Segurança da Informação

Gerenciar a função de segurança nas empresas

Para gerenciar a função de segurança, uma organização deve implementar uma governança de segurança adequada e suficiente. O ato de realizar uma avaliação de risco para orientar a política de segurança é o exemplo mais claro e direto do gerenciamento da função de segurança.

A segurança deve ser rentável. As organizações não têm orçamentos infinitos e, portanto, devem alocar seus fundos apropriadamente. Além disso, um orçamento organizacional inclui uma porcentagem de dinheiro dedicado à segurança, assim como a maioria das outras tarefas e processos de negócios exigem capital, sem mencionar os pagamentos a funcionários, seguro, aposentadoria e assim por diante.

A segurança deve ser suficiente para suportar ameaças típicas ou padrão para a organização, mas não quando essa segurança é mais cara do que os ativos protegidos. Uma contramedida que é mais cara do que o valor do próprio ativo geralmente não é uma solução eficaz.

A segurança deve ser mensurável. Segurança mensurável significa que os vários aspectos dos mecanismos de segurança funcionam, fornecem um benefício claro e têm uma ou mais métricas que podem ser registradas e analisadas. Semelhante às métricas de desempenho, as métricas de segurança são medidas de desempenho, função, operação, ação e assim por diante, relacionadas à operação de um recurso de segurança.

Quando uma contra medida ou salvaguarda é implementada, as métricas de segurança mostram uma redução em ocorrências indesejadas ou um aumento na detecção de tentativas.

Caso contrário, o mecanismo de segurança não está fornecendo o benefício esperado. O ato de medir e avaliar as métricas de segurança é a prática de avaliar a integridade e a eficácia do programa de segurança. Isso também deve incluir medi-lo contra as diretrizes comuns de segurança e acompanhar o sucesso de seus controles.

O monitoramento e a avaliação de métricas de segurança fazem parte da governança de segurança efetiva. No entanto, é importante notar que escolher métricas de segurança incorretas pode causar problemas significativos, como escolher monitorar ou medir algo em que a equipe de segurança tenha pouco controle ou que seja baseada em drivers externos.

Os recursos serão consumidos pelos próprios mecanismos de segurança e pelos processos de governança de segurança. Obviamente, os mecanismos de segurança devem consumir o mínimo de recursos possível e impactar a produtividade ou o rendimento de um sistema no nível mais baixo possível.

No entanto, todas as medidas defensivas de hardware e software, bem como todas as políticas e procedimentos que os usuários devem seguir, consumirão recursos. Estar ciente e avaliar o consumo de recursos antes e depois da seleção de contra medidas, implantação e ajuste é uma parte importante da governança de segurança e do gerenciamento da função de segurança.

O gerenciamento da função de segurança inclui o desenvolvimento e a implementação de estratégias de segurança da informação.