fbpx

Modelo de maturidade para gerência de Segurança da Informação

O #dataholic Henrique Melo escreveu um artigo sobre o processo de maturidade de uma empresa. Confira!

O uso de um Modelo de Maturidade permite à organização uma forma de avaliar seus processos e métodos em comparação com as boas práticas de gerenciamento e em conjunto de parâmetros externos.

A Maturidade é medida pela atribuição de “Níveis de Maturidade”, colocando de forma clara onde o projeto está no momento, e onde ele e a organização estará quando for concluído, trilhando todo o percurso até sua finalização.

O Modelo de Maturidade prevê um plano de medição e melhorias contínuas nos processos, bem como no projeto.

Primeiramente é determinar o processo de segurança da informação que está sendo implementado na organização. Nesta fase, por ter estabelecido 133 medidas de controle de segurança (divididas em 39 metas de controle), é possível obter o respaldo da norma ISO / IEC 27002. Esses objetivos de controle podem ser considerados como processos e o controle pode ser considerado coma atividades de processo. Outra opção é um mapeamento puro dos processos existentes na organização. As vantagens do processo de mapeamento estão relacionadas à estrutura necessária para a construção de um modelo de maturidade. Por padrão, um processo tem entradas, atividades (ou processos) e saídas. Identificar as atividades é a principal chave da proposta, pois é a partir dessas atividades que se levanta a questão da maturidade.

MODELO O-ISM3

O modelo é resultante de mais de 6 anos de trabalho entre o consórcio ISM3 e o fórum de tecnologia Open Group. O O-ISM3 permite a criação de SGSIs totalmente alinhados ao negócio, independentemente de tipo, tamanho, ou cenário de uma organização.

O O-ISM3 foca nos processos comuns de segurança das organizações, a fim de realizar uma métrica operacional em cada um deles. Realizar essa avaliação permite o primeiro passo para a melhoria contínua dos processos e consequentemente elevar a maturidade de cada um deles.

O conceito básico de maturidade é que organizações maduras realizam suas ações através de formas sistemáticas, e as imaturas realizam ações graças a esforços individuais de seus colaboradores, geralmente com padrões próprios.

Organizações maduras atingem objetivos de qualidade, prazos e custo de forma coesa e eficiente. Organizações imaturas não possuem esquematizados seus objetivos e todos os passos necessários para se chegar lá, sendo abalados por longas margens de erros, falta da qualidade desejado e prazos maiores que desejados.

Organizações maduras possuem processos documentados e sistematizados para realizar todas as suas atividades. Os dados obtidos são constantemente coletados e analisados a fim de controlar, prever e planejar o desempenho do processo. Organizações imaturas acabam por ser sem controle, imprevisíveis e inconsistentes.

Os níveis de maturidade do ISM3 englobam a sistematização dos processos de Segurança da Informação que uma empresa deve ter, são eles:

Cada implementação é diretamente proporcional a quantidade de riscos que a organização está exposta, quantidade se segurança já implementada, e os gastos extras que são necessários para compensar a segurança que não foi nativamente implementada, vide gráfico a seguir:

Sua empresa segue um plano para crescer de forma segura? Saiba que a Dataside está aqui para te ajudar a evoluir com inteligência e segurança.

Gostou desse conteúdo? Deixe seu like e compartilhe!

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp
Compartilhar no email

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Posts recentes