Governança da Segurança da Informação

Gerenciar exclusivamente os sistemas de TI e a infraestrutura de hardware.

Assegurar que a postura de segurança da organização reflita a direção e as intenções da alta administração, utilizando uma abordagem estruturada para a implementação de um programa de segurança.

Focar unicamente em controles técnicos, como firewalls e criptografia.

Eliminar completamente todos os riscos de segurança da organização.

Desenvolver políticas e padrões de segurança detalhados.

Implementar novas tecnologias de segurança.

A alta administração determinar os resultados que deseja do programa de segurança da informação.

Conduzir uma avaliação de risco abrangente.

As políticas são desenvolvidas em resposta aos padrões, definindo limites para pessoas e tecnologia.

Os padrões declaram a intenção da administração em um nível elevado, enquanto as políticas definem limites para a conformidade.

As políticas declaram a intenção e a direção da administração em um nível elevado, enquanto os padrões definem limites para pessoas, processos, procedimentos e tecnologias para manter a conformidade com as políticas.

Políticas e padrões são termos intercambiáveis com o mesmo significado.

Porque isso reduz a necessidade de auditorias externas.

Sem ele, problemas como financiamento inadequado, falta de pessoal e má conformidade persistirão.

Ele garante que todos os projetos de segurança sejam automatizados.

Ele permite que a equipe de segurança opere de forma independente, sem supervisão.

A Segurança da Informação foca em ativos físicos, enquanto a Segurança de TI foca em ativos digitais.

A Segurança da Informação abrange todos os aspectos das informações, em qualquer meio, independentemente de como são manuseadas, processadas, transportadas ou armazenadas, enquanto a Segurança de TI se preocupa com as informações dentro dos limites do domínio da tecnologia, geralmente em capacidade de custódia.

A Segurança de TI é um conceito mais amplo que engloba a Segurança da Informação.

Não há distinção significativa; os termos são sinônimos.

Capacidade de Risco é a quantidade de risco que uma entidade está disposta a aceitar, enquanto Apetite ao Risco é a quantidade objetiva de perda que uma empresa pode tolerar.

Ambos os termos se referem ao nível máximo aceitável de risco determinado pela TI.

Capacidade de Risco é a quantidade objetiva de perda que uma empresa pode tolerar sem que sua existência seja posta em risco, e Apetite ao Risco é a quantidade de risco que uma entidade está disposta a aceitar em busca de sua missão, dentro dos limites da capacidade de risco.

Capacidade de Risco determina os requisitos de seguro, e Apetite ao Risco determina os planos de resposta a incidentes.

A gestão de riscos deve estar em vigor antes que a governança possa ser estabelecida.

A conformidade deve ser aplicada antes da governança ou da gestão de riscos.

A governança deve estar em vigor antes que o risco possa ser efetivamente gerido e a conformidade aplicada.

Todos os três elementos (Governança, Risco, Conformidade) podem ser implementados independentemente, sem uma ordem específica.

Estratégia, Orçamento, Treinamento e Hardware.

Design organizacional e estratégia, Pessoas, Processos e Tecnologia.

Políticas, Padrões, Procedimentos e Diretrizes.

Prevenção, Detecção, Resposta e Recuperação.

Ela garante que apenas a equipe de segurança de TI seja responsável pela segurança.

Ela permite controles de segurança menos rigorosos.

A segurança deve ser vista como uma responsabilidade compartilhada por todos os funcionários, impulsionada pela conscientização, o compromisso da alta administração e a integração nos processos de negócios.

Uma cultura forte elimina a necessidade de políticas formais de segurança.

A estratégia deve ser descartada e reescrita anualmente.

Ela deve ser um documento vivo, com objetivos, abordagens e métodos mudando para atender a novas condições, informada por métricas internas, eventos externos e avaliações de risco.

Isso significa que os controles de segurança devem ser atualizados apenas a cada cinco anos.

A estratégia deve permanecer rígida para garantir a consistência.