Publicação

Qual o investimento da sua empresa em Cultura?

foto de
Bruno Horta Soares CONTEÚDO EM DESTAQUE

LAB GSTI 2.0: Qual o investimento da sua empresa em Cultura?

Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com


Processos bem desenhados e implementados, recursos humanos treinados e tecnologias robustas são três elementos determinantes para uma boa segurança da informação nas Organizações. A fórmula parece simples, no entanto muitas organizações continuam a enfrentar sérias dificuldades para implementarem sistemas de gestão da segurança da informação eficientes que sejam capaz de mitigar as crescentes ameaças à confidencialidade, integridade e disponibilidade dos recursos críticos. Muitas vezes o problema pode estar no “ar”, na Cultura de segurança que se respira na organização .

O modelo Business Modelo for Information Security (BMIS) [1] da ISACA apresenta uma visão sistémica da segurança da informação, onde um conjunto de Componentes (Organização, Processos, Pessoas e Tecnologias) e Ligações dinâmicas (Cultura, Governança, Arquitetura, Fatores Humanos, Fatores Emergentes e Suporte & Capacitação) constituem os elementos fundamentais para o desenho e implementação de um sistema de segurança da informação eficiente .

Uma das Ligações dinâmicas é a Cultura, sendo definida como " o padrão de comportamentos, crenças, suposições, atitudes e maneiras de fazer as coisas " e é representada no modelo como a tensão existente entre a Organização e as Pessoas . Noutra publicação Creating a Culture of Information Security [2] da ISACA as ligações entre a Cultura e a segurança da informação são apresentadas de forma mais detalhada, descrevendo a Cultura da Segurança da Informação como:

“Todas as empresas têm uma cultura de segurança da informação. Na maioria dos casos, ela não tem intencionalidade e é inconsistente, em outros ela é robusta e orienta as atividades diárias dos funcionários e outras pessoas relacionadas com a empresa.”

De certa forma o que a definição parece deixar claro é que nunca existe uma ausência de Cultura, apenas existe uma boa ou uma má Cultura . Sendo assim, importa identificar os comportamentos que devem ser promovidos nas empresas, tanto ao nível organizacional como individual, para que seja possível garantir uma boa Cultura da Segurança da Informação. Aqui fica uma lista de comportamentos que deverão ser tidos em conta se se pretende implementar uma Cultura de Segurança da Informação, tanto ao nível organizacional como individual [3]:

Comportamento 1: A segurança da informação é praticada nas operações diárias.
A segurança da informação é parte do dia-a-dia da empresa. Ao nível organizacional, este comportamento indica que a segurança da informação deve ser aceite como um imperativo de negócio na definição dos objetivos organizacionais . No nível individual, significa que o indivíduo se preocupa com o bem-estar da empresa e que aplica uma abordagem prudente de segurança da informação nas suas operações diárias.

Comportamento 2: As pessoas respeitam a importância das políticas e princípios de segurança da informação
A importância das políticas e princípios de segurança da informação é reconhecida pelas pessoas na empresa. No nível organizacional, as políticas e princípios são apoiados pela gestão de topo, e a revisão, aprovação e comunicação das políticas ocorre numa base regular. No nível individual, as pessoas leram e compreenderam as políticas, e sentem que têm as condições necessárias para atuar em conformidade .

Comportamento 3: É disponibilizada suficiente orientação e informação detalhada sobre segurança e as pessoas são incentivadas a participar e desafiar a atual situação de segurança da informação.
As pessoas são encorajadas a desafiar a situação atual de segurança da informação a dois níveis. A cultura organizacional garante um processo de comunicação bidirecional para orientação e feedback e permite aos interessados realizar comentários sobre as mudanças. A cultura individual é demonstrada através da participação e envolvimento das pessoas quando solicitado.

Comportamento 4: Todos são responsáveis pela proteção da informação dentro da empresa.
A responsabilização é representada a dois níveis na empresa. No nível organizacional, a responsabilização é promovida através da definição e operacionalização de funções e estruturas organizacionais . No nível individual, é exigido a cada indivíduo que compreenda as suas responsabilidades em matéria de segurança da informação.

Comportamento 5: Todos sabem identificar e responder às ameaças.
Ao nível organizacional deverão ser definidos processos apropriados para identificar e reagir a ameaças, nomeadamente através da definição de processos de reporte e de resposta a incidentes que minimizem as perdas. No nível individual, as pessoas devem ser treinadas para saberem o que é um incidente de segurança da informação e como deverão reportar e reagir caso ocorra um incidente.

Comportamento 6: A Gestão apoia e antecipa as inovações de segurança da informação. A empresa é recetiva para explicar e lidar com novas ameaças à segurança.
As inovações e os desafios de segurança da informação são abordados ao nível organizacional através de uma equipe de pesquisa e desenvolvimento de segurança da informação . A cultura do indivíduo é verificada quando todos apresentam novas ideias no contexto da segurança da informação.

Comportamento 7: A Gestão envolve e promove a colaboração entre todas as áreas funcionais para permitir a implementação de programas de segurança da informação eficazes.
A colaboração entre funções é alavancada pela aceitação organizacional de uma visão holística da segurança, promovendo uma estratégia de integração entre todas as funções da empresa. O indivíduo contribui através do envolvimento com outras áreas funcionais e pela identificação de potenciais sinergias.

Comportamento 8: A Gestão Executiva reconhece o valor da segurança da informação.
O valor da segurança da informação é reconhecido ao nível organizacional quando a segurança da informação é vista como um meio para melhorar o valor do negócio (receita, despesa, reputação e vantagem competitiva), existe uma transparência na resposta a incidentes e um entendimento das expectativas dos clientes . No nível individual, o comportamento é evidenciado pela apresentação de ideias criativas para melhorar o valor, nas várias camadas de segurança da informação.

Conclusão
Orçamentar uma nova firewall, fundamentar um projeto de implementação da ISO/IEC 27000 ou justificar uma formação ou certificação dos Recursos Humanos são muitas vezes verdadeiros desafios para os profissionais de segurança. E um investimento em Cultura? Será fácil de justificar?

Bom, o primeiro passo é simples: só tem de explicar que não endoideceu e que não está a querer gastar o budget de segurança em música, teatro ou cinema ! A partir daí será certamente uma prova de resistência… Apesar de se tratar provavelmente do investimento mais baixo em termos financeiros que irá apresentar à Gestão, será também aquele que irá demorar mais tempo a realizar, pelo que terá de assegurar que depois do caminho traçado mantém a motivação e a força para implementar um processo efectivo de gestão da  mudança e melhoria contínua.

Cumprimentos desde Portugal… estamos juntos!

Leia outros artigos por Bruno Horta:






[1] ISACA, The Business Model for Information Security (BMIS), USA, 2010
[2] ISACA, Creating a Culture of Security, USA, 2011
[3] ISACA, COBIT 5 For Security, USA, 2013


Não vá embora agora! Nós temos um pedido importante: compartilhe esta publicação!! Use os botões de redes sociais disponíveis logo abaixo. Ajude a divulgar o nosso trabalho! Caso deseje acompanhar nossas publicações nos siga no Facebook , Linkedin ou por Email . O Portal GSTI agradece sua visita!

Comentários