Segurança da informação SCTY
Definição e operação de uma estrutura de controles de segurança e estratégias de gerenciamento de segurança.
Notas orientativas
O objetivo dos controles de segurança e das estratégias de gerenciamento é:
- manter a segurança, confidencialidade, integridade, disponibilidade e responsabilidade pelos sistemas de informação
- garantir que os sistemas de informação cumpram a legislação, regulamentação e normas relevantes.
As atividades podem incluir, entre outros:
- seleção, adoção e adaptação da estruturas de controle de segurança
- projeto, justificativa e implementação de estratégias de gerenciamento de segurança
- identificação de riscos com arquiteturas de soluções técnicas
- garantia de que os princípios de segurança sejam aplicados durante o projeto e o desenvolvimento, para reduzir riscos.
Os exemplos de tipos de controles de segurança incluem, por exemplo:
- controles físicos
- controles processuais ou administrativos
- controles técnicos ou lógicos
- controles jurídicos e regulatórios ou de conformidade
Essas atividades são normalmente realizadas em parceria com especialistas de outras áreas, como por exemplo infraestrutura técnica, jurídica, auditoria, arquitetura, engenharia de software.
Níveis de responsabilidade para esta habilidade
3 | 4 | 5 | 6 | 7 |
Segurança da informação: Níveis 1-2
Essa habilidade normalmente não é observada ou praticada nesses níveis de responsabilidade e prestação de contas.
Segurança da informação: Nível 3
Aplica e mantém controles específicos de segurança conforme exigido pelas avaliações de políticas organizacionais e avaliações de riscos locais. Informa os riscos e problemas de segurança aos gerentes de negócio e outras pessoas. Realiza avaliações de riscos básicos para sistemas de informação de pequeno porte. Contribui para a identificação de riscos decorrentes de arquiteturas potenciais de soluções técnicas. Sugere soluções alternativas ou medidas de resposta para mitigar os riscos. Define as configurações de sistemas seguros em conformidades com as arquiteturas pretendidas. Dá suporte à investigação de suspeitas de ataques e violações de segurança.
Segurança da informação: Nível 4
Fornece aconselhamento e orientação sobre a aplicação e operação de controles elementares físicos, processuais e de segurança técnica. Explica o propósito dos controles de segurança e realiza análises de riscos de segurança e impacto nos negócios para sistemas de informação de complexidade média. Identifica os riscos decorrentes de arquiteturas potenciais de soluções técnicas. Cria soluções alternativas ou medidas de resposta e garante que mitiguem os riscos identificados. Investiga suspeitas de ataques e dá suporte à gestão de incidentes de segurança.
Segurança da informação: Nível 5
Fornece aconselhamento e orientação sobre estratégias de segurança para gerenciar riscos identificados e garantir a adoção e adesão aos padrões. Contribui para o desenvolvimento de políticas, normas e orientações de segurança da informação. Obtém e atua sobre informações de vulnerabilidade e realiza avaliações de risco de segurança, análises de impacto ao negócio e credenciamento de sistemas de informação complexos. Investiga as principais violações de segurança e recomenda melhorias de controle apropriadas. Desenvolve novas arquiteturas que mitigam os riscos propostos pelas novas tecnologias e práticas de negócios.
Segurança da informação: Nível 6
Desenvolve e comunica a política, normas e diretrizes de segurança da informação corporativa. Garante que os princípios de arquitetura sejam aplicados durante o projeto para reduzir riscos. Impulsiona a adoção e a adesão a políticas, normas e diretrizes. Contribui para o desenvolvimento de estratégias organizacionais que atendam aos requisitos de controle de informações. Identifica e monitora tendências de ambiente e de mercado e avalia, proativamente, o impacto nas estratégias de negócios, benefícios e riscos. Conduz o fornecimento de aconselhamento e orientação autorizados sobre os requisitos para controles de segurança, em colaboração com especialistas no assunto.
Segurança da informação: Nível 7
Orienta o desenvolvimento, implementação, entrega e suporte de uma estratégia de segurança da informação corporativa, alinhada à estratégia de negócios. Garante a conformidade entre as estratégias de negócios e a segurança da informação. Orienta o fornecimento de experiência em segurança da informação, orientação e sistemas necessários para executar planos estratégicos e operacionais. Protege os recursos organizacionais para executar a estratégia de segurança da informação.