Um programa de segurança da informação é constituído por um conjunto de projetos, iniciativas e atividades desenvolvidas de forma coordenada para alcançar uma estratégia de segurança, ou seja, para implementar um plano elaborado com o intuito de atingir os objetivos de proteção de uma organização.
A implementação de um programa segurança é um trabalho de grande alcance, considerando que procura abordar os diferentes níveis e esferas de uma organização. Os recursos, a estratégia, o apoio e as métricas são variáveis e devem ser adotadas, adaptadas e aplicadas às características, necessidades e condições de cada organização.
Derivado dos resultados da avaliação de riscos, o passo seguinte na execução do programa de segurança consiste no estabelecimento das medidas necessárias para a eliminação das falhas de segurança encontradas ou aplicar controlos para mitigar os riscos de segurança identificados. Por esta razão, o programa de segurança é o processo pelo qual os sistemas de segurança de uma organização são definidos, planeados, implementados, executados, medidos, monitorizados, mantidos e aperfeiçoados.
Devido a fatores internos e externos à organização, o programa deve, como já referimos, ser adaptado. Alguns dos elementos que motivam os ajustes podem ser o dinamismo nos riscos, novas tecnologias, priorização de objetivos, atualização das melhores práticas, promulgação de legislações e novos requisitos de segurança, entre outros. Neste contexto, as modificações exigem habilidades, conhecimentos, aptidões, ferramentas, técnicas, processos e recursos, tanto tecnológicos como de gestão.
Resultados do Programa de Segurança da Informação
O programa de segurança é medido à medida que sejam atingidas as metas definidas na estratégia. Portanto, as métricas desempenham um papel importante no conhecimento da adequação e eficácia.
De um modo geral, há elementos que devem ser considerados como objetivos básicos, por exemplo, os enumerados a seguir:
-
Alinhamento estratégico
De forma simples, refere-se ao facto de que cada atividade, iniciativa ou recurso aplicado nos projetos que compõem o programa de segurança contribui para a concretização dos objetivos e cumprimento da missão da organização, bem como a visão, ou seja, o que se pretende que seja de futuro. Por esta razão, a implementação de medidas de segurança centra-se nos processos substanciais da empresa. Uma boa prática consiste na formação de um grupo de segurança em que também participam os proprietários do negócio, responsáveis pela tomada de decisões.
-
Gestão de risco
A gestão consiste na monitorização e tomada de decisões orientadas para atingir os objetivos – em termos de riscos, são feitas escolhas para evitar ameaças latentes e corrigir as vulnerabilidades identificadas. As decisões são tomadas com base na aversão ou propensão ao risco, por isso é necessário estabelecer critérios objetivos para dar um tratamento adequado aos perigos que ameaçam os ativos mais importantes da organização.
-
Fornecimento de valor
Por outras palavras, esse objetivo traduz-se no facto do programa de segurança dever proporcionar benefícios à organização, proporcionando o nível de proteção exigido para cada um dos ativos, principalmente para as informações. Da mesma forma, todos os recursos atribuídos à segurança devem ser aplicados de forma otimizada para apoiar os objetivos empresariais e alcançar o alinhamento.
-
Gestão de recursos
Em relação ao ponto anterior, a execução do programa de segurança requer recursos diferentes, desde os financeiros, até ao pessoal com os conhecimentos, habilidades e aptidões, passando pelos recursos tecnológicos, sem detrimento de tempo. Portanto, todos os elementos essenciais ao cumprimento da estratégia de segurança devem ser aplicados de forma otimizada.
-
Medição de desempenho
Outro aspeto importante do programa é determinar se está a ser realmente apropriado e eficaz para a organização. É fundamental monitorizar e medir o desempenho e a execução da estratégia. É essencial saber se as metas inicialmente estabelecidas estão a ser realmente alcançadas.
Conclusão
A estratégia de segurança define o que se pretende alcançar em termos de proteção dos ativos de uma empresa. A análise de falhas de segurança ou avaliações de risco são muitas vezes um ponto de partida.
É fundamental iniciar a execução do programa de segurança com base nas características da organização, com elementos planeados, organizados e coordenados, em busca de outros benefícios, como alinhamento, gestão de riscos e recursos, entrega de valor e medição de desempenho.
Ao mesmo tempo, a gestão da segurança é alcançada através de um processo holístico, transversal e de melhoria contínua. Diretamente, isto traduz-se no objetivo principal: a proteção do negócio, que as organizações possam continuar as suas operações, cumprir os seus objetivos, alcançar as suas metas e alcançar a sua missão, ao mesmo tempo que geram uma cultura de cibersegurança organizacional.
