Como estruturar uma Gestão de SI

Para estruturar uma Gestão de SI de forma consistente, é um processo que deve ser elevado seguindo um plano rigoroso e executado conforme planejado, sempre alinhado aos objetivos da organização.

O que precisamos é: Fazer o básico!

Antes de começarmos é importante identificar o estado atual da segurança da informação, assim, antes de mais nada:

Identifique os controles atuais;

Mapeie os riscos de segurança atuais;

Avalie o nível de maturidade da organização.

Planejar (Plan):

Observe o apetite a risco da organização e comece o planejamento.

Cada empresa terá o seu ponto que deve ser atendido imediatamente, então planeje as atividades primárias, secundárias, e assim por diante.

Identifique o objetivo da segurança da informação e elabore a Política de Segurança da Informação (PSI).

Crie processos, integre com soluções existentes ou planeje a integração/substituição.

Documente tudo, porém não esqueça de envolver a todos.

Fazer (Do):

Nesse momento iremos começar a colocar em pratica tudo que planejamos, para isso vamos colocar em uma escala de urgência.

Se possível utilize um recurso de Gerenciamento de Projeto ou Escritório de Projeto para auxiliar.

Divulgue adequadamente e treine a equipe/pessoas afetadas.

Checar (Check):

Após implementado e colocado em pratica tudo que foi planejado, é hora de verificar se está satisfatório, assim vamos avaliar o desempenho da segurança da informação.

Podemos utilizar o mesmo processo para identificar o estado atual da segurança da informação:

Identifique os controles atuais;

Mapeie os riscos de segurança atuais;

Realização de pentest;

Realização de auditoria externa e interna;

Avalie o nível de maturidade da organização.

Agir (Act):

Em nosso último passo do PDCA iremos agir para manter e melhorar o SI.

Monitorar os indicadores de segurança da informação.

Definir a direção do plano de ação de segurança da informação.

Porque isso é importante?

Tem muita gente tentando reinventar a roda, o PDCA é uma ferramenta consagrada e um sistema simples de melhoria continua de processos por meio de um circuito fechado de 4 ações, que se repetem ininterruptamente.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *