Um modelo de governança de segurança da informação deve ser focado, basicamente, em três atividades: direção, avaliação e monitoramento das informações e atividades dos sistemas da organização, estabelecendo papéis e responsabilidades para os comitês e setores estratégicos e de direção da empresa.

O setor responsável pela governança da segurança da informação dentro de uma instituição é denominado conselho de administração, e deve ser embasado necessariamente em pelo menos uma das seguintes normas:

  • ISSO/IEC 27000: Padrão para sistemas de gestão da segurança da informação categorizado em “Tecnologia da informação – técnicas de segurança – Sistemas de gerência da segurança da informação”;
  • ISSO/IEC 38500: Baseado em um padrão australiano (AS8015), esse padrão cobre aspectos relacionados à Governança Corporativa de TI;
  • ISACA: associação internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das atividades de auditoria e controle em sistemas de informação;
  • ITGI: órgão interdisciplinar com autonomia administrativa, que tem como finalidade promover o intercâmbio de informações, a pesquisa e a sustentabilidade;
  • ITSMF: organização independente e sem fins lucrativos, que reúne cerca de 3 mil organizações em todo o mundo nos setores das tecnologias de informação, administração pública, telecomunicações e grande consumo.

Assim, um modelo de governança da segurança da informação deve focar em políticas e estratégias que visem manter e seguir os padrões de serviços para garantir a segurança da informação da organização, traçando métricas de segurança, implementação da governança, alinhamento estratégico e gerenciamento de risco.

// Comente!

comentários