DIRETRIZES BÁSICAS DE SEGURANÇA DA INFORMAÇÃO

A estabilidade e o insight são fatores relevantes para a efetividade da Segurança da Informação. Estabilidade significa que as mudanças ao ambiente são bem pensadas, racionais e sob alguma forma de governança que a controle. Já o insight permite que a organização conheça, compreenda e reaja aos componentes e atividades dentro do ambiente, tais como pessoas, aplicações e sistemas. 

A prática de arquitetura empresarial (Enterprise Architecture) como framework estratégico para os processos é interessante, inclusive, em termos de Segurança da Informação, para dar previsibilidade e estabilidade ao ambiente e se tornar subsídio para a definição de padrões e para desenvolvimento consistente e repetível, bem como a elaboração de mapas de caminho.

As pessoas são fatores fundamentais para a efetividade da Segurança da Informação, de forma que se torna necessário ter um ambiente propício à adoção de comportamentos adequados em termos de Segurança da Informação.

A conscientização é a chave para o sucesso da Segurança da Informação. É importante estimular o engajamento das pessoas de forma  adequada e com visibilidade das iniciativas. Nesse contexto, é interessante trabalhar com líderes para dar o exemplo e comunicar o que se espera das pessoas, assim como obter colaboração para coletar e disseminar informações. 

A Segurança da Informação preconiza que as pessoas precisam ter não só a liberdade e autonomia necessárias para executar o serviço, mas também o conhecimento para tomar decisões mais corretas.

A Segurança da Informação prescreve que há a necessidade das pessoas terem a liberdade de falhar, ao mesmo tempo em que elas devem reconhecer, se apropriar e responder rapidamente a essas falhas. Uma cultura que ajude [OT 013] as pessoas que contribuam ao programa de Segurança da Informação permite detecção mais rápida de problemas e fornece oportunidades para evitar que eventuais problemas aumentem de tamanho/complexidade.

A gestão apropriada da mudança é primordial para se manter a estabilidade, especialmente em um contexto de mudanças extremamente rápidas, como é o caso da tecnologia da informação e comunicação, objetivando, entre outras coisas, evidenciar a aprovação e a rastreabilidade da mudança.

No âmbito desta Orientação Técnica, define-se mudança como uma alteração de processo/procedimento e/ou de arquitetura de software.

A gestão da mudança contempla naturalmente as questões de segurança. 

A gestão apropriada de riscos é imprescindível para a Segurança da Informação, pois baliza a tomada de decisões, inclusive em termos de apetite de risco.

A gestão de riscos envolve iniciativas como análise de contexto, avaliação, tratamento e monitoramento dos riscos, 
comunicação e revisão dos mecanismos implantados.

Em um primeiro nível, a gestão de riscos especifica a necessidade de adoção de controles, com a subsequente definição 
de níveis aceitáveis e de processos de controle.

Para fins desta Orientação Técnica, a gestão de riscos engloba também a gestão de incidentes, que compreende 
processos como:

• a. plano para determinar quais sensores dos controles estão 
  sendo usados para detectar incidentes, quando e como;
• b. processo gerencial de resposta para deter, recuperar e 
  mitigar um incidente;
• c. processo de revisão para, no mínimo, evitar que o problema 
  ocorra novamente ou, pelo menos, melhorar a resposta e 
  mitigação em caso de nova ocorrência.