Please enable JavaScript.
Coggle requires JavaScript to display documents.
GES - Governando para a segurança da Organização (Definições de segurança…
GES - Governando para a segurança da Organização
Cumprimentos legais para proteção dos dados
Responsabilidade dos conselhos e oficiais de proteger os ativos digitais de uma organização (jurisprudencia)
Leis estaduais e leis federais
Agencias Federais: manter, processar, armazenar dados do governo
Pessoas que tiveram seus dados violados
Companhias publicas:controles internos para garantir integridade dos dados
Várias areas: saúde, financeira, farmaceutica
Caso 1: Dados de membro do sindicato foram roubados da casa de funcionário do sindicato. Sindicato foi culpado.
Caso 2: Estudante levou o laptop da empresa para casa e o mesmo foi roubado com as informações da empresa. Estudante argumentou que era dever da empresa proteger os seus dados com criptografia
Empresa ganhou, pois atendia aos requisitos razoaveis de proteção de dados segundo o ESP
Orgãos criaram um programa: FTC 4 Partes
Designar pessoal adequado para supervisionar o programa de privacidade e segurança
Identificar riscos internos e externos razoavelmente previsíveis para a disponibilidade, confidencialidade e
em formação
Realização de uma revisão escrita anual por pessoas qualificadas
Ajustar o programa de acordo com os resultados das revisões, acompanhamento e alterações operacionais
Definições de segurança para governança de organizações
IFAC e ISACA
A governança empresarial é o conjunto de responsabilidades e práticas exercidas pela diretoria e executivos
com o objetivo de fornecer direção estratégica, assegurar que os objetivos sejam atingidos,
verificar se os riscos são geridos adequadamente e verificar se os recursos da organização são
utilizados de forma responsável.
Funções e Responsabilidades e códigos de conduta
Determinar uma direção estratégica clara para a organização com metas definidas
Dirigir, controlar e influenciar fortemente a entidade para alcançar as expectativas declaradas
Alinhar a gestão de riscos com a estratégia e garantir a conformidade
Assegurar que as decisões sejam implementadas conforme o planejado através de controles, métricas e políticas
ITGI
A governança de TI é responsabilidade do conselho de administração e da gerência executiva. É uma
Parte da governança empresarial e consiste na liderança e estruturas organizacionais e processos
NIST
A segurança deve sair das margens técnicas como atividades e responsabilidades unicamente relegadas para
Desenvolvimento de software e departamentos de TI. Os conselhos de administração e altos executivos devem trabalhar em direção à segurança empresarial eficaz.
ONZE CARACTERÍSTICAS DA GOVERNANÇA DE SEGURANÇA EFICAZ
Ajudam a construir uma cultura
Problema corporativo
O escopo de um Programa de Segurança Empresarial (ESP) inclui pessoas, produtos,
Plantas, processos, políticas, procedimentos, sistemas, tecnologias, redes e informações
Líderes são Responsáveis
Os executivos de negócios aceitam responsabilidade e propriedade pelos riscos de segurança
Ativos digitais (sistemas, redes, aplicativos, informações).
Visão como um requisito de negócio
A segurança é considerada como um custo de fazer negócios e um investimento em vez de uma despesa ou um
Item de orçamento
Baseada em risco
A determinação da quantidade de segurança é suficiente com base na exposição ao risco que uma organização está disposta a Tolerar
Definição de papeis, segregação de funções, prestação de contas
Endereçado e Aplicado na Política
implementação de políticas e procedimentos, e a exigência do cumprimento política de segurança
Recursos adequados a disposição
o pessoal de TI e de segurança, dispõe de recursos adequados, autoridade e tempo para
Manter competências essenciais na segurança empresarial
Pessoal ciente e treinado
A conscientização sobre segurança e o treinamento direcionado são conduzidos rotineiramente
Um requisito do ciclo de vida de desenvolvimento
Os requisitos de segurança são abordados em todas as fases do ciclo de vida do desenvolvimento de sistemas
Planejado, gerenciado, mensurável e medido
A segurança é ativamente considerada como parte de qualquer novo projeto de iniciação, aquisição, ou relacionamento, e como parte de
Gerenciamento de projetos em andamento.
Revisado e Auditado
Os comitês de risco e de auditoria da diretoria realizam revisões e auditorias regulares do programa de segurança empresarial (PES)