Segurança da Informação no Topo da Agenda

Como a Alta Direção pode garantir um SGSI eficaz e blindar sua empresa

Na norma ISO 27001, o envolvimento da alta direção é um aspecto crucial para o sucesso da implementação e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI). Esse compromisso é detalhado no Artigo 5.1 – Liderança e Comprometimento, que define as responsabilidades da alta gerência em relação à segurança da informação.

Principais responsabilidades da alta direção:

• Assegurar que a segurança da informação seja integrada aos processos de negócio da organização e que esteja alinhada com seus objetivos estratégicos. Isso significa que a alta gerência deve reconhecer a importância da segurança da informação para o sucesso da organização e deve garantir que os recursos necessários sejam alocados para sua implementação e manutenção.
• Comunicar a importância da segurança da informação para todos os colaboradores da organização. Isso pode ser feito por meio de declarações públicas, treinamentos, campanhas de conscientização e outros canais de comunicação.
• Estabelecer e comunicar a Política de Segurança da Informação da organização. A Política deve ser clara, concisa e acessível a todos os colaboradores. Ela deve definir os princípios e compromissos da organização em relação à segurança da informação.
• Definir os objetivos de segurança da informação da organização. Os objetivos devem ser mensuráveis, atingíveis, relevantes e temporizáveis.
• Monitorar e analisar o desempenho do SGSI e tomar medidas corretivas quando necessário. Isso inclui realizar auditorias internas, revisar relatórios de incidentes e realizar testes de penetração.
• Proteger a confidencialidade das informações da organização. Isso inclui implementar medidas de controle de acesso físico e lógico, criptografar dados confidenciais e treinar os colaboradores sobre como lidar com informações confidenciais.
• Manter o SGSI atualizado e adequado às necessidades da organização. Isso inclui revisar e atualizar a Política de Segurança da Informação, os objetivos de segurança da informação e os controles de segurança da informação periodicamente.

Benefícios do envolvimento da alta direção:

• Melhora a cultura de segurança da informação na organização.
• Reduz o risco de incidentes de segurança da informação.
• Aumenta a confiança dos clientes e parceiros na organização.
• Contribui para o cumprimento das leis e regulamentações relacionadas à segurança da informação.
• Melhora a reputação da organização.

Dicas para garantir o envolvimento da alta direção:

• Demonstrar o impacto da segurança da informação nos resultados da organização. Isso pode ser feito quantificando os custos de incidentes de segurança da informação e os benefícios da implementação de um SGSI.
• Manter a alta direção informada sobre o desempenho do SGSI. Isso pode ser feito por meio de relatórios periódicos, apresentações e reuniões.
• Envolver a alta direção na definição e revisão da Política de Segurança da Informação e dos objetivos de segurança da informação.
• Solicitar à alta direção que participe de treinamentos de conscientização sobre segurança da informação.
• Incentivar a alta direção a comunicar a importância da segurança da informação aos colaboradores da organização.

Ao seguir essas dicas, as organizações podem garantir que a alta direção esteja comprometida com a segurança da informação e que o SGSI seja implementado e mantido de forma eficaz.

Recursos adicionais:

• Website da ISO: https://www.iso.org/home.html
• Website da ABNT: https://abnt.org.br/