Segurança da informação SCTY

Definição e operação de uma estrutura de controles de segurança e estratégias de gerenciamento de segurança.

Níveis de responsabilidade para esta habilidade

Notas orientativas

O objetivo dos controles de segurança e das estratégias de gerenciamento é:

manter a segurança, confidencialidade, integridade, disponibilidade e responsabilidade pelos sistemas de informação
garantir que os sistemas de informação cumpram a legislação, regulamentação e normas relevantes.

As atividades podem incluir, entre outros:

seleção, adoção e adaptação da estruturas de controle de segurança
projeto, justificativa e implementação de estratégias de gerenciamento de segurança
identificação de riscos com arquiteturas de soluções técnicas
garantia de que os princípios de segurança sejam aplicados durante o projeto e o desenvolvimento, para reduzir riscos.

Os exemplos de tipos de controles de segurança incluem, por exemplo:

controles físicos
controles processuais ou administrativos
controles técnicos ou lógicos
controles jurídicos e regulatórios ou de conformidade

Essas atividades são normalmente realizadas em parceria com especialistas de outras áreas, como por exemplo infraestrutura técnica, jurídica, auditoria, arquitetura, engenharia de software.

Compreendendo os níveis de responsabilidade desta habilidade

Onde níveis inferiores não são definidos...

Tarefas e responsabilidades específicas não são definidas porque a habilidade requer um nível mais alto de autonomia, influência e complexidade na tomada de decisões do que é normalmente esperado nesses níveis. Você pode usar as declarações de essência para entender as responsabilidades genéricas associadas a esses níveis.

Onde níveis mais altos não são definidos...

Responsabilidades e accountability não são definidas porque esses níveis mais altos envolvem liderança estratégica e influência organizacional mais ampla que vai além do escopo dessa habilidade específica. Veja as declarações de essência.

Desenvolver habilidades e demonstrar responsabilidades relacionadas a essa habilidade

Os níveis definidos mostram a progressão incremental em habilidades e responsabilidades.

Onde níveis inferiores não são definidos...

Você pode desenvolver seu conhecimento e apoiar outras pessoas que têm responsabilidades nesta área:

Aprender conceitos e princípios-chave relacionados a essa habilidade e seu impacto em sua função
Executar habilidades relacionadas (veja as habilidades SFIA relacionadas)
Apoiar outras pessoas que estão realizando tarefas e atividades de nível superior

Onde níveis mais altos não são definidos...

Você pode progredir desenvolvendo habilidades relacionadas que são mais adequadas a níveis mais altos de liderança organizacional.

Clique para saber por que as habilidades SFIA não são definidas em todos os 7 níveis.

Mostrar/ocultar descrições e níveis extras.

Nível 1

Nível 1 - Segue: Essência do nível: Executa tarefas de rotina sob supervisão rigorosa, segue instruções e precisa de orientação para concluir seu trabalho. Aprende e aplica habilidades e conhecimentos básicos.

Nível 2

Nível 2 - Auxilia: Essência do nível: Presta assistência a outras pessoas, trabalha sob supervisão rotineira e usa critérios próprios para resolver problemas rotineiros. Aprende ativamente por meio de treinamento e experiências no trabalho.

Segurança da informação: Nível 3

Nível 3 - Aplica: Essência do nível: Executa tarefas variadas, às vezes complexas e não rotineiras, usando métodos e procedimentos padrão. Trabalha sob direção geral, possui alguma liberdade e gerencia seu próprio trabalho dentro dos prazos. Aprimora proativamente as habilidades e o impacto no local de trabalho.

Aplica e mantém controles específicos de segurança conforme exigido pelas avaliações de políticas organizacionais e avaliações de riscos locais. Informa os riscos e problemas de segurança aos gerentes de negócio e outras pessoas. Realiza avaliações de riscos básicos para sistemas de informação de pequeno porte. Contribui para a identificação de riscos decorrentes de arquiteturas potenciais de soluções técnicas. Sugere soluções alternativas ou medidas de resposta para mitigar os riscos. Define as configurações de sistemas seguros em conformidades com as arquiteturas pretendidas. Dá suporte à investigação de suspeitas de ataques e violações de segurança.

Segurança da informação: Nível 4

Nível 4 - Possibilita: Essência do nível: Realiza diversas atividades complexas, apoia e orienta outras pessoas, delega tarefas quando apropriado, trabalha de forma autônoma sob orientação geral e contribui com conhecimentos especializados para atingir os objetivos da equipe.

Fornece aconselhamento e orientação sobre a aplicação e operação de controles elementares físicos, processuais e de segurança técnica. Explica o propósito dos controles de segurança e realiza análises de riscos de segurança e impacto nos negócios para sistemas de informação de complexidade média. Identifica os riscos decorrentes de arquiteturas potenciais de soluções técnicas. Cria soluções alternativas ou medidas de resposta e garante que mitiguem os riscos identificados. Investiga suspeitas de ataques e dá suporte à gestão de incidentes de segurança.

Segurança da informação: Nível 5

Nível 5 - Garante, aconselha: Essência do nível: Fornece orientação autorizada em seu campo e trabalha sob ampla direção. Responsável pela entrega de resultados significativos do trabalho, desde a análise, passando pela execução, até a avaliação.

Fornece aconselhamento e orientação sobre estratégias de segurança para gerenciar riscos identificados e garantir a adoção e adesão aos padrões. Contribui para o desenvolvimento de políticas, normas e orientações de segurança da informação. Obtém e atua sobre informações de vulnerabilidade e realiza avaliações de risco de segurança, análises de impacto ao negócio e credenciamento de sistemas de informação complexos. Investiga as principais violações de segurança e recomenda melhorias de controle apropriadas. Desenvolve novas arquiteturas que mitigam os riscos propostos pelas novas tecnologias e práticas de negócios.

Segurança da informação: Nível 6

Nível 6 - Inicia, influencia: Essência do nível: tem influência organizacional significativa, toma decisões de alto nível, molda políticas, demonstra liderança, promove a colaboração organizacional e aceita a responsabilidade em áreas-chave.

Desenvolve e comunica a política, normas e diretrizes de segurança da informação corporativa. Garante que os princípios de arquitetura sejam aplicados durante o projeto para reduzir riscos. Impulsiona a adoção e a adesão a políticas, normas e diretrizes. Contribui para o desenvolvimento de estratégias organizacionais que atendam aos requisitos de controle de informações. Identifica e monitora tendências de ambiente e de mercado e avalia, proativamente, o impacto nas estratégias de negócios, benefícios e riscos. Conduz o fornecimento de aconselhamento e orientação autorizados sobre os requisitos para controles de segurança, em colaboração com especialistas no assunto.

Segurança da informação: Nível 7

Nível 7 - Define estratégia, inspira, mobiliza: Essência do nível: Opera no mais alto nível organizacional, determina a visão e a estratégia organizacional geral e assume a responsabilidade pelo sucesso geral.

Orienta o desenvolvimento, implementação, entrega e suporte de uma estratégia de segurança da informação corporativa, alinhada à estratégia de negócios. Garante a conformidade entre as estratégias de negócios e a segurança da informação. Orienta o fornecimento de experiência em segurança da informação, orientação e sistemas necessários para executar planos estratégicos e operacionais. Protege os recursos organizacionais para executar a estratégia de segurança da informação.