A maturidade em segurança da informação é o nível de comprometimento, preparação e conscientização da organização com relação à segurança de suas informações.
Em outras palavras, ela se refere ao quanto uma empresa está preparada para lidar com ameaças, bem como com as consequências de um ataque. A maturidade é dividida em seis níveis, cada um representando um grau de evolução no gerenciamento da segurança da informação. Veja abaixo quais são eles e os benefícios para o seu negócio:
O que é a maturidade da segurança da informação?
Segurança da informação é o termo usado para descrever a proteção das informações em um sistema. Sendo assim, a maturidade da segurança da informação é o nível de proteção de um determinado sistema.
Alcançar a maturidade ideal de segurança da informação é um processo contínuo que envolve a identificação de ameaças, avaliação de riscos, implementação de soluções de segurança e monitoramento constante.
Quais os benefícios em ter maturidade na segurança da informação?
A gestão integrada da segurança, do ponto de vista executivo e empresarial, traz inúmeros benefícios aos negócios como:
- Fortalecer as ações da empresa
- Estabelecer uma imagem moderna
- Criar estabilidade administrativa
- Aumentar os níveis de disponibilidade operacional
- Reduzir custos provocados por ameaças ou uso indevido de recursos tecnológicos
- Minimizar riscos
- Preservar a imagem da marca na sociedade
- Integrar a segurança em suas operações.
Quais os erros cometidos que refletem negativamente nos negócios?
- Atribuir exclusivamente à área tecnológica a segurança da informação.
- Posicionar hierarquicamente essa equipe debaixo da diretoria de TI.
- Definir investimentos subestimados e limitados à abrangência dessa diretoria.
- Elaborar planos de ação orientados à reatividade.
- Não cultivar corporativamente a mentalidade de segurança.
- Tratar a segurança como um projeto e não como um processo.
Quais são os níveis de maturidade da segurança da informação?
Abaixo listamos os 6 níveis de maturidade de acordo com o CobiT, sigla para Control Objectives for Information and Related Technology. Ele é um framework de gerenciamento de TI usado por empresas para desenvolver, organizar e implementar estratégias de gestão de informação e governança.
Nível 0 – Não existente
Completa falta de qualquer processo reconhecível. A organização ainda não reconheceu que há um risco a ser tratado.
Nível 1 – Inicial
Existe uma evidência de que a organização reconheceu que o risco existe e precisa ser tratado. No entanto, não há qualquer processo padronizado, porém, existem alguns processos aplicados caso-a-caso por iniciativas individuais.
Nível 2 – Repetitivo
Processos foram desenvolvidos até o estágio em que procedimentos similares são seguidos por diferentes pessoas que realizam a mesma tarefa. Porém, não há treinamento formal ou comunicação dos procedimentos, e a responsabilidade é individual. Existe uma alta confiança no conhecimento das pessoas, sendo os erros comuns.
Nível 3 – Definido
Procedimentos foram documentados, formalizados e comunicados através de treinamento. É obrigatório que os procedimentos sejam seguidos; entretanto, é improvável que desvios sejam detectados. Os procedimentos não são, por si só, sofisticados, mas são a formalização das práticas existentes.
Nível 4 – Gerenciado
A gerência monitora e mensura a conformidade com os procedimentos e toma ações quando os processos parecem não funcionar efetivamente. Processos estão sob constante melhoria e utilizam boas práticas. Ferramentas de automação são utilizadas de maneira limitada e fragmentada.
Nível 5 – Otimizado
Os processos foram refinados ao nível de melhores práticas, baseado no resultado de melhorias contínuas e de comparação da maturidade com outras organizações. A TI é utilizada de maneira integrada para automatizar os fluxos de trabalho, fornecendo ferramentas para melhorar a qualidade e efetividade, e tornando fácil para a organização se adaptar a mudanças.
Fases que compõem o ciclo de avaliação da maturidade da segurança da informação:
1- Definição do escopo de avaliação
A definição do escopo consiste em identificar as áreas, tecnologias e processos de negócio da organização que serão incluídos no processo de avaliação do nível de maturidade da segurança da informação.
2- Análise dos riscos relacionados à segurança da informação
Esta fase é importante para garantir que os controles selecionados para análise estejam relacionados ao tratamento dos riscos aos quais a organização estiver submetida.
3 – Seleção dos controles de segurança da informação
Nesta fase serão selecionados os controles de segurança da informação, constantes na ABNT NBR ISO/IEC 27002, considerando-os aplicáveis para a cobertura dos riscos identificados na fase de análise dos riscos relacionados à segurança da informação.
4 – Planejamento da análise dos controles de segurança da informação
Na fase quatro deverá ser criado um projeto para o ciclo de análise e avaliação dos objetivos de controle considerados aplicáveis e suas respectivas atividades de controle.
5 – Análise e avaliação da maturidade dos controles de segurança da informação
Nesta etapa cada controle de segurança da informação selecionado deve ser avaliado, juntamente com os processos, atividades e controles relacionados, para determinar o nível de maturidade do controle de acordo com a escala de maturidade definida no modelo.
6- Consolidação dos planos de ação de segurança da informação
Aqui todas as propostas de melhoria serão consolidadas e organizadas de acordo com os processos e atividades de negócio aos quais estão relacionadas.
7 – Acompanhamento
Nesta fase deve ser realizado um acompanhamento da execução dos planos de ação, juntamente com os responsáveis pela sua execução, para verificar o cumprimento dos prazos e avaliar possíveis desvios que tornem necessária uma nova avaliação.
8 – Fechamento, documentação e emissão de relatórios
Por fim, são registradas as ações realizadas durante o ciclo de avaliação e confeccionados relatórios operacionais e gerenciais. Nesta fase é documentada a evolução do nível de maturidade dos objetivos de controle e dos controles de segurança da informação, por comparação com as medições dos ciclos anteriores.
Conte com mais de duas décadas de experiência da TND Brasil
Como vimos, a identificação do nível de maturidade da segurança da informação é essencial para o crescimento e avanço de um negócio. Do planejamento à execução de projetos em infraestrutura de Tecnologia da Informação (TI), a TND Brasil implanta processos e procedimentos para tornar os sistemas e as aplicações corporativas confiáveis e previsíveis, racionalizando a infraestrutura e aumentando a eficiência operacional.
