Gestão de Riscos e o Cobit 5 para Segurança da Informação

Cobit 5

Por que devemos dar atenção para a gestão de riscos?

A Gestão de Riscos é definida com as atividades coordenadas para direcionar e controlar uma organização no que se refere ao risco (ABNT ISO/IEC Guia 73:2005). A gestão de riscos deve ser um processo que inclui a identificação, análise, avaliação, tratamento, aceitação, comunicação, monitoramento e revisão do risco, onde se deve analisar todos os riscos inerentes 'as atividades de uma determinada organização, processo ou atividade.

Dentro deste enfoque temos a visão de melhoria contínua determinada pela conhecida sigla PDCA (Plan, Do, Check and Act) consistindo em um ciclo de análise e melhoria dos processos gerenciais básicos necessários para que o processo, organização ou atividade ligada a segurança da informação estejam alinhados, compatíveis e em conformidade com as normas referentes 'a gestão de riscos.

Na etapa de planejamento é iniciada as definições estratégicas e a forma como elas serão alcançadas através das políticas, controles e procedimentos para garantir a segurança das informações. É muito importante que a direção da organização esteja comprometida e alinhada com o processo de definição estratégico e seus entregáveis. De acordo com a norma ISO 27005, enquanto em fase de planejamento são dados enfoques nos processos de Definição do Contexto, Análise/Avaliação de Riscos, Definição do Plano de Tratamento do Risco e Aceitação do Risco.

Na próxima etapa, da execução, os processos que foram definidos na etapa anterior serão implementados e executados, obtendo-se assim informações que serão objeto da próxima etapa. Verificação da conformidade com a ISO 27005 e a implementação do Plano de Tratamento do Risco.

Na etapa de checagem será feita a avaliação dos processos implementados para verificar se o que foi planejado está de acordo com o que foi efetivamente executado de maneira a alcançar as metas. Segundo a ISO 27005 é nesta etapa que é realizado o Monitoramento  Contínuo e Análise Crítica do Risco.

Na etapa final - Act - serão realizadas as ações de correção e prevenção tendo-se como base a percepção e identificação dos desvios de execução e nas observações e considerações expostas pela direção da organização ou do responsável pelos processos.

Como já é sabido, os 34 processos do CobiT podem ser atendidos por outros modelos que definem boas práticas de gestão, tais como: ITIL, PMBOK, CMMI e ISO/IEC 27001 e 27002. Cada um desses modelos possui práticas definidas para a gestão de seus processos, como descrevemos anteriormente para a área de segurança da informação. A correta implantação dessas práticas garante que a entrega e qualidade dos produtos e serviços atendam as necessidades do negócio.

Recentemente foi lançado o COBIT 5, que  é um framework de negócios para governança e gestão de TI. Esta versão  incorpora as últimas novidades em governança corporativa e técnicas de gerenciamento. Fornece princípios globalmente aceitos, práticas, ferramentas e modelos analíticos para ajudar a aumentar a confiança e valor nos sistemas de informação.

O COBIT 5 foi lançado em abril de 2012, consolida e integra o CobiT 4.1, Val IT 2.0 e frameworks de risco de TI. Alinha-se com estruturas e padrões, como o Information Technology Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture Framework (TOGAF).

Em seguida a  ISACA lançou  o documento "COBIT 5 for Information Security": guia para a Segurança Corporativa de TI.

Este documento foi elaborado sobre o Framework recém lançado do CobiT 5: Guia de Governança e Gestão Corporativa de TI.

O que encontramos na pesquisa promovida pela ISACA no ano passado, é que uma em cada quatro empresas (25%) experimentou falhas de segurança, e 19% delas teve problemas de segurança especificamente com dispositivos móveis.  A pesquisa, cujo titulo no original é:  "2012 Governance of Enterprise IT (GEIT) Survey," foi direcionada para mais de 700 profissionais de TI da região Asia-Pácifico que são membros da ISACA.

A nuvem contribui com 10% das ameaças de Segurança

A pesquisa também apontou que nos próximos 12 meses, vazamentos de dados e questões relacionadas com empregados passarão a ser os principais temas que impactarão a segurança de TI das empresas. Ainda de acordo com os resultados da pesquisa, as ameaças de segurança da Informação foram classificadas na seguinte ordem:

  • Vazamento de dados (perda ou falha): 22%
  • Erros inadvertidos provocados por empregados: 15%
  • Incidentes relacionados a dispositivos pessoais de empregados (BYOD): 15%
  • Computação na nuvem: 10%
  • Cyber ataques: 8%
  • Hacking externo: 5%
  • Empregados insatisfeitos: 5%
  • Todos os acima: 15%

O Guia "COBIT 5 for Information Security," que é parte da familia de publicações do CobiT 5 está dividido em três seções principais:

1) Segurança da Informação;
2) Usando os facilitadores (enablers) para implementar segurança da informação na prática, e;
3) Adaptando o COBIT 5 for Information Security no ambiente corporativo.

De acordo com Christos Dimitriadis, CISA, CISM, CRISC Vice Presidente Internacional da ISACA, o Guia "'COBIT 5 for Information Security' pode ajudar as empresas na redução de seu perfil de riscos quando a segurança é gerenciada de forma apropriada. A Informação e toda tecnologia a ela relacionada tem se tornado cada vez mais o core business das empresas, mas a segurança da informação é uma questão da confiança que os stakeholders depositam na empresa".

O Guia "COBIT 5 for Information Security" é composto de princípios aceitos mundialmente, bem como de ferramentas e modelos analíticos desenvolvidos para suportar o negocio e a TI, maximizando o grau de confiabilidade e valor que o mercado deposita nas operações da empresa, na sua informação e nos seus ativos de tecnologia.

Por fim, Simon Chan, atual Presidente do capitulo Hong Kong da ISACA diz que "A efetiva governança corporativa de TI é a chave para gerenciar as necessidades corporativas em constantes mudanças, bem como a entrega no prazo dos projetos relacionados, especialmente sob restrição de pessoal, ponto que acomete a maioria das corporações de hoje".

Fontes: enterprisecioforum.com Myles Suer ISACA a.pitkowski

FastSalas.com

Escrito por Administrator, postado domingo, 12 de agosto de 2012. Link permanente. Siga com o RSS feed para este artigo. Você pode postar comentários.

Recomende

Comente

Contato
+11 4063-0077
+11 97344-2533
atendimento@grupotreinar.com.br
RSS
Sobre
Pesquisar por Curso ou Mentoria Minha Conta Entrevistas Crie Cursos Online Publique Conteúdos Contato Fórum Exclusivo
Cursos em destaque
Curso ISO 27000 Gestão de Projetos Curso fmea Forense Computacional Curso ITIL V3 Governança de TI Curso COBIT
MENTORIAS EM DESTAQUE
Mentoria sobre Governança Corporativa
Mentoria sobre Vendas Consultivas
Mentoria Gestão de Branding com Técnicas Teatrais
Mentoria para Empreendedores
Mentoria para Gestores de Equipes de Software
Copyright © 2020 GrupoTreinar
Confira também o FastSalas