Roadmap de segurança: o que é e como criar o ideal para sua empresa?
A cada dia surgem novas ameaças à segurança das informações e soluções para proteger as empresas contra tais ameaças.
Neste contexto, possuir todas as tecnologias de proteção disponíveis no mercado, e consequentemente se proteger contra todas as ameaças existentes, é impensável, e para isso existe o roadmap de segurança. Com ele, uma empresa consegue planejar minimamente os investimentos em segurança, deixando claro os riscos existentes ao longo do caminho.
Para entender melhor como esta ferramenta funciona, confira os tópicos a seguir.
O que é um roadmap?
A tradução literal de roadmap é “mapa rodoviário”. E por mais estranha que seja a analogia, faz todo sentido, pois este documento direciona todos os pontos de uma transição. Ou seja, a ferramenta ajuda sua empresa a entender o caminho e os prazos para sair do status atual para o status desejado. Sendo assim, o programa (conjunto de projetos) necessário para atingir os objetivos da empresa.
Com tantas necessidades latentes, o roadmap atua como uma bússola, mantendo todo o trabalho focado na estratégia de segurança desenvolvida. Entretanto, é importante dizer que roadmaps são diferentes de planos de negócios, já que precisam ser simples para facilitar a visualização e comunicação para todos os envolvidos.
A ideia é oferecer clareza para que todos saibam como o programa caminhará e quais são seus possíveis pontos de correção.
Como criar um roadmap de segurança
Antes de mais nada, uma questão fundamental na criação de um roadmap é a definição de marcos. Sendo assim, eles são as conquistas alcançadas ao longo do caminho, sinalizando o progresso do programa.
Portanto, os marcos são definidos por datas específicas e tratam cada realização como uma meta de desempenho que foi cumprida. Isso demonstra que o projeto está em pleno desenvolvimento e evolução.
Independentemente do foco, a criação de um roadmap precisa levar em consideração diversos fatores. No caso do roadmap de segurança, devemos considerar, entre outros, o objetivo da empresa (apetite ao risco), a análise dos riscos existentes e dos recursos disponíveis (financeiros e humanos). Descreveremos um pouco melhor estes tópicos abaixo.
Objetivo da empresa
Quando se trata de segurança da informação, presumindo que não será possível a obtenção de um ambiente totalmente seguro (por questões financeiras e logísticas), é fundamental definir o apetite de risco da empresa.
Para isso, normalmente se utiliza uma norma ou framework de mercado (como a ISO 27.001 ou o NIST CSF, por exemplo), pautado por um modelo de maturidade (que pode ser disponibilizado pelo próprio framework ou por um framework terceiro, como o COBiT).
Com base nos modelos escolhidos, a empresa deve definir seu nível de maturidade desejado, admitindo que os riscos não cobertos por tal nível serão aceitos. Cabe ressaltar, entretanto, que nesta etapa os objetivos devem ser estabelecidos a curto, médio e longo prazo, uma vez que o caminho de adequação tende a ser longo.
Análise dos riscos existentes
Uma vez identificado onde a empresa pretende chegar, é o momento de identificar onde ela se encontra atualmente. Para tal, deve ser realizado um assessment (avaliação de conformidade), utilizando a mesma norma ou framework, e seu respectivo modelo de maturidade, adotados para a definição de seus objetivos.
Neste momento teremos o nível atual e o nível desejado de maturidade, o que possibilitará o estabelecimento do roadmap, ou seja, conjunto de projetos de adequação necessários para alcançar os objetivos da empresa.
Um ponto fundamental quanto a este item é que um assessment deve ser realizado de forma recorrente, minimamente uma vez por ano, garantindo assim o acompanhamento da evolução e a realização dos ajustes que eventualmente sejam necessários.
Análise dos recursos disponíveis
O tempo necessário para o atingimento destes objetivos naturalmente depende dos recursos, financeiro e humanos, disponíveis para tal, sendo grandezas inversamente proporcionais. Por exemplo, uma empresa que possui o dobro de recursos que a outra, e que esteja no mesmo nível de maturidade e possua o mesmo objetivo, tende a alcançar seu objetivo na metade do tempo.
Por isso, o estabelecimento de um roadmap depende de uma análise detalhada dos recursos disponíveis. Sem isso, o roadmap não seria mais que um desejo empírico, o que tende a levar os envolvidos à frustração.
Como a Future pode ajudar no desenvolvimento de seu roadmap de segurança?
A Future há mais de 20 anos ajuda seus clientes na elaboração de seus roadmaps de segurança. Para tal, temos um processo completo, que contempla desde a realização de um assessment no ambiente do cliente, até a entrega do programa recomendado para a adequação.
Através de uma abordagem agnóstica, utilizamos as principais normas e frameworks de mercado para analisar a real situação do cliente, tratando cada cliente de forma distinta e individual. Assim, com base nos investimentos já realizados, em sua exposição ao risco, em seus objetivos e nos recursos disponíveis, sugerimos o conjunto de soluções (serviços e produtos) que melhor enderece suas necessidades.
Fale com um dos nossos consultores agora mesmo e saiba como implementar um bom roadmap em sua empresa!
0 Comentários