{"id":10872,"date":"2017-02-23T21:13:16","date_gmt":"2017-02-23T21:13:16","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=10872"},"modified":"2022-07-17T15:43:16","modified_gmt":"2022-07-17T15:43:16","slug":"direcionamento-estrategico-de-uma-organizacao-de-acordo-com-a-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2017\/02\/23\/direcionamento-estrategico-de-uma-organizacao-de-acordo-com-a-iso-27001\/","title":{"rendered":"Alinhando a seguran\u00e7a da informa\u00e7\u00e3o com o direcionamento estrat\u00e9gico de uma organiza\u00e7\u00e3o de acordo com a ISO 27001"},"content":{"rendered":"<p>H\u00e1 um requisito da <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>\u00a0que \u00e9 muito raramente mencionado, ainda que seja provavelmente crucial para a \u201csobreviv\u00eancia\u201d de longo prazo de um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o SGSI) em uma organiza\u00e7\u00e3o: este \u00e9 o requisito da cl\u00e1usula 5.1 que diz que a alta dire\u00e7\u00e3o precisa assegurar que a <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/politica-do-sistema-de-gestao-da-seguranca-da-informacao\/\" target=\"_blank\" rel=\"noopener\">pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o<\/a>\u00a0e os objetivos de seguran\u00e7a da informa\u00e7\u00e3o s\u00e3o <em>\u201ccompat\u00edveis com o direcionamento estrat\u00e9gico da organiza\u00e7\u00e3o.\u201d<\/em><\/p>\n<p>Primeiro de tudo, o que significa <em>direcionamento estrat\u00e9gico<\/em>?<\/p>\n<h2>Estrat\u00e9gia da organiza\u00e7\u00e3o e direcionamento estrat\u00e9gico<\/h2>\n<p>Existem muitas defini\u00e7\u00f5es de estrat\u00e9gia de neg\u00f3cio, e parece que a defini\u00e7\u00e3o de Michael Porter \u00e9 uma das mais populares \u2013 ele definiu estrat\u00e9gia como uma \u201c<em>f\u00f3rmula ampla para como um neg\u00f3cio ir\u00e1 competir, quais deveriam ser suas metas, e quais pol\u00edticas ser\u00e3o necess\u00e1rias para atingir estas metas\u201d<\/em>.<\/p>\n<p>Para o termo direcionamento estrat\u00e9gico, n\u00e3o existem gurus que tenham definido o que ele significaria, mas muitas das fontes dizem que direcionamento estrat\u00e9gico significa especificar objetivos, desenvolver pol\u00edticas e planos para atingir estes objetivos, e prover recursos para este atingimento. Algumas fontes simplesmente dizem que direcionamento estrat\u00e9gico \u00e9 sobre definir a vis\u00e3o, estrat\u00e9gia e t\u00e1ticas da organiza\u00e7\u00e3o, dizendo que a vis\u00e3o define a meta geral a ser atingida, a estrat\u00e9gia define como isto \u00e9 feito e as t\u00e1ticas s\u00e3o atividades concretas que precisam ser realizadas.<\/p>\n<p>Assim, como a seguran\u00e7a da informa\u00e7\u00e3o pode ajudar a organiza\u00e7\u00e3o e competir, apoiar seus planos para atingir objetivos estrat\u00e9gicos, e prover recursos para alcan\u00e7ar suas estrat\u00e9gias de neg\u00f3cio?<\/p>\n<p>No meu ponto de vista, isto pode ser alcan\u00e7ado como iniciativas que v\u00e3o em duas dire\u00e7\u00f5es: dos profissionais de seguran\u00e7a da informa\u00e7\u00e3o em dire\u00e7\u00e3o a alta administra\u00e7\u00e3o, e da alta administra\u00e7\u00e3o em dire\u00e7\u00e3o aos profissionais de seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n<h2>Definindo os benef\u00edcios da seguran\u00e7a da informa\u00e7\u00e3o<\/h2>\n<p>Como mencionei em meu artigo: <a href=\"\/27001academy\/pt-br\/knowledgebase\/quatro-beneficios-fundamentais-da-implementacao-da-iso-27001\/\">Quatro benef\u00edcios fundamentais da implementa\u00e7\u00e3o da ISO 27001<\/a>, profissionais de seguran\u00e7a da informa\u00e7\u00e3o deveriam encontrar uma raz\u00e3o do porqu\u00ea a alta dire\u00e7\u00e3o deveria se importar com o seu SGSI \u2013 e para atingir isto eles t\u00eam que focar nos benef\u00edcios de neg\u00f3cio, porque estes benef\u00edcios s\u00e3o os que podem ser tornar atrativos o bastante para a alta dire\u00e7\u00e3o de forma que ela possa dar prioridade suficiente para as atividades para as atividades de seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n<p>No artigo mencionado eu listei quatro benef\u00edcios potenciais: conformidade com a legisla\u00e7\u00e3o e obriga\u00e7\u00f5es contratuais, vantagem de mercado, redu\u00e7\u00e3o de custos e melhor organiza\u00e7\u00e3o interna.<\/p>\n<p>Ap\u00f3s voc\u00ea selecionar os benef\u00edcios de neg\u00f3cio mais apropriados para sua organiza\u00e7\u00e3o, voc\u00ea deve apresenta-los para a alta dire\u00e7\u00e3o \u2013 aqui est\u00e1 um artigo que o ajudar\u00e1 a fazer isso: <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2016\/09\/16\/4-tecnicas-cruciais-para-convencer-sua-alta-direcao-sobre-a-implementacao-da-iso-27001\/\">4 t\u00e9cnicas cruciais para convencer sua alta dire\u00e7\u00e3o sobre a implementa\u00e7\u00e3o da ISO 27001 <\/a>.<\/p>\n<h2>Tomando decis\u00f5es estrat\u00e9gicas sobre seguran\u00e7a da informa\u00e7\u00e3o<\/h2>\n<p>Uma vez que a alta dire\u00e7\u00e3o comece a perceber a import\u00e2ncia da seguran\u00e7a da informa\u00e7\u00e3o para sua organiza\u00e7\u00e3o, o que \u00e9 que eles t\u00eam que fazer?<\/p>\n<p>De acordo com o artigo <a href=\"https:\/\/www.researchgate.net\/publication\/220306226_Mastering_the_art_of_corroboration_A_conceptual_analysis_of_information_assurance_and_corporate_strategy_alignment\" target=\"_blank\" rel=\"noopener\"><em>Mastering the art of corroboration: A conceptual analysis of information assurance and corporate strategy alignment<\/em><\/a>\u00a0(publicado em 2007, mas ainda muito relevante), a alta dire\u00e7\u00e3o precisa tomar algumas decis\u00f5es cruciais sobre como encaixar a seguran\u00e7a da informa\u00e7\u00e3o dentro da organiza\u00e7\u00e3o; i.e., ela precisa decidir entre as seguintes trocas:<\/p>\n<ul>\n<li>Necessidade por criatividade versus o uso de controles procedurais de garantia da informa\u00e7\u00e3o<\/li>\n<li>Necessidade de confian\u00e7a entre empregados versus controle de cima para baixo<\/li>\n<li>Facilidade de fazer neg\u00f3cio para stakeholders versus uma maior exposi\u00e7\u00e3o a amea\u00e7as<\/li>\n<li>Insourcing versus outsourcing<\/li>\n<li>Reputa\u00e7\u00e3o da organiza\u00e7\u00e3o versus lucros<\/li>\n<\/ul>\n<p>Adicionalmente, de acordo com a pesquisa conduzida em 2013 pela McKinsey and World Economic Forum em ciber seguran\u00e7a (os resultados est\u00e3o publicados neste artigo: <a href=\"https:\/\/www.mckinsey.com\/business-functions\/digital-mckinsey\/our-insights\/why-senior-leaders-are-the-front-line-against-cyberattacks\" target=\"_blank\" rel=\"noopener\"><em>Why senior leaders are the front line against cyberattacks<\/em><\/a>), em organiza\u00e7\u00f5es que est\u00e3o entre as mais bem sucedidas em seguran\u00e7a da informa\u00e7\u00e3o, os gerentes s\u00eaniores est\u00e3o fazendo o seguinte:<\/p>\n<ul>\n<li>Se engajando ativamente na tomada de decis\u00f5es estrat\u00e9gicas<\/li>\n<li>Direcionando as considera\u00e7\u00f5es das implica\u00e7\u00f5es de ciber seguran\u00e7a atrav\u00e9s das fun\u00e7\u00f5es de neg\u00f3cio<\/li>\n<li>Empurrando mudan\u00e7as no comportamento dos usu\u00e1rios<\/li>\n<li>Assegurando que governan\u00e7a eficaz e reporte estejam implementados<\/li>\n<\/ul>\n<p>A pr\u00f3pria ISO 27001 requer que algumas atividades sejam feitas diretamente pela alta dire\u00e7\u00e3o \u2013 voc\u00ea pode v\u00ea-las neste artigo: <a href=\"\/27001academy\/pt-br\/blog\/2014\/06\/10\/papeis-e-responsabilidades-da-alta-direcao-na-iso-27001-e-iso-22301\/\">Pap\u00e9is e responsabilidades da alta dire\u00e7\u00e3o na ISO 27001 e ISO 22301<\/a>. Adicionalmente, a alta dire\u00e7\u00e3o precisar\u00e1 aprovar o or\u00e7amento para a implementa\u00e7\u00e3o e manuten\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o, e aprovar os riscos residuais (eles geralmente proveem esta aprova\u00e7\u00e3o em nome dos donos de riscos).<\/p>\n<h2>O ciclo virtuoso<\/h2>\n<p>Claro, n\u00e3o estou sugerindo estas duas iniciativas deveriam ser feitas separadamente \u2013 ao inv\u00e9s disso, isto deveria ser parte de um ciclo: profissionais de seguran\u00e7a da informa\u00e7\u00e3o sugerem a alta dire\u00e7\u00e3o alguns benef\u00edcios de neg\u00f3cio; quando eles perceberem o potencial, eles ter\u00e3o mais interesse e come\u00e7ar\u00e3o a tomar decis\u00f5es cruciais; isto por sua vez ir\u00e1 criar novas ideias de benef\u00edcios de seguran\u00e7a da informa\u00e7\u00e3o, e o ciclo ir\u00e1 se repetir.<\/p>\n<p>Por exemplo, a alta dire\u00e7\u00e3o de uma empresa de varejo decide que precisa aumentar sua participa\u00e7\u00e3o de Mercado na Internet atrav\u00e9s de sua loja virtual, assim o CISO da empresa sugere que a certifica\u00e7\u00e3o ISO 27001 poderia ajudar com a redu\u00e7\u00e3o do risco potencial de ataques de hacking e tamb\u00e9m ao aumentar a confian\u00e7a de compradores em potencial; ao iniciar a implementa\u00e7\u00e3o do SGSI, a alta dire\u00e7\u00e3o precisa decidir sobre quais riscos s\u00e3o aceit\u00e1veis e quanto eles tem que apertar seus processos existentes para que eles sejam mais seguros. Durante este processo, o CISO descobre novas formas de melhorar estes processos e diminuir os custos de opera\u00e7\u00e3o.<\/p>\n<p>Para documentar tudo isto de acordo com a ISO 27001, estas iniciativas precisam estar refletidas na pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o e nos objetivos de seguran\u00e7a \u2013 para usar o mesmo exemplo, esta empresa de varejo define os objetivos gerais de seguran\u00e7a relacionados ao n\u00famero de incidente de seguran\u00e7a para sua loja virtual, e tamb\u00e9m a percep\u00e7\u00e3o de seguran\u00e7a de seus compradores (eles podem obter esta informa\u00e7\u00e3o atrav\u00e9s de pesquisas). A pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o deles deveria refletir o fato de que a Internet como um canal se tornar\u00e1 mais e mais importante para os seus neg\u00f3cios em geral, e que todos os outros processos na empresa ter\u00e3o que se tornar mais orientados em dire\u00e7\u00e3o a vendas na Internet, mas tamb\u00e9m para se tornarem mais seguros.<\/p>\n<p>Assim, a seguran\u00e7a da informa\u00e7\u00e3o se torna uma parte importante da tomada de decis\u00e3o estrat\u00e9gica, e consequentemente, uma parte das opera\u00e7\u00f5es di\u00e1rias de todos os empregados na empresa. Qual sua opini\u00e3o \u2013 isto \u00e9 muito dif\u00edcil de atingir?<\/p>\n<p><em>Clique aqui para fazer o download deste artigo gratuito: \u00a0<\/em><a href=\"https:\/\/info.staging.advisera.com\/27001academy\/free-download\/integration-of-information-security-it-and-corporate-governance\" target=\"_blank\" rel=\"noopener\">Integration of Information Security, IT and Corporate Governance<\/a><em>\u00a0para aprender como integrar a seguran\u00e7a cibern\u00e9tica com outras fun\u00e7\u00f5es da empresa.<\/em><\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>H\u00e1 um requisito da ISO 27001\u00a0que \u00e9 muito raramente mencionado, ainda que seja provavelmente crucial para a \u201csobreviv\u00eancia\u201d de longo prazo de um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o SGSI) em uma organiza\u00e7\u00e3o: este \u00e9 o requisito da cl\u00e1usula 5.1 que diz que a alta dire\u00e7\u00e3o precisa assegurar que a pol\u00edtica de seguran\u00e7a da &#8230;<\/p>\n","protected":false},"author":26,"featured_media":10873,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-10872","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10872","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=10872"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10872\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/10873"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=10872"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=10872"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=10872"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}