Modelo de Negócio para Segurança da Informação

publicado em 27.09.2009

As informações de sua empresa, organização ou instituição estão protegidas por um sistema de segurança? Este sistema representa apenas uma medida de cautela ou ele obedece a um bem planejado modelo? Se você ainda não pensou nestas questões, comece a tratar a segurança de suas informações como um modelo de negócio.

Nos dias atuais poucos questionam o fato de que as empresas (bem como organizações   e   instituições)   têm   crescentemente  se  tornado  dependentes  das

Próxima edição:

Estratégias recentes das grandes corporações de TICs

publicada em 04.10.2009

Você tem observado o quê as grandes corporações de tecnologias de informação e comunicação - TICs têm feito recentemente, em termos estratégicos?  Você está levando em consideração as estratégias destas corporações no seu posicionamento estratégico?

Edição anterior:

Novas Demandas para Arquitetos de TICs

publicada em 20.09.2009

Os tempos atuais, de condições econômicas fortemente adversas, têm proporcionado desafios importantes para os profissionais de tecnologias de informação e comunicação - TICs. Os eventos que ocorreram nos setores financeiros e outros correspondentes nos setores da economia real, têm tido um tremendo impacto nos produtos e serviços de tecnologia...

tecnologias de informação e comunicação - TICs como um meio de facilitar suas operações. Na atual economia guiada pelo conhecimento, informação é um fator crítico para a habilidade da empresa não somente sobreviver, mas também de prosperar. Experientes líderes de negócios sabem que a informação merece pelo menos o mesmo nível de proteção que qualquer outro ativo, e têm tornado os gestores de segurança de informação uma adição comum nos diagramas das organizações.

No entanto, a segurança da informação tem lutado enquanto uma função.  Gestores de segurança enfrentam um variado leque de desafios, incluindo os perfis mutantes dos riscos, escassez de recursos, questões culturais, e ameaças internas e externas.  O gerenciamento da segurança da informação nunca foi tão crítico, e mesmo assim há poucos modelos formais que ajudem um gestor de segurança de informação a desempenhar efetivamente.  Dos poucos modelos que existem, poucos consideram como a empresa muda, como a cultura se adapta, e o que deve ou não deve emergir como resultado.

Os modelos atuais tendem a ser estáticos e simples, enquanto os ambientes estão continuamente mudando.  Neste sentido, faz-se mister a adoção de um modelo (ou modelos) que reconheça que a segurança da informação é um mundo complexo e dinâmico, e que ofereça uma maneira para que os gestores de segurança de informação possam adotar um enfoque holístico para gerenciar a segurança da informação enquanto observam os objetivos dos negócios. Tal modelo também deve prover uma linguagem comum tanto para a segurança da informação e como para a gestão do negócio para falar sobre a proteção da informação.

Neste espírito, somos forçados a indicar o Business Model for Information Security- Modelo de Negócio para Segurança da Informação da ISACA- Information System Audit and Control Association (*), ilustrado na figura acima.  Este modelo emergiu como um modelo para gerenciamento sistêmico de segurança criado pelo Dr. Laree Kiely e Terry Benzel, ambos da University of Southern Califórnia- USC Marshall School of Business Institute for Critical Information Infrastructure Protection, EUA. Em 2008 a ISACA adquiriu os direitos da USC para desenvolver o modelo para ajudar a incorporar seus conceitos nas práticas globais de segurança de informação. 

O modelo é visto como uma estrutura flexível, tri-dimensional e em formato de pirâmide com quatro elementos relacionados por seis interconexões dinâmicas.  Os elementos do modelo são:

a- O Projeto e a Estratégia da Organização;

b- As Pessoas;

c- Os Processos;

d- A Tecnologia.

As interconexões dinâmicas do modelo são:

a- A Governança;

b- A Cultura;

c- O Componente Capacitador e de Suporte;

d- O Componente de Emergência;

e- Os Fatores Humanos

f-  A Arquitetura

Os interessados em maiores detalhes sobre como estes elementos e suas conexões foram conceitualmente desenhados para ajudar na definição de um modelo de negócio para a segurança da informação, podem encontrar mais informações no próprio site da ICASA.

Em resumo, a segurança da informação não pode mais ser negligenciada nos dias atuais e deve ser encarada não como uma unidade de custo, mas sim uma ferramenta básica (e fortemente especializada) para a garantia da proteção e do sucesso dos negócios.

----------------------------------------- 

(*) Uma associação internacional (ver http://www.icasa.org) formada por profissionais que atuam nas áreas de Auditoria de Sistemas, Segurança da Informação e, principalmente, de Governança de TI. Mundialmente, a ISACA organiza, patrocina e controla a certificação para profissionais que atuam nas áreas de Auditoria de Sistemas (CISA-CERTIFIED INFORMATION SYSTEMS AUDITOR), de Segurança da Informação (CISM-CERTIFIED INFORMATION SECURITY MANAGER) e de Governança de TI (CGEIT-CERTIFIED IN THE GOVERNANCE OF ENTERPRISE IT). Essas certificações são internacionais, reconhecidas e altamente valorizadas no mundo inteiro, constituindo hoje uma comunidade de mais de 38.000 profissionais certificados.

CREATIVANTE - www.creativante.com.br
Rua Pandiá Calógeras, 250/1601, Prado, CEP 50720-160
Recife/PE-Brasil
Fone/Fax: 55-81-34455241

E-mail: creativante@creativante.com.br