Uncategorized

Boas práticas de Governança da Segurança da Informação

Violações de dados acontecem. Não é uma questão de se, mas quando. Exemplos de violações não faltam, basta lembrar os episódios que afetaram a Sony Pictures ou a Anthem Medical. Todos os setores estão vulneráveis a ataques cibernéticos. Em geral, o efeito é devastador: responsabilidades legais, reputação da marca, falta de confiança de clientes e parceiros e, por fim, a receita. Hoje o custo médio de uma violação de dados é de USD 4 milhões, conforme um estudo de 2016 realizado pela Ponemon.

À medida que o uso de dados aumenta, as empresas se deparam com o desafio de criar estratégias, estruturas e políticas adequadas para manter a segurança de dados confidenciais. Ao mesmo tempo, os criminosos desenvolvem novas e sofisticadas táticas para acessar dados valiosos.

A segurança é — e deve ser — motivo de preocupação para todos os funcionários em uma empresa. No entanto, a liderança deve ser responsável por estabelecer e manter uma estrutura de governança corporativa. A governança da segurança da informação é definida como um subconjunto de governança empresarial que oferece direcionamento estratégico, assegura que os objetivos sejam atingidos, gerencia riscos e monitora o êxito ou a falha do programa de segurança corporativa.

Seja o conselho de administração, a gestão executiva ou um comitê diretivo, ou todos eles, a governança da segurança da informação requer planejamento estratégico e tomadas de decisão.

Boas práticas

Apesar das ameaças de ataques cibernéticos e violação de dados, as empresas podem tomar medidas proativas para adotar uma política de governança eficaz. Veja a seguir cinco boas práticas estratégicas para a governança da segurança da informação:

1. Tenha uma abordagem abrangente

A estratégia de segurança está estreitamente vinculada aos objetivos da empresa e da TI. Uma abordagem abrangente assegura que a liderança tenha mais níveis de controle e visibilidade.

Que dados precisam ser protegidos? Onde estão os riscos? Observe de maneira unificada como a segurança da informação afeta a organização e como os funcionários veem a segurança. Conquiste a adesão antecipada de stakeholders importantes, como os departamentos de TI, vendas, marketing, operações e jurídico. Determine quais dados precisam ser protegidos e como se adequam ao pensamento macro.

2. Aumente a conscientização e o treinamento

Ainda que desenvolvida pela liderança, a governança da segurança da informação envolve todos os funcionários da organização e requer conscientização permanente. A governança cria políticas e atribui responsabilidades, mas cada membro é responsável por seguir os padrões de segurança.

Treinamento e educação contínuos sobre boas práticas de segurança são fundamentais. O panorama de ameaças cibernéticas está mudando rapidamente e os funcionários, além do treinamento da empresa, devem manter-se atualizados. Dessa forma, se novas ameaças surgirem, a empresa estará preparada.

3. Monitore e avalie

A governança da segurança da informação nunca deve ter uma abordagem “definir e esquecer”. As avaliações devem ser contínuas. O monitoramento assegura a concretização dos objetivos e o gerenciamento adequado dos recursos. Quais políticas de governança da segurança estão funcionando? Quais não estão?

Conduza cenários fictícios de violação de dados para testar a eficácia das equipes corporativas e dos planos de resposta a incidentes da empresa. Os resultados do teste podem revelar pontos fortes e fracos, bem como os pontos em que a empresa precisa se concentrar e quais políticas de governança da segurança funcionam bem sob pressão.

4. Encoraje a comunicação transparente

Os stakeholders devem sentir que podem se comunicar de maneira transparente e direta com a liderança, mesmo que seja para compartilhar más notícias. A comunicação transparente promove a confiança e propicia um maior nível de visibilidade em toda a organização.

Envolvimento é fundamental. Considere criar um comitê diretivo composto pela gestão executiva e pelos principais líderes de equipe (TI, marketing, finanças, RP, jurídico, operacional, etc.) para analisar e avaliar os riscos de segurança atuais.

5. Agilidade e adaptabilidade

Os dias de governança centralizada ficaram para trás. As organizações precisam adaptar-se rapidamente para lidar com o cenário em constante transformação dos diferentes tipos de ameaças. O gerenciamento de TI, que normalmente lida com a tomada de decisões táticas para reduzir os riscos à segurança, pode ter alguma experiência prática e opiniões sobre a eficácia de determinada política de segurança, mas essas recomendações param por aí sem o apoio dos altos executivos. A liderança deve determinar com rapidez como implementar as alterações sugeridas em toda a organização. Se uma política de governança for ineficiente, a liderança precisa estar disposta a revê-la.

Em geral, para ser bem-sucedida, uma política de governança da segurança envolve um processo contínuo de aprendizado, revisão e adaptação. As organizações precisam ser proativas e estratégicas em relação à segurança. Ameaças e incidentes são inevitáveis, mas tornar a governança da segurança uma questão estratégica e prioritária na organização pode ajudar a proteger informações valiosas.

Baixe o white paper completo da Diligent: Cinco boas práticas de Governança da Segurança da Informação

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS EM DESTAQUE