Please enable JavaScript.
Coggle requires JavaScript to display documents.
Introdução ao modelo de negócios para segurança da Informação (ISACA)…
Introdução ao modelo de negócios para segurança da Informação (ISACA)
Introdução
Modelo ISACA é dinâmico ao contrário de modelos estáticos que não entendem as mudanças das organizações
Panorama da segurança da Informação x Negócio
Desafios Internos da organização
Falta de uma linguagem comum
Gerencia de segurança da informação: atingir os objetivos do programa que envolve ameaças, riscos, controles, tecnologias
Gerencia de negócios: atingir métricas de Custo, produtividade e ROI
Cultura que não entende a segurança da informação.O modelo implementa termos e papeis para criar uma linguagem comum entre os departamentos.
Rápida mudança dos perfis de risco
Riscos gerenciados em silos
Entende os riscos de forma isolada, por departamento, e não como um todo. O modelo traz uma visão holística dos riscos relacionando-os e vendo o impacto de cada um em toda a empresa.
Desafios Externos
Exigências regulatórias
Modelo é baseado na teoria de sistemas de pensamento
Um sistema é composto por uma entrada, atributos chamados objetos e o seu relacionamento com o ambiente, gerando uma saída.
O modelo ajuda no alcance dos objetivos de um programa de segurança da informação
As atividades dos departamentos são vistas como silos e desconectadas. O modelo busca integra-los para entender os relacionamentos e o impacto na segurança como um todo.
Os conceitos deste sistema são: pensamento circular, inovação, feedback e atraso para criar uma realimentação no ciclo.
Feedback: observações e sugestões sobre as pessoas ou processos da empresa. Alavanca a inovação
Delay: Aguarda os feedbacks, toma as decisões gradualmente,
Inovação: Entrada de novos produtos, novos mercados, soluções novas ou melhorias nos métodos atuais.
A peça principal do modelo é a criação de uma cultura de segurança da informação
Equipes multifuncionais: Ajudam a reduzir o isolamento dos departamentos e criar um propósito em comum para a segurança da informação.
Respaldo do alto escalão para o cumprimento do programa de segurança da informação
Campanhas de conscientização: Informar os departamentos sobre as suas responsabilidades na segurança da informação e da importância.
Estrutura do modelo
Um triângulo tridimensional formado por 4 elementos linkados por 6 interconexões dinâmicas.
Elementos
Tecnologia
Todas as ferramentas, aplicações e infraestrutura que fazem os processos mais eficientes. Esta ligados as pessoas e a cultura da empresa, pois ela pode não ser utilizada da forma correta pelos usuários (treinamento)
Processos
Mecanismos formais e informais que tratam da parte operacional da empresa. Identificam , controlam, medem o risco, o CID e a garantem a contabilidade dos
Pessoas
Representa o recurso humano e seu comportamento : papeis e responsabilidades, estratégias de recrutamento, etc
Desenho da organização e estratégia
Pessoas, Ativos e processos e a interação entre eles são o principal para definir uma estratégia
Interconexões: Podem equilibrar ou desequilibrar o triângulo
Governança
Organização X Processos
Define os objetivos da organização, desenvolve, aplica e monitora os indicadores para alcança-los bem como avalia se os recursos da empresa estão sendo usados com responsabilidade
Cultura
Organização X Pessoas
É um padrão de comportamento e atitudes em massa . A cultura influencia como é vista a informação e pode ter influencia externa como interna
Ha bilitar e dar suporte
Tecnologia X Processos
Desenvolvimento de processos fáceis de seguir e transparentes para o usuário
Emergir
Pessoas X Processos
Desenvolvimento de canais para feedback, melhoria continua dos processos, mudança dos controles e gerenciamento de riscos
Fator Humano
Tecnologia X Pessoas
Treinamento de pessoas para uso das ferramentas
Arquitetura
Tecnologia X Organização
Arquitetura de todo o programa de segurança da informação com base em tecnologias, pessoas, processos e politicas
Utilizando o modelo
Toda empresa tem áreas que o modelo pode ajudar a gerenciar melhor
Criação de uma cultura que entenda o programa de segurança da informação
Engajar as pessoas no programa com treinamentos
Inclusão de uma equipe de gestão experiente no desenvolvimento do programa
governança entender que segurança é uma iniciativa da organização e não de tecnologias