Cultura de Segurança 360º
LAB GSTI 2.0: Cultura de Segurança 360º Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com Esta semana decorreu a conferência CISO Europe, um evento que colocou responsáveis pela segurança da informação nas Organizações a discutir os principais desafios e tendências neste domínio. De todos os temas discutidos, destaco a preocupação transversal em se conseguirem encontrar melhores estratégias para melhorar a consciência para a importância da proteção da confidencialidade, integridade e disponibilidade da Informação. Hoje vou falar de cultura de segurança 360º . As redes de partilha de conhecimento temático são cada vez mais importantes para a melhoria das competências dos profissionais e das Organizações. Esta semana tive o privilégio de ser convidado a participar na conferência “CISO Europe 2013” [1], onde dezenas de profissionais de segurança de todo o mundo discutiram os principais desafios e tendências da função de CISO (Chief Information Security Officer). Tal como acontece com o PortalGSTI, este tipo de iniciativas permite um maior foco temático, tornando a discussão mais centrada na procura de soluções, mas sobretudo permite a profissionais oriundos de diferentes locais do planeta e de Organizações tão diversas, entenderem que não estão sozinhos nas suas “lutas” e que não são os únicos a enfrentarem desafios que muitas vezes parecem impossíveis de resolver. Um exemplo desta globalidade no que refere aos desafios da #Segurança da Informação foi o tema da Cultura de Segurança da Informação nas organizações . Grandes ou pequenas organizações, locais ou globais, de indústrias mais ou menos sofisticadas, todos manifestaram as dificuldades existentes na promoção de uma cultura corporativa que permita às organizações adaptarem-se aos riscos emergentes relacionados com os sistemas de informação . Como melhorar a consciência para a importância da segurança da informação, reduzindo as vulnerabilidades do recurso mais crítico das Organizações, o Recurso Humano? O que pode ser feito que ainda não foi feito no que refere a campanhas de informação e consciencialização? Já no modelo BMIS [2] (Business Model for Information Security) lançado pela ISACA, o tema da “Cultura de Segurança” tinha ganho destaque, sendo posicionado como a “tensão” existente entre a visão de segurança da Organização e a visão de Segurança dos seus colaboradores. Com o lançamento da framework COBIT 5 [3] a Cultura, Ética e Comportamentos mantém-se como um tema fundamental na framework , sendo destacado como um dos 7 facilitadores no contexto de um sistema de informação. Para entender o facilitador “ Cultura, Ética e Comportamentos” é necessário entender que a cultura de uma organização decorre da relação existente entre:
[1] Conferência promovida pelo MIS Training Institute - http://www.ciso-summit.com/europe/home1 [2] http://www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-Security.aspx [3] http://www.isaca.org/COBIT/Pages/default.aspx
- A ética da Organização – Os valores de segurança pelos quais a Organização se pretende guiar;
- A Ética individual – Os pressupostos e preconceitos individuais sobre a segurança da informação, sobretudo influenciados por fatores externos; e
- Comportamentos Individuais – Os comportamentos individuais que constituem a Cultura de Segurança de uma Organização e que resulta da ética Organizacional e Individual.
[1] Conferência promovida pelo MIS Training Institute - http://www.ciso-summit.com/europe/home1 [2] http://www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-Security.aspx [3] http://www.isaca.org/COBIT/Pages/default.aspx