Boas práticas de Governança da Segurança da Informação

Violações de dados acontecem. Não é uma questão de se, mas quando. Exemplos de violações não faltam, basta lembrar os episódios que afetaram a Sony Pictures ou a Anthem Medical. Todos os setores estão vulneráveis a ataques cibernéticos. Em geral, o efeito é devastador: responsabilidades legais, reputação da marca, falta de confiança de clientes e parceiros e, por fim, a receita. Hoje o custo médio de uma violação de dados é de USD 4 milhões, conforme um estudo de 2016 realizado pela Ponemon.

À medida que o uso de dados aumenta, as empresas se deparam com o desafio de criar estratégias, estruturas e políticas adequadas para manter a segurança de dados confidenciais. Ao mesmo tempo, os criminosos desenvolvem novas e sofisticadas táticas para acessar dados valiosos.

A segurança é — e deve ser — motivo de preocupação para todos os funcionários em uma empresa. No entanto, a liderança deve ser responsável por estabelecer e manter uma estrutura de governança corporativa. A governança da segurança da informação é definida como um subconjunto de governança empresarial que oferece direcionamento estratégico, assegura que os objetivos sejam atingidos, gerencia riscos e monitora o êxito ou a falha do programa de segurança corporativa.

Seja o conselho de administração, a gestão executiva ou um comitê diretivo, ou todos eles, a governança da segurança da informação requer planejamento estratégico e tomadas de decisão.

Boas práticas

Apesar das ameaças de ataques cibernéticos e violação de dados, as empresas podem tomar medidas proativas para adotar uma política de governança eficaz. Veja a seguir cinco boas práticas estratégicas para a governança da segurança da informação:

1. Tenha uma abordagem abrangente

A estratégia de segurança está estreitamente vinculada aos objetivos da empresa e da TI. Uma abordagem abrangente assegura que a liderança tenha mais níveis de controle e visibilidade.

Que dados precisam ser protegidos? Onde estão os riscos? Observe de maneira unificada como a segurança da informação afeta a organização e como os funcionários veem a segurança. Conquiste a adesão antecipada de stakeholders importantes, como os departamentos de TI, vendas, marketing, operações e jurídico. Determine quais dados precisam ser protegidos e como se adequam ao pensamento macro.

2. Aumente a conscientização e o treinamento

Ainda que desenvolvida pela liderança, a governança da segurança da informação envolve todos os funcionários da organização e requer conscientização permanente. A governança cria políticas e atribui responsabilidades, mas cada membro é responsável por seguir os padrões de segurança.

Treinamento e educação contínuos sobre boas práticas de segurança são fundamentais. O panorama de ameaças cibernéticas está mudando rapidamente e os funcionários, além do treinamento da empresa, devem manter-se atualizados. Dessa forma, se novas ameaças surgirem, a empresa estará preparada.

3. Monitore e avalie

A governança da segurança da informação nunca deve ter uma abordagem “definir e esquecer”. As avaliações devem ser contínuas. O monitoramento assegura a concretização dos objetivos e o gerenciamento adequado dos recursos. Quais políticas de governança da segurança estão funcionando? Quais não estão?

Conduza cenários fictícios de violação de dados para testar a eficácia das equipes corporativas e dos planos de resposta a incidentes da empresa. Os resultados do teste podem revelar pontos fortes e fracos, bem como os pontos em que a empresa precisa se concentrar e quais políticas de governança da segurança funcionam bem sob pressão.

4. Encoraje a comunicação transparente

Os stakeholders devem sentir que podem se comunicar de maneira transparente e direta com a liderança, mesmo que seja para compartilhar más notícias. A comunicação transparente promove a confiança e propicia um maior nível de visibilidade em toda a organização.

Envolvimento é fundamental. Considere criar um comitê diretivo composto pela gestão executiva e pelos principais líderes de equipe (TI, marketing, finanças, RP, jurídico, operacional, etc.) para analisar e avaliar os riscos de segurança atuais.

5. Agilidade e adaptabilidade

Os dias de governança centralizada ficaram para trás. As organizações precisam adaptar-se rapidamente para lidar com o cenário em constante transformação dos diferentes tipos de ameaças. O gerenciamento de TI, que normalmente lida com a tomada de decisões táticas para reduzir os riscos à segurança, pode ter alguma experiência prática e opiniões sobre a eficácia de determinada política de segurança, mas essas recomendações param por aí sem o apoio dos altos executivos. A liderança deve determinar com rapidez como implementar as alterações sugeridas em toda a organização. Se uma política de governança for ineficiente, a liderança precisa estar disposta a revê-la.

Em geral, para ser bem-sucedida, uma política de governança da segurança envolve um processo contínuo de aprendizado, revisão e adaptação. As organizações precisam ser proativas e estratégicas em relação à segurança. Ameaças e incidentes são inevitáveis, mas tornar a governança da segurança uma questão estratégica e prioritária na organização pode ajudar a proteger informações valiosas.

Baixe o white paper completo da Diligent: Cinco boas práticas de Governança da Segurança da Informação