Por certo o Mapa de Risco em TI ou Governança de Segurança da Informação é a atitude de conhecer, identificar, documentar e avaliar sobre o contexto de TI. Sem dúvida com relação as questões de funcionalidade e Segurança da Informação.

Desta forma quanto do seu ambiente está vulnerável? Em outras palavras quanto de risco e qual a possibilidade de acontecer? Ou seja será que já acontece com alguma rotina e exige sempre um retrabalho para concertar. Seja como for #ficadicca seja preventivo e conheça bem o tamanho dos seus problemas.

Mapa de risco como fazer

Portanto como fazer e cuidar da Governança da Segurança da Informação:

• Principalmente promover o levantamento do Contexto de TI:
  • Identificar Ativos de Rede;
  • Também identificar Serviços corporativos;
  • Qualificar e identificar processos de contingência (Backup, Anti Vírus e Políticas de uso);
• Igualmente avaliar estado de funcionalidade:
  • Ok para as condições dentro das conformidades;
  • Alerta para condições de risco moderado:
    • Equipamentos sem garantia;
    • Sistemas sem atualizações.
  • Crítico para condições de falha eminente:
    • Registro de falha em ativos de rede;
    • Backup não sendo feito ou sendo feito de forma manual;
    • Anti vírus não sendo processado de forma automática e gerenciável;
    • Sistemas de proteção sem monitoramento.
• Por fim confeccionar relatórios:
  • Documentar o conhecimento;
  • Apontar as vulnerabilidades;
  • Apontar possíveis soluções;
  • Demonstrar o conhecimento do risco de segurança e perda de dados.

Além disso a expectativa do Mapa de Risco é dar visibilidade ao contexto de risco. Desta forma documentando as condições. Assim também necessidades de ações. De fato transformar as condições fora das conformidades para um contexto seguro e protegido. Em suma facilitar também a percepção das demandas do setor de TI da empresa.

A expectativa complementar é a transformação do processo com as atitudes de Planejamento, Desta forma a definição de Responsabilidades faz parte da estratégia. Por consequência até de reserva de recurso para investimentos diretos ou de manutenção.

Uma das condições mais críticas do levantamento dos riscos, é a avaliação de que a TI está comprometida com as atividades de escritório ou do negócio, deixando para o tempo ocioso as ações de planejamento do Contexto de TI. Uma das primeiras ações é a identificação de necessidade de Terceirizar ou promover o Outsourcing deste setor. Nesta condição transferir a condição de ação para especialistas, mantendo apenas o monitoramento na TI da Empresa.

Mapa de Risco em TI

O conceito parece distante da realidade das empresas, mas não é. Assim a Cipa (Comissão Interna de Prevenção de Acidentes) é uma obrigação e realidade. Desta forma tratada como obrigação, custo e uma demanda que nem sempre tem a importancia que a comissão precisa.

Nossa projeto avalia o contexto de TI da empresa. De forma acessória, complementar, transformar este contexto estranho em agenda de planejamento. Transformar a Cipa em i.Cipa.

Cipa é uma comissão de monitoramento de risco do usuário!

i.Cipa deverá ser uma comissão de monitoramento de risco da informação e do usuário! Ou seja este é um conceito que estamos querendo através da transformação da informação. Desta forma é uma proposta a ser trabalhada.

De fato visando da condição e qualificação do programa 12i. Se bem que baseado na norma 27.002:2008 da ABNT quer transformar uma obrigação em planejamento. Assim a ABNT criou através da norma 27.002:2008 uma regulação de Boas Práticas de Segurança. Desta forma a certificação é também um conceito do Mapa de Risco com uma abrangência que passa pelo controle de acesso dos usuários. Visto que tornando relevante o conhecimento dos códigos da aplicação, para garantia de continuidade futura da empresa e as contingências externas.

Na série 12 valores que qualificam o ambiente de acordo com ABNT 27002 temos: 12 valores que qualificam sua rede! Baseado na 27002 ABNT NBR ISO/IEC!

1 – Políticas existentes

2 – Ações e Atitudes implementadas (Segurança da Informação)

3 – Gestão de ativos (Controle de Patrimônio; Monitoramento; )

4 – RH

5 – Gestão de Ambiente (Segurança física)

6 – Gestão de Contingência e segurança por aplicativos

7 – Gestão de Acesso (Ampliado)

8 – Aplicação (Processo + Continuado)

9 – Gestão de Incidente

10 – Gestão de Continuidade

11 – Conformidades

12 – INDICCA.COM (Equipe  com conhecimento para Segurança da Informação)

No Blog, temos outros textos sobre este assunto e muito mais informação que pode ser de seu interesse.

Gostou? Quer receber mais informações sobre o conteúdo do Blog?  Faça sua assinatura e acompanhe o conteúdo da Indicca!

Quer saber mais, quer conversar com um técnico sobre a Segurança da Informação

Nos links seguem alternativas de fazer uma agenda e registrar seu interesse. Então não tem custo e estarei a disposição para esclarecer suas dúvidas e se for caso aconselhar sobre o que fazer.

Quer saber um pouco mais avalie a AGENDA Bookings da INDICCA.COM

Um outro modelo mais específico Calendly INDICCA.COM

Quer agendar uma conversa sobre um contrato DPO para o seu negócio – >> Acesse este LINK <<

Edição Pedro 27/12-2019

Relacionados:

Dicas rápidas sobre Firewall, tudo que você precisa saber Mercado Livre de Energia Rede de computadores para o tempo todo? Veja algumas diccas. Segurança da Informação em TI