Warning: Parameter 2 to WPE\Site_Preview::the_posts() expected to be a reference, value given in /nfs/c11/h02/mnt/207098/domains/cpd.com.br/html/wp-includes/class-wp-hook.php on line 287
CPD | 3 etapas para alinhar a segurança cibernética às metas do serviço público
Warning: Parameter 2 to WPE\Site_Preview::the_posts() expected to be a reference, value given in /nfs/c11/h02/mnt/207098/domains/cpd.com.br/html/wp-includes/class-wp-hook.php on line 287

3 etapas para alinhar a segurança cibernética às metas do serviço público

Os profissionais de segurança cibernética do serviço público enfrentam uma série de desafios críticos: as repercussões negativas em relação ao roubo de dados públicos, vulnerabilidades expostas por uma pandemia contínua que mudou a forma como as pessoas trabalham, ataques de ransomware mais sofisticados e novas questões em torno da segurança federal, estadual e municipal.

Embora seja difícil evitar ser “inundado” com combate a incêndios de segurança cibernética, é importante para os profissionais de segurança do serviço público manterem o foco no quadro geral, o que significa gerenciar os riscos que representam a maior ameaça à saúde geral de uma organização. 

Para fazer isso, eles devem alinhar a segurança cibernética às metas de negócios da gestão pública. É uma tarefa difícil, mas não impossível com a abordagem certa. 

As três etapas a seguir podem ajudar os CISOs (Chief Information Security Officer) de instituições públicas a mover a segurança cibernética e o alinhamento dos negócios na direção certa.

Etapa 1. Entenda as preocupações do alto escalão

Os CISOs ou gestores responsáveis pela segurança da informação costumam se encontrar com outros administradores públicos para debaterem questões em comum relacionadas à gestão pública a nível federal, estadual e municipal.

Para garantir que os esforços de segurança tenham um impacto positivo na administração pública, é importante que os CISOs entendam as principais preocupações administrativas e de segurança de cada gestor possui, porque elas variam entre as partes interessadas. 

Por exemplo, determinado gestor público pode identificar a realização de investimentos em projetos sociais ou de infraestrutura como uma das principais preocupações; ele pode estar preocupado com os controles de segurança, enquanto técnicos podem se preocupar mais com a disponibilidade de recursos tecnológicos para a execução de suas operações de projeto em qualquer local.

As metas de negócios dos gestores públicos provavelmente devem se alinhar a uma destas áreas de risco da administração pública:

  • Confiança na gestão pública
  • Disponibilidade e desempenho
  • Cultura, política e governança
  • Observância
  • Custo dos controles
  • Garantia de dados
  • Responsabilidade de segurança

Somente por meio de discussões internas é que os gestores responsáveis pela segurança da informação podem priorizar em quais áreas eles devem se concentrar para fornecer o máximo valor para a administração pública. 

Pensar e se comunicar em termos de resultados de gestão, em vez de táticas de segurança, pode ajudar os gestores de segurança a se alinharem com os demais administradores para obter uma imagem completa das metas da administração pública.

Etapa 2. Conecte os objetivos de segurança cibernética aos requisitos da administração pública

Identificar as prioridades executivas no que se refere à segurança e a administração pública não é o mesmo que colocá-las em ação. Para garantir o financiamento para fazer isso, os gestores de segurança precisam alinhar os objetivos de segurança aos requisitos de governo, tanto quantitativa quanto qualitativamente.

Alinhamento quantitativo

Os times de segurança devem identificar os riscos e vulnerabilidades, estabelecer uma linha de base para a maturidade da segurança e avaliar os custos de mitigação em relação aos benchmarks e melhores práticas da indústria.

Alinhamento qualitativo

Os times de segurança devem reunir informações críticas sobre ativos e riscos de negócios, alinhar as solicitações executivas aos objetivos de segurança e estabelecer uma estratégia para o gerenciamento e as operações do programa de risco.

Essa abordagem dupla requer que os gestores da administração pública desenvolvam um registro de riscos que identifique as lacunas e riscos da área de controle no contexto de impacto, esforço e custo.

Em vez de tentar preencher todas as lacunas, os gestores devem primeiro se concentrar nos controles que ajudam o administrador público a atingir seus objetivos, mas também são facilmente executados pelas equipes de segurança de TI.

Etapa 3. Concentre-se na redução versus eliminação do risco

Embora cada organização tenha seu próprio apetite pelo risco, os gastos com segurança e a eficácia da mitigação de riscos devem se cruzar em algum ponto. Além dessa conjuntura, você verá retornos decrescentes sobre o investimento contínuo.

É importante que os gestores entendam e comuniquem com eficácia um princípio fundamental de segurança cibernética para os administradores do serviço público em todos os níveis: não importa quanto se gasta em segurança da informação, nunca será possível eliminar completamente o risco.

Em vez disso, as organizações públicas têm quatro opções quando se trata de lidar com um risco específico: elas podem mitigá-lo, aceitá-lo, transferi-lo ou ignorá-lo. 

Decidir qual ação é a melhor dependerá do nível de investimento e esforço necessário para mitigar o risco e o grau em que um risco pode atrapalhar a administração pública se não for verificado.

Os gestores que podem traçar com precisão o ponto de encontro da eficácia da mitigação de riscos e gastos com segurança estarão em uma posição muito melhor para demonstrar responsabilidade cibernética e gastos responsáveis ​​para os demais administradores e o órgãos de controle, o que pode ajudar na prática a abandonar sua percepção desatualizada como um centro de custo.

O resultado final para os gestores públicos responsáveis pela segurança cibernética 

À medida que os ataques cibernéticos crescem em sofisticação e escala, o impacto de um incidente de segurança na gestão pública é cada vez mais abrangente. No ambiente atual, uma ameaça à segurança é uma ameaça à administração geral.

É por isso que é fundamental que os gestores alinhem a segurança cibernética às metas de governo. Quando o fazem, podem mitigar os riscos que mais atrapalham o sucesso organizacional e medir o verdadeiro impacto dos investimentos em segurança na administração. 

Isso os coloca no caminho certo para construir um programa de segurança cibernética que não apenas protege o governo e o cidadão, mas o expande.

Sobre a CPD Informática

Fundada em 1974, a CPD Informática é uma empresa Integradora de Recursos e Provedora de Serviços de TI (Tecnologia da Informação), com sede em Brasília e operação em todo o território nacional. Em seus mais de 40 anos de atividade, a CPD Informática se tornou referência em soluções integradas de TI com propostas inovadoras, produtos com tecnologia de ponta e atendimento especializado e diferenciado.

No Comments

Post A Comment