Gestão de Riscos e o Cobit 5 para Segurança da Informação

Cobit 5

Por que devemos dar atenção para a gestão de riscos?

A Gestão de Riscos é definida com as atividades coordenadas para direcionar e controlar uma organização no que se refere ao risco (ABNT ISO/IEC Guia 73:2005). A gestão de riscos deve ser um processo que inclui a identificação, análise, avaliação, tratamento, aceitação, comunicação, monitoramento e revisão do risco, onde se deve analisar todos os riscos inerentes 'as atividades de uma determinada organização, processo ou atividade.

Dentro deste enfoque temos a visão de melhoria contínua determinada pela conhecida sigla PDCA (Plan, Do, Check and Act) consistindo em um ciclo de análise e melhoria dos processos gerenciais básicos necessários para que o processo, organização ou atividade ligada a segurança da informação estejam alinhados, compatíveis e em conformidade com as normas referentes 'a gestão de riscos.

Na etapa de planejamento é iniciada as definições estratégicas e a forma como elas serão alcançadas através das políticas, controles e procedimentos para garantir a segurança das informações. É muito importante que a direção da organização esteja comprometida e alinhada com o processo de definição estratégico e seus entregáveis. De acordo com a norma ISO 27005, enquanto em fase de planejamento são dados enfoques nos processos de Definição do Contexto, Análise/Avaliação de Riscos, Definição do Plano de Tratamento do Risco e Aceitação do Risco.

Na próxima etapa, da execução, os processos que foram definidos na etapa anterior serão implementados e executados, obtendo-se assim informações que serão objeto da próxima etapa. Verificação da conformidade com a ISO 27005 e a implementação do Plano de Tratamento do Risco.

Na etapa de checagem será feita a avaliação dos processos implementados para verificar se o que foi planejado está de acordo com o que foi efetivamente executado de maneira a alcançar as metas. Segundo a ISO 27005 é nesta etapa que é realizado o Monitoramento  Contínuo e Análise Crítica do Risco.

Na etapa final - Act - serão realizadas as ações de correção e prevenção tendo-se como base a percepção e identificação dos desvios de execução e nas observações e considerações expostas pela direção da organização ou do responsável pelos processos.

Como já é sabido, os 34 processos do CobiT podem ser atendidos por outros modelos que definem boas práticas de gestão, tais como: ITIL, PMBOK, CMMI e ISO/IEC 27001 e 27002. Cada um desses modelos possui práticas definidas para a gestão de seus processos, como descrevemos anteriormente para a área de segurança da informação. A correta implantação dessas práticas garante que a entrega e qualidade dos produtos e serviços atendam as necessidades do negócio.

Recentemente foi lançado o COBIT 5, que  é um framework de negócios para governança e gestão de TI. Esta versão  incorpora as últimas novidades em governança corporativa e técnicas de gerenciamento. Fornece princípios globalmente aceitos, práticas, ferramentas e modelos analíticos para ajudar a aumentar a confiança e valor nos sistemas de informação.

O COBIT 5 foi lançado em abril de 2012, consolida e integra o CobiT 4.1, Val IT 2.0 e frameworks de risco de TI. Alinha-se com estruturas e padrões, como o Information Technology Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture Framework (TOGAF).

Em seguida a  ISACA lançou  o documento "COBIT 5 for Information Security": guia para a Segurança Corporativa de TI.

Este documento foi elaborado sobre o Framework recém lançado do CobiT 5: Guia de Governança e Gestão Corporativa de TI.

O que encontramos na pesquisa promovida pela ISACA no ano passado, é que uma em cada quatro empresas (25%) experimentou falhas de segurança, e 19% delas teve problemas de segurança especificamente com dispositivos móveis.  A pesquisa, cujo titulo no original é:  "2012 Governance of Enterprise IT (GEIT) Survey," foi direcionada para mais de 700 profissionais de TI da região Asia-Pácifico que são membros da ISACA.

A nuvem contribui com 10% das ameaças de Segurança

A pesquisa também apontou que nos próximos 12 meses, vazamentos de dados e questões relacionadas com empregados passarão a ser os principais temas que impactarão a segurança de TI das empresas. Ainda de acordo com os resultados da pesquisa, as ameaças de segurança da Informação foram classificadas na seguinte ordem:

  • Vazamento de dados (perda ou falha): 22%
  • Erros inadvertidos provocados por empregados: 15%
  • Incidentes relacionados a dispositivos pessoais de empregados (BYOD): 15%
  • Computação na nuvem: 10%
  • Cyber ataques: 8%
  • Hacking externo: 5%
  • Empregados insatisfeitos: 5%
  • Todos os acima: 15%

O Guia "COBIT 5 for Information Security," que é parte da familia de publicações do CobiT 5 está dividido em três seções principais:

1) Segurança da Informação;
2) Usando os facilitadores (enablers) para implementar segurança da informação na prática, e;
3) Adaptando o COBIT 5 for Information Security no ambiente corporativo.

De acordo com Christos Dimitriadis, CISA, CISM, CRISC Vice Presidente Internacional da ISACA, o Guia "'COBIT 5 for Information Security' pode ajudar as empresas na redução de seu perfil de riscos quando a segurança é gerenciada de forma apropriada. A Informação e toda tecnologia a ela relacionada tem se tornado cada vez mais o core business das empresas, mas a segurança da informação é uma questão da confiança que os stakeholders depositam na empresa".

O Guia "COBIT 5 for Information Security" é composto de princípios aceitos mundialmente, bem como de ferramentas e modelos analíticos desenvolvidos para suportar o negocio e a TI, maximizando o grau de confiabilidade e valor que o mercado deposita nas operações da empresa, na sua informação e nos seus ativos de tecnologia.

Por fim, Simon Chan, atual Presidente do capitulo Hong Kong da ISACA diz que "A efetiva governança corporativa de TI é a chave para gerenciar as necessidades corporativas em constantes mudanças, bem como a entrega no prazo dos projetos relacionados, especialmente sob restrição de pessoal, ponto que acomete a maioria das corporações de hoje".

Fontes: enterprisecioforum.com Myles Suer ISACA a.pitkowski

FastSalas.com

Recomende

Comente