A Gerente de Programa de Pesquisa Holly Lyke-Ho-Gland publicou em seu blog da APQC (organização sem fins lucrativos e uma das principais defensoras do mundo de aferição de negócios, melhores práticas e investigação de gestão do conhecimento), um interessante artigo sobre BPM e Segurança da Informação. O objetivo foi entender os desafios e as ameaças à segurança da informação e como colocar as melhores práticas de segurança no local, sem enfraquecer as operações de negócios. Para isso, Lyke-Ho-Gland conversou com Ken Lobenstein, Diretor Sênior de Segurança da Informação, Governança e Política da Royal Philips.
APQC: Como hacks de segurança recentes da Sony e do Comando Central das Forças Armadas dos EUA afetam a maneira como as empresas encaram a segurança da informação em 2015?
KEN: Não há uma resposta única e consistente. Infelizmente, algumas organizações ainda continuam seus negócios de forma comum, querem acreditar que eles não são alvos de qualquer pessoa ou não querem entender as questões suficientemente bem para saber como reagir. As organizações precisam rever os seus programas existentes contra novos vetores de ameaças e como a segurança tem sido comprometida; tudo, desde configurações de estações de trabalho e servidores de fronteira e as defesas de redes internas ou rever as questões de segurança no mercado de trabalho. Mas temos de ver a questão como uma responsabilidade de negócios total, e não apenas um problema de tecnologia; processos de negócios e o comportamento da equipe precisa ser reconhecido como partes iguais da missão de proteção.
APQC: Qual é o maior desafio para a melhoria e implementação em toda a empresa de segurança da informação, quando diferentes partes da empresa têm diferentes necessidades e objetivos?
KEN: Quanto maior a organização ou o mais dispersa a força de trabalho geograficamente ou culturalmente, maior esse desafio se torna. O escritório de segurança deve ser integrado para dirigir a mensagem, mas todos os níveis de liderança deve reconhecer o seu papel. Algumas das recentes violações altamente visíveis foram causadas por ataques de tecnologia de fora. Proteger contra esses ataques requer investimento e sólida formação, mas também requer aceitação nos níveis mais altos que as proteções devem ser uniformemente aplicadas e cumpridas. Nem todas as violações são o resultado da tecnologia de compromisso; muitos são os resultados de processos e de comportamentos.
APQC: Qual é a tarefa mais desafiadora para uma empresa como a Royal Phillips para identificar quando se trata de riscos de segurança da informação?
KEN: O maior desafio é como colocar as melhores práticas de segurança no local, sem enfraquecer as operações de negócios. Estava pensando sobre como construir a segurança como parte integrante de todos os processos de negócios relevantes. Felizmente, estamos engajados em um completo, em toda a empresa redesenhar os processos de negócios, por isso a oportunidade de fazer isso já estava lá. O desafio foi ganhando aceitação de que a segurança não é uma lista de verificação para validar os resultados de um processo. Ao invés disso, é:
-
Examinar o processo de negócio para ver onde o próprio processo pode criar risco de uso indevido de informação ou de compromisso;
-
Olhando para as informações que se deslocam através é criado um processo de compreender a sua sensibilidade e o valor, classificação da informação (tudo isso, e não apenas dados digitais dentro de sistemas de TI);
-
Pensar sobre papéis é preciso para concepção do processo, não em atribuição de privilégios de candidatura.
Demorou quase dois anos para conseguir esse entendimento e uma vontade de agir sobre ele, mas estamos fazendo progressos muito bons, como resultado de responder a este desafio.
APQC: Por que é importante ver a segurança como uma questão de gestão de ativos de negócios, uma vez que é um problema de TI?
KEN: A informação é um ativo. A maioria dos artigos de gestão de hoje que falam sobre o investimento e ativos, mas não é um ativo de TI como um laptop ou de uma conexão Wi-Fi; é um bem da empresa, os que são necessários para executá-la, mas a maioria são de propriedade da R&D, legal, finanças e assim por diante. Só eles podem julgar o quão importante esses ativos estão à sua missão e para o sucesso da empresa, só eles podem determinar quem precisa vê-lo e quando. Então, se esses proprietários de ativos de negócios não estão envolvidos em uma parceria plena, a organização terá violações. Nós não sabemos quando ou como grave, mas vai acontecer. A parceria completa entre negócios e TI reduz a probabilidade do não cumprimento e se bem feito, reduz o dano, se acontecer.
APQC: Você decidiu personalizar o processo de classificação do APQC Framework (PCF) para ajudar a atender às suas necessidades de segurança da informação, qual foi o maior desafio nesse processo?
KEN: Havia dois desafios iniciais. Não sou um engenheiro de processo por formação e eu tinha que entender o contexto do PCF à sua aplicação às atividades de conformidade, tais como a segurança da informação. Este foi um assunto novo onde eu não tinha conhecimento anterior, por isso, nós fizemos um monte de testes e abordagens possíveis. O segundo desafio foi a realização de uma revisão global do PCF para ver onde os processos já existiam, que poderiam ser incorporados em uma abordagem de segurança da informação. Risco e resiliência, por exemplo, 10.1 e 10.2, não precisa ser duplicado ou adaptados muito embora ambos são extremamente importantes para uma abordagem de segurança. Outros, como “gerenciar a conformidade regulamentar (10.1.5) não funcionou muito bem, a segurança da informação é, em sua maior parte, não tem base em regulamentação. Nós documentamos mais de 100 quadros que informam as melhores práticas de segurança, que vão desde ISO 27002 a regra de segurança do Estado de Nevada – Comissão de Jogos. Uma abordagem de conformidade regulamentar que tenta cobri-los seria tão complexa para uma empresa global que seria impraticável. Em vez disso, precisávamos de um modelo que é baseado em uma série de normas de diferença de medida. Este, por sua vez, criou um terceiro desafio; porque a segurança não parece ter sido dirigida tanto no mundo dos processos de negócio, existem lacunas na PCF quando se começa a pensar especificamente sobre segurança da informação como um conjunto de processos. Levou um ano de trabalho com os especialistas em processos, outros domínios de conformidade, e tendo looks frescos como nós realmente iríamos dirigir em direção a práticas de segurança inerentes (porque bolt-on práticas de segurança não são muito eficazes e é muito perturbador).
APQC : Se você pudesse apontar para um item que o PCF ajudou a melhorar na sua abordagem de segurança da informação, o que seria?
KEN: Para descobrir o que fazer com ele; Eu tinha que pensar sobre o que precisa ser feito em termos de negócios. Nem termos de “segurança”. O que temos que fazer e como devemos juntar-se e fazê-lo em conjunto, como uma questão de disciplina? Sabíamos que tínhamos de envolver os negócios em uma parceria plena. Mas a realização em ambos os sentidos, que de nossos controles são refletidos nos processos em 6,0 e quais processos precisam de uma dimensão de segurança inerente, nos levou a repensar sobre por que fazemos o que fazemos; em última análise, nos levando à visão de ativos.
Fonte: http://twixar.me/Hhy