LAB GSTI 2.0: Os 12 mandamentos para o Profissional de Segurança
Bruno Horta Soares , CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com
Esta semana comemora-se a Páscoa e mais uma vez refletimos sobre a evolução da Humanidade e sobre os desafios que desde sempre se apresentaram ao Homem, desde a maçã de Adão, passando pela arca de Noé, os sacrifícios de Abraão, os 10 mandamentos de Moisés, até chegarmos à paixão de Jesus Cristo. Enquanto se espera pelo novo Messias, conheço muitos profissionais da Segurança da Informação que se consideram uns verdadeiros mártires, tais são as penitências que têm de enfrentar todos os dias para pregarem a palavra da Segurança nas suas Organizações. Estes são os 12 Princípios para um profissional de segurança da informação.
Segundo a Bíblia, os 10 Mandamentos resumem a Lei, dada por Deus ao povo de Israel por meio de Moisés, apresentando os mandamentos do amor a Deus (os quatro primeiros) e ao próximo (os outros seis). Se para salvar o povo de Israel e orientar a Cristandade durante mais de 2000 anos foram suficientes 10 mandamentos, o desafio da Segurança da Informação é de tal forma exigente que são necessários pelo menos 12 princípios orientadores para os profissionais de segurança garantirem a criação de valor nas suas organizações . Essa é pelo menos a convicção das organizações globais ISACA, Information Security Forum (ISF) e (ISC)2 expressa no documento “Principles for information security practitioners” [1] !
Os princípios foram desenhados para ajudar os profissionais de segurança da informação a Apoiar e Defender as suas Organizações de uma variedade de ameaças. Adicionalmente, estes princípios contribuem para Promover a segurança da informação através de uma maior consciencialização e responsabilidade de todos aqueles que, direta ou indiretamente, intervêm no sistema de informação das Organizações. De seguida apresentam-se os 12 princípios e algumas das vantagens da sua adoção nas Organizações:
A. Suportar a Organização
1. Manter o foco no negócio da Organização
2. Entregar qualidade e valor para os stakeholders
3. Cumprir com os requisitos legais e regulamentares
4. Fornecer informações atempadas e precisas sobre o desempenho da segurança
5. Avaliar as ameaças atuais e futuras à Informação
6. Promover a melhoria contínua da segurança da informação.
Benefícios da sua adoção:
- Integração da segurança da informação em atividades essenciais do negócio
- Demonstração do valor da segurança da informação, ajudando a satisfazer os requisitos de negócios
- Cumprimento das obrigações legais ou normativas e das expectativas dos stakeholders, evitando sanções civis ou penais
- Apoio dos requisitos dos negócios e gestão dos riscos da Informação
- Análise e avaliação das ameaças à segurança da informação
- Redução dos custos, melhoria da eficiência e aumento da eficácia da segurança organizacional
B. Defender a Organização
7. Adotar uma abordagem orientada ao Risco
8. Proteger a Informação classificada
9. Concentre-se nas aplicações críticas para o negócio
10. Desenvolver sistemas seguros
Benefícios da sua adoção:
- Tratamento dos riscos de uma forma consistente e eficaz
- Não divulgação de informações classificadas (por exemplo confidenciais ou sensíveis) a indivíduos não autorizados
- Direcionar os recursos escassos de segurança de informação para as aplicações de negócio onde os incidentes de segurança teriam um maior impacto no negócio
- Desenvolvimento de sistemas com qualidade e rentáveis em que as pessoas podem confiar
C. Promover a Segurança da Informação
11. Atuar de forma ética e profissional
12. Promover uma cultura de segurança positiva
Benefícios da sua adoção:
- Realização das atividades de segurança de forma confiável, responsável e eficaz
- Influência positiva dos comportamentos de segurança dos usuários, reduzindo a probabilidade de incidentes de segurança e limitando o seu impacto potencial
Conclusão
A importância da adoção de princípios orientadores para os profissionais de Segurança da Informação está sobretudo relacionada com a necessidade de harmonizar comportamentos para que seja possível o desenvolvimento de uma verdadeira cultura de valorização da Informação como ativo crítico das Organizações e consequentemente da importância de garantir a sua confidencialidade, integridade e disponibilidade.
Como qualquer outra lei escrita por Homens e para Homens terá as suas vulnerabilidades e estará exposta a ameaças. No entanto, qualquer organização deverá começar por definir e comunicar as suas Leis para que todos os envolvidos possam pelo menos saber qual a regra para tomarem consciência de quando as estão a cumprir ou a infringir.
Cumprimentos desde Portugal… estamos juntos!
[1] http://www.isaca.org/Knowledge-Center/Standards/Documents/Principles-for-Info-Sec-Practitioners-overview.pdf
Leia outros artigos por Bruno Horta :
Leia outros artigos por Bruno Horta :
