Gestão da Segurança da informação – Marcos Sêmola | T3#091

Por que, quando, onde, o que e como planejar um programa de segurança da informação?

Hoje em dia, isso é um fator crítico de sucesso e sobrevivência para todo negócio.

O autor Marcos Sêmola dedicou mais de uma década ao tema, e mostra nesse livro como a gestão de riscos deve ser elaborada de modo eficaz na adoção de controles físicos, tecnológicos e humanos personalizados e integrados, que viabilizem a redução e administração dos riscos, levando empresas a operar em um nível de segurança adequado de acordo com o negócio.

Gestão da Segurança da Informação é algo que já deixou de ser assunto restrito à tecnologia e se tornou tema obrigatório na pauta de executivos, CIOs e CEOs.

Ouça o resumo completo do livro no player acima e tenha bons aprendizados!

Você também pode escutar o ResumoCast no SpotifyApple PodcastsYouTube ou em qualquer agregador de podcasts da sua preferência.

Sobre o livro O Poder da Presença

A primeira versão do livro Gestão da Segurança da Informação foi publicada inicialmente em 2013.

O livro apresenta de forma lógica, didática e direta como a gestão de riscos deve ser elaborada eficazmente na adoção de controles físicos, tecnológicos e humanos, para serem personalizados e integrados nas empresas para operar em um nível de segurança adequado ao apetite do negócio.

O Autor é Marcos Sêmola, pós-graduado em Estratégia e Negociação pela London Business School, pós-Graduado em Disruptive Strategy por Harvard, Sócio de Cibersegurança da Ernest Young , consultor especialista em governança, risco e conformidade com mais de 30+ anos de experiência.

Além disso ele é membro fundador do Conselho Empresarial Brasileiro para Segurança Cibernética, professor da Fundação Getúlio Vargas, da Fundação Dom Cabral, e tem 7 livros publicados.

Gestão da Segurança da Informação

Ideia Central

A mensagem central do livro Gestão da Segurança da Informação é justamente oferecer aos líderes empresariais uma visão estratégica de curto, médio e longo prazo sobre como eles devem encarar os riscos ao seu negócio, baseado nos riscos da informação.

Informações em ambiente físico, tecnológico e humano.

Portanto, uma maneira de dar a eles instrumentos de identificação dos riscos, ensinando a conviver com esses riscos e reduzindo aqueles que forem tolerados, de tal forma que o negócio possa crescer sem sofrer os soluços provocados por eventos de segurança da informação.

A informação e as fases da evolução corporativa

Se compararmos momentaneamente as fases da evolução corporativa, especificamente a forma como as empresas usavam a informação e geriam seus negócios, perceberemos nítidas mudanças nas ferramentas com o passar dos anos.

Décadas atrás, as informações eram tratadas de forma centralizada e ainda pouco automatizada.

A tecnologia da informação engatinhava e figurava, primeiramente, apenas como uma nova e promissora ferramenta, principalmente se considerarmos as limitações de armazenamento iniciais e os preços proibitivos dos primeiros grandes computadores mainframes.

Contudo, logo os investimentos da indústria de alta tecnologia foram sendo amortizados e seus frutos foram se tornando mais acessíveis.

Apesar de as empresas terem muita informação em documentos manuscritos, nos conhecidos arquivos de ferro, os mainframes foram herdando, gradativamente, a função de central de processamento e armazenamento de dados.

Logo veríamos terminais espalhados pelos ambientes da empresa — inicialmente um único por departamento — que permitiam consultas remotas.

Compartilhar informação passou a ser considerado uma prática moderna de gestão necessária a empresas que buscavam maior velocidade nas ações.

Diante disso, surgiram, em seguida, as primeiras redes de computadores e, paralelamente, as informações passaram a ser mais digitalizadas e os processos mais automatizados.

Mais alguns anos e as empresas experimentavam e aplicavam, como nunca, a tecnologia da informação ao negócio, atingindo altos níveis de conectividade e compartilhamento.

Os antigos, mas sobreviventes mainframes não cumpriam mais sozinhos a tarefa de armazenar e processar as informações.

Os computadores tomavam conta dos ambientes de escritório, quebravam o paradigma de acesso local à informação e chegavam a qualquer lugar do mundo através da rede mundial de computadores: a Internet.

Simultaneamente a toda essa evolução, a rede corporativa ganhava desempenho e igualmente se pulverizava.

Passava a representar o principal canal de distribuição de informações internas e externas, e de interligação de ambientes e processos, culminando com a integração dos parceiros da cadeia produtiva.

Gestão da Segurança da Informação

Conceitos-chave sobre a Segurança da Informação

O livro traz resumos com conceitos importantes sobre segurança da informação.

Vamos ver alguns deles:

Informação, ativo cada vez mais valorizado

CONCEITO: A informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional e saúde da empresa.

Crescimento da dependência

CONCEITO: Os riscos são inerentes e proporcionais aos índices de dependência que a empresa tem – da informação e da complexidade da estrutura que suporta os processos de automação, informatização e compartilhamento de informações.

Visão holística do risco

CONCEITO: Considerar os planos e identificar os desafios e as características específi cas do negócio são os primeiros passos para modelar uma solução de segurança adequada.

Receita explosiva

CONCEITO: Olhar ao redor e projetar novas situações deve ser uma prática para as empresas preocupadas em construir uma solução sólida, mas adequadamente flexível para se ajustar às mudanças que inevitavelmente ocorrerão no ambiente.

Ciclo de vida da informação

CONCEITO: A visão corporativa da segurança da informação deve ser comparada a uma corrente, em que o elo mais fraco determina o seu grau de resistência e proteção. A invasão ocorre onde a segurança falha!

Gestão da Segurança da Informação

Anatomia do problema

CONCEITO: Segurança é implementar controles que reduzam o risco a níveis adequados, viáveis e administráveis.

Visão corporativa

CONCEITO: As empresas são diferentes e precisarão mapear o seu risco através da ponderação de ameaças, vulnerabilidades físicas, tecnológicas e humanas, e impactos, em busca da especifi cação da solução ideal.

Pecados praticados

CONCEITO: Aprender com as experiências e erros cometidos por terceiros faz parte do processo de crescimento, mas aprender com os próprios deve fazer parte do seu processo de sobrevivência.

Conscientização do corpo executivo

CONCEITO: Somente com apoio executivo as ações de segurança ganharão autonomia e abrangência capazes de incidir corporativamente sobre os furos de segurança.

Retorno sobre o investimento

CONCEITO: Projetar o ROI de ações integradas e alinhadas com as diretrizes estratégicas da empresa representará eficaz ferramenta de conscientização e sensibilização do executivo, afim de ganhar seu comprometimento.

Posicionamento hierárquico

CONCEITO: Autonomia e posicionamento estratégico são condições primordiais para sustentar um processo dinâmico de administração de segurança eficiente.

Gestão da Segurança da Informação

Gerência de mudanças

CONCEITO: A segurança deve ser tratada como um processo corporativo capaz de considerar as inevitáveis mudanças físicas, tecnológicas, humanas e contextuais, e reagir dinamicamente.

Modelo de gestão corporativa de segurança

CONCEITO: O fato de existir agora um modelo de gestão que sirva de bússola não garante o sucesso de sua implantação.

É preciso ter uma estrutura humana multiespecialista, dedicada e embasada conceitualmente, sempre em busca de atualização.

Barreiras da segurança

CONCEITO: Conhecer as barreiras da proteção e buscar sinergia entre elas não é sufi ciente sem um diagnóstico capaz de associar ativos e processos de negócio, transcendendo o mapeamento de falhas tecnológicas e identificando os riscos da empresa pela análise do trinômio pessoas, tecnologia e processos.

Equação do risco

CONCEITO: Cada empresa terá a sua equação de risco personalizada. Um verdadeiro painel de controle que sinalizará situações de risco controlado, situações de risco flutuante e, ainda, situações de risco intolerante.

Comitê corporativo de segurança da informação

CONCEITO: Espinha dorsal, o comitê corporativo deve ser consistente, dinâmico e flexível para representar oficialmente os interesses da empresa perante os desafios do negócio.

Como conduzir internamente a negociação

CONCEITO: Conquistar o comprometimento da diretoria da empresa é condição sine qua non para obter o dimensionamento apropriado dos recursos financeiros que irão subsidiar a estrutura mantenedora do modelo de gestão corporativa de segurança da informação.

Por isso, seja convincentemente consistente para fazê-la perceber a segurança como investimento, e não como despesa.

Gestão da Segurança da Informação

Sabendo identificar o parceiro externo

CONCEITO: A escolha do parceiro que cumprirá o papel de retaguarda de segurança definirá o sucesso ou o insucesso da iniciativa.

Por isso, reúna informações particulares sobre o candidato que ratifiquem sua notória especialização, sua experiência e, principalmente, seu comprometimento com os resultados corporativos finais e alinhado às diretrizes estratégicas do negócio.

Afinal, ninguém procura qualquer médico quando tem de operar o coração.

Conformidade com norma específica

CONCEITO: Ao se estruturar para gerir a segurança da informação a partir de um modelo dinâmico e flexível, é fundamental acompanhar os movimentos do mercado local, de seus parceiros na cadeia produtiva e, também, os movimentos internacionais.

Procure estar em sinergia com os conceitos e as iniciativas de normalização nacionais e internacionais, a fim de lhe proporcionar o melhor retorno sobre o investimento.

Continuidade de negócios

CONCEITO: Para garantir a eficiência da gestão de continuidade de negócios, é preciso construir um processo dinâmico de manutenção de todos os documentos, garantindo a integração e a eficácia em situações de desastre.

Desenvolver os planos necessários a partir de uma análise de riscos prévia e de uma análise de impacto nos negócios é a melhor forma de aumentar a eficácia e o retorno sobre os investimentos.

Política de segurança da informação

CONCEITO: Forme um grupo multidisciplinar, integrando necessidades e visões distintas e enriquecedoras.

Defina um processo de criação, manutenção e divulgação da política.

Envolva a alta direção e inicie os trabalhos com a elaboração das diretrizes e principais normas.

Comece pequeno, mas pense grande.

A maturidade de segurança de uma empresa está ligada diretamente à abrangência de sua política de segurança e à disseminação de cultura por seus ativos humanos.

Treinamento e sensibilização em segurança

CONCEITO: O nível de segurança de uma corrente é equivalente à resistência oferecida pelo elo mais fraco.

O peopleware representa justamente esse elo.

Por isso, deve ser alvo de um programa contínuo e dinâmico, capaz de manter os recursos humanos motivados a contribuir, conscientes de suas responsabilidades e preparados para agir diante de antigas e novas situações de risco.

Equipe para resposta a incidentes

CONCEITO: A segurança do negócio depende do tempo em que a empresa mantém seus ativos vulneráveis e à mercê de ameaças que podem explorá-las.

Pela complexidade dos ambientes e a velocidade com que as mudanças surgem, é preciso manter ou acionar uma equipe multiespecializada, capaz de agir de forma integrada e com velocidade para reduzir o tempo de exposição, minimizando os impactos.

O risco da conformidade

CONCEITO: Cuidado para não acreditar que, por estar conforme ou mesmo certificada em uma norma, sua empresa está segura.

Isso não é verdade.

Foque em detecção e resposta, buscando a continuidade da operação mesmo em condições degradadas.

Trabalhe diligente e constantemente na implementação de controles adequados e planeje-se para a falha.

Coloque em prática processos consistentes que, em caso de falha, o façam da forma mais previsível e segura possível.

Gestão da Segurança da Informação

Para Quem é Esse livro?

O livro Gestão da Segurança da Informação é para os líderes empresariais.

Especificamente, por acreditar que, além de serem os responsáveis pelas decisões mais estratégicas de uma empresa, se naturalmente tomarem boas decisões, eles educam toda a pirâmide corporativa que depende desse executivo.

Todos os profissionais que trabalham nessa empresa e, automaticamente, todos aqueles profissionais que estão na sua cadeia produtiva.

Portanto, outras empresas que trabalhem em conjunto com aquela, cujo executivo tem maturidade, tem visão de negócio, tem a percepção do risco e toma as decisões certas.

Frase de camiseta

“Nada é 100% seguro. O segredo é saber gerenciar os riscos e conviver com eles.”

Desafio

Vamos lá a um desafio aparentemente simples, mas que é um ótimo ponto de partida.

Provavelmente você tem um cartão de crédito, e deve fazer uso dele inúmeras vezes ao dia… no posto de gasolina, na loja, no supermercado.

Pegue seu cartão, olhe para ele e imagine-se passando esse cartão para a mão de um vendedor — que está com você te atendendo na loja — e pense o que é que você pode fazer fisicamente no seu cartão de crédito que vai aumentar a sua segurança.

Esse é o desafio. Topa?

Esse resumo substitui a leitura do livro O Poder da Presença?

Não queremos que você deixe a leitura do livro de lado.

Além de escutar este podcast com o resumo do livro, recomendamos que você leia a obra “Gestão da Segurança da Informação” na íntegra.

Use o ResumoCast como uma espécie de curadoria do próximo livro que você vai ler!

É o que a maioria dos nossos ouvintes fazem.

Capa do Livro Gestão da Segurança da Informação

Clique aqui para baixar gratuitamente esse livro de forma legal, disponibilizada pelo próprio autor.

Entre para o Clube do Livro

O Clube do Livro é uma atividade promovida pelo ResumoCast, em que um grupo de ouvintes (tribers apoiadores) é desafiado a ler e resumir capítulos de livros e debatê-los em grupo semanalmente. 

No Clube do Livro todos os participantes têm a oportunidade de:

  • Formar o hábito da leitura;
  • Melhorar a retenção do conteúdo que leu;
  • Vencer o medo de falar em público;
  • Desenvolver a habilidade de fazer sínteses e resumos;
  • Fazer networking com pessoas positivas que adoram livros de empreendedorismo e desenvolvimento pessoal;
  • Desenvolver a competência da liderança;
  • Oportunidade de desenvolver a auto-responsabilidade e comprometimento com o grupo.

Para se tornar um(a) apoiador(a) do ResumoCast, clique aqui.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima