Riscos, Gerenciamento, Impacto e Conhecimento
Embora saiba que o vetor de ameaça da área de TI permanecerá, predominantemente, focado e de natureza técnica, o gerenciamento de de risco é realizado em nível empresarial e opera além dos limites de riscos da área questionada. Os impactos de segurança são sentidos em toda a empresa e, portanto, demonstram este conhecimento do negócio mais amplo para o C-Suite, que irá criar um sentido mais profundo de compreensão do verdadeiro papel e da relevância da segurança nos ambientes organizacionais. Além disso, já houve uma explanação de que a segurança está se movendo a partir do departamento de TI para a sala de reuniões. Com base em sua experiência, ele diz que os líderes empresariais de hoje são bem mais experientes em segurança de um modo geral.
Para muitos CISOs do Reino Unido, as recentes iniciativas do governo britânico tem sido um impulso muito bem-vindo para mover a agenda de segurança do departamento de TI para a sala de reuniões; no entanto, isso traz problemas para o tipo de profissional de segurança que eles ainda não tenham encontrado. Por muitos anos, os profissionais de segurança da informação têm procurado ganhar a atenção da C -Suite - a questão agora é: será que eles podem lidar com a atenção que estão recebendo, e responder de uma forma que propicia a um executivo cada vez mais esclarecido atender a uma comunidade ou mesmo executar um processo de gerenciamento não-executivo?
Pensamento Progressivo
O Fabric of the Boardroom and Audit Committee está mudando, com empresas mais jovens trazendo pessoal de pensamento progressivo, acelerando assim, os processos de tomada de decisão. Estes novos líderes reconhecem que a segurança é necessária para a gestão de riscos de negócios, mas estão questionando as suas atitudes; eles não irão tolerar uma resposta baseada apenas na política impulsionada em políticas de compliance, desenvolvidas em resposta a exercícios teóricos desatualizados.
Liderança de Negócios
Para o executivo, também foi perguntado se existe pouca dúvida de que houve um aumento na consciência e compreensão por parte da liderança de negócios em torno de questões de segurança da informação. Ele disse acredita que a questão mais relevante para perguntar é "quem precisa se tornar mais experiente - a empresa que lidera sobre a área de segurança ou o profissional de segurança em sua liderança empresarial?
Orientações ao CISO, Delineio do ROI e Alinhamento dos Projetos de Segurança da Informação
Além do mais, foi perguntando ao executivo, qual conselho ele daria a um CISO de uma grande organização, que precisa delinear um ROI de segurança para um importante processo de gerenciamento? Ele disse que é necessário garantir que os projetos de segurança da informação estejam alinhados com projetos de negócios, pois isso é fundamental para demonstrar o ROI de segurança para o C-Suite - caso não haja a possibilidade de estabelecer uma ligação, para demonstrar nada mais do que benefícios intangíveis. Em alguns casos, essa é uma tarefa não apenas difícil, mas praticamente impossível.
Análise Minuciosa de Projetos Empresariais
De acordo com Mark Brown, o importante é começar analisando os projetos em toda a empresa, e não apenas a parte interna para TI, pois a segurança está permitindo que isso seja feito. Além disso, é necessário conversar com as partes interessadas no negócio e que são responsáveis por esses projetos. Na sequência, vem a pergunta sobre como a segurança está envolvida no projeto e qual o valor do projeto em relação ao negócio.
Se as atividades de segurança não estavam alinhadas com o projeto, teria sido esse projeto entregue com sucesso? Se a segurança não pode alinhar-se a esses projetos, pergunta-se: por que esses projetos de segurança estão ainda a ser realizados? De acordo com Mark, eles estão apenas entregando um julgamento caprichoso feito pelo CISO e / ou CIO, sobre o que eles acreditam que deve ser feito, ao invés de uma decisão validada pela empresa.
Algumas atitudes estão relacionadas à defensiva de compliance, enquanto outros criam uma culpa, que dá uma falsa sensação de segurança. Para Mark, foi perguntado qual sua opinião sobre os bons e maus lados do compliance? Ele respondeu que o compliance é uma parte necessária da governança corporativa, no entanto, nos últimos anos, o termo compliance se tornou sinônimo de segurança, fornecendo uma falsa sensação de segurança para os tomadores de decisão.
Importância das Práticas de Compliance
Embora os dois termos sejam significado de gerenciamento de riscos, as práticas de compliance determinam um conjunto fixo de respostas normalmente baseados em normas regulamentares ou legislativas; por outro lado, a segurança ainda requer um negócio para o buy-in para a necessidade de políticas e procedimentos, além de estar centrada sobre os anseios que se referem ao risco da empresa e tomada de decisões.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1985&p=2