Arquitetura de Segurança da Informação é o conjunto de regras, estruturas, orientações, responsabilidades, padrões, diretrizes, abordagens ou qualquer etapa do tratamento de proteção, obrigatórias ou recomendadas, aprovadas pelo Corpo Diretivo, que define como a organização deve gerenciar, governar e garantir a sustentabilidade da segurança das informações sob sua responsabilidade para possibilitar o atendimento aos objetivos corporativos no que depende da informação. (Edison Fontes).
Sem uma Arquitetura de Segurança da Informação especifica, a organização estará como como Alice no País das Maravilhas, quando pergunta ao Chapeleiro Maluco qual o caminho deve seguir. A resposta “Se você não sabe para onde quer ir, qualquer caminho serve.”
Na minha experiencia poucas organizações possuem explicitamente uma Arquitetura de Segurança da Informação documentada possibilitando uma melhor comunicação com o Corpo Diretivo e com os clientes corporativos que cada vez mais exigem evidencias de que a organização trata de maneira efetiva a proteção da informação.
Começando pelo começo, a organização define seus objetivos corporativos e a Arquitetura de Segurança da Informação estabelece em relação à proteção da informação como isto pode acontecer de maneira efetiva.
Mas, quais são os elementos que compõe uma Arquitetura de Segurança da Informação. Evidentemente cada organização e tipos de negócio, possuem suas peculiaridades, mas existem elementos básicos obrigatórios para a arquitetura. Descrevemos abaixo:
- Direcionadores Estruturais
Direcionadores Estruturais são elementos publicados por órgãos nacionais ou internacionais, com credibilidade perante a comunidade profissional/acadêmica e que apresentam uma estrutura que facilita e padroniza o tratamento para a Gestão e Governança do Processo Corporativo de Segurança da Informação. Podem ser normativos internacionais ou específicos de um país. O Gestor de Segurança da Informação deve estar atento a direcionadores estruturais mais aceitos pelo mercado e também aquele exigidos por clientes. Exemplos: ISO, NIST. ITIL, COBIT
- Direcionadores Obrigatórios
Direcionadores Obrigatórios são os controles que devem ser implantados por se tratar de legislação nacional ou internacional, requisitos de mercado, requisitos de clientes ou requisito de fornecedores.
- Gestão da Segurança da Informação
Define como os controles são desenvolvidos, implantados e gerenciados, possibilitando desta maneira a existência de um Processo de Segurança da Informação efetivo (eficaz e eficiente ao longo do tempo).
- Governança da Segurança da Informação
Define as diretrizes que garantirão o alinhamento do Processo Corporativo de Segurança da Informação com a Governança Corporativa da organização.
- Alinhamento com a Governança Corporativa
Garante que a Governança da Segurança da Informação esteja em alinhamento e em conformidade com a Governança Corporativa, considerando os quatro pilares da mesma: Transparência, Equidade, Prestação de Contas e Sustentabilidade da Organização.
- Dimensões da Segurança da Informação
Define a abrangência e os macrocontroles que devem ser considerados para a proteção da informação. Normalmente baseado em um ou mais Direcionadores Estruturais.
- Avaliação Maturidade Gestão Segurança Informação
Trata-se do início ou da melhoria contínua. Identifica o nível de maturidade da organização na Gestão da Segurança da Informação – Gestão dos Controles, e defini planos de ação para que a organização alcance um patamar adequado de segurança.
CONCLUSÃO
A Arquitetura de Segurança da Informação garante o caminho correto para que a organização alcance seus objetivos corporativos, no que diz respeito à informação.
É um tema fascinante. Vamos conversar mais sobre este assunto?
Edison Fontes, CISM, CISA, CRISC, Ms.,Chief Information Security Officer @NAVA – Technology for business.
