Um modelo de governança de segurança da informação deve ser focado, basicamente, em três atividades: direção, avaliação e monitoramento das informações e atividades dos sistemas da organização, estabelecendo papéis e responsabilidades para os comitês e setores estratégicos e de direção da empresa.
O setor responsável pela governança da segurança da informação dentro de uma instituição é denominado conselho de administração, e deve ser embasado necessariamente em pelo menos uma das seguintes normas:
- ISSO/IEC 27000: Padrão para sistemas de gestão da segurança da informação categorizado em “Tecnologia da informação – técnicas de segurança – Sistemas de gerência da segurança da informação”;
- ISSO/IEC 38500: Baseado em um padrão australiano (AS8015), esse padrão cobre aspectos relacionados à Governança Corporativa de TI;
- ISACA: associação internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das atividades de auditoria e controle em sistemas de informação;
- ITGI: órgão interdisciplinar com autonomia administrativa, que tem como finalidade promover o intercâmbio de informações, a pesquisa e a sustentabilidade;
- ITSMF: organização independente e sem fins lucrativos, que reúne cerca de 3 mil organizações em todo o mundo nos setores das tecnologias de informação, administração pública, telecomunicações e grande consumo.
Assim, um modelo de governança da segurança da informação deve focar em políticas e estratégias que visem manter e seguir os padrões de serviços para garantir a segurança da informação da organização, traçando métricas de segurança, implementação da governança, alinhamento estratégico e gerenciamento de risco.
// Comente!
comentários