Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27001?

Pode soar engraçado, mas a ISO 27001 não requer que a organização nomeie um Diretor de Segurança da Informação (Chief Information Security Officer – CISO), ou qualquer outra pessoa para coordenar a segurança da informação (e.g., gestor de segurança da informação, gerente de segurança, etc.).

Contudo, isto é compreensível – a ISO 27001 é escrita de tal forma a ser aplicável a organizações de qualquer tamanho, de qualquer indústria, então requerer que uma organização de pequeno porte tenha que designar um CISO seria um excesso. Neste artigo você aprenderá mais sobre os papéis e responsabilidades do CISO.

O que um CISO geralmente faz?

Uma vez que a ISO 27001 não requer o CISO, ela também não prescreve o que esta pessoa deveria fazer – então cabe a você decidir o que melhor se adéqua a sua organização. Geralmente, esta pessoa deveria coordenar todas as atividades relacionadas a segurança da informação em uma organização, e aqui estão algumas ideias sobre o que esta pessoa poderia fazer (divididas pelas seções da ISO 27001):

Conformidade:

• Desenvolver a lista de partes interessadas relacionadas a segurança da informação(veja também Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301);
• Desenvolver a lista de requisitos das partes interessadas;
• Permanecer em contato contínuo com autoridades e grupos especiais de interesse;
• Coordenar todos os esforços relacionados a proteção de dados pessoais.

Documentação:

• Propor o esboço dos principais documentos da segurança da informação – e.g., Política de segurança da informação, Política de classificação, Política de controle de acesso, Uso aceitável dos ativos, Metodologia de análise, avaliação e tratamento de risco, Declaração de aplicabilidade, Plano de tratamento de risco, etc.;
• Ser responsável pela revisão e atualização dos principais documentos.

Gestão de riscos:

• Ensinar aos empregados como realizar a análise/avaliação de riscos;
• Coordenar todo o processo de análise/avaliação de riscos (veja também: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas);
• Propor a seleção de salvaguardas;
• Propor as datas limite para implementação de salvaguardas.

Gestão de recursos humanos:

• Realizar a verificação de histórico de candidatos a emprego;
• Preparar o treinamento e plano de conscientização para a segurança da informação (veja também Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301);
• Realizar atividades contínuas relacionadas a elevação do nível de conscientização;
• Realizar treinamentos de integração em tópicos de segurança para novos colaboradores;
• Propor ações disciplinares contra empregados que cometeram infrações de segurança.

Relacionamento com a alta direção:

• Comunicar os benefício da segurança da informação (veja também Quatro benefícios fundamentais da implementação da ISO 27001);
• Propor objetivos de segurança da informação (veja também ISO 27001 control objectives – Why are they important?)
• Reportar os resultados de medições;
• Propor melhorias de segurança e ações corretivas;
• Propor orçamento e outros recursos requeridos para a proteção da informação;
• Reportar requisitos importantes das partes interessadas;
• Notificar a alta direção sobre os principais riscos;
• Reportar sobre a implementação das salvaguardas;
• Aconselhar os altos executivos em todos os assuntos relacionados a segurança.

Melhorias:

• Assegurar que todas a ações corretivas são realizadas;
• Verificar se as ações corretivas eliminaram as causas de não conformidades.

Gestão de ativos:

• Manter um inventário de todos os ativos de informação importantes;
• Excluir os registros que não são mais necessários;
• Descartar as mídias e equipamentos que não estão mais em uso, de forma segura.

Terceiros:

• Realizar análise/avaliação de riscos para atividades a serem terceirizadas;
• Realizar verificação de histórico de candidatos a parceiros em terceirização;
• Definir cláusulas de segurança que devem fazer parte de um acordo.

Comunicação:

• Definir que tipos de canais de comunicação são aceitáveis e quais não são;
• Preparar equipamentos de comunicação para serem utilizados em caso de emergência / desastre.

Gestão de incidentes:

• Receber informações sobre incidentes de segurança;
• Coordenar a resposta a incidentes de segurança;
• Preparar evidências para ações legais decorrentes de um incidente;
• Analisar incidentes de forma a prevenir sua recorrência.

Continuidade de negócio:

• Coordenar o processo de análise de impacto no negócio e a criação de planos de resposta;
• Coordenar os exercícios e testes dos planos;
• Realizar revisão pós incidente dos planos de recuperação.

Técnica:

• Aprovar métodos apropriados para a proteção de dispositivos móveis, redes de computadores e outros canais de comunicação;
• Propor métodos de autenticação, política de senhas, métodos de encriptação, etc.;
• Propor regras para trabalho remoto seguro;
• Definir funcionalidades de segurança requeridas para serviços de Internet;
• Definir princípios para o desenvolvimento seguro de sistemas de informação;
• Revisar logs de atividades de usuários de forma a reconhecer comportamentos suspeitos.

Como documentar as responsabilidades do CISO

Como você pode ver, as responsabilidades do CISO são numerosas, e esta pessoa está envolvida em diferentes áreas da sua organização.

Quanto maior a organização, mais difícil se torna lembrar-se de todas estas responsabilidades, assim, dependendo do tamanho de sua organização, você deveria produzir um ou mais documentos onde você descreve estas responsabilidades. Algumas organizações tendem a listar todas as responsabilidades do CISO em um único documento, o qual eu pessoalmente não acho muito útil – isto porque é difícil entender o papel de alguém sem ver o processo do qual ele faz parte.

Assim, eu entendo que é melhor descrever estas responsabilidades em vários documentos que detalham estes processos – por exemplo, as responsabilidades do CISO relacionadas a gestão de recursos humanos deveriam ser escritas na política de recursos humanos, responsabilidades relacionadas a incidentes no procedimentos de gestão de incidentes, etc.

Quem deveria ser o CISO?

Em pequenas organizações, o papel do CISO deveria ser realizado por alguém em conjunto com suas outras atividades – e.g., se você está em uma organização com 10 empregados, isto poderia ser feito pelo seu administrador de sistemas de TI, se você tem 100 empregados isto poderia ser feito pelo gerente de TI. Contudo, se sua organização possui alguns milhares de empregados, você deveria ter ao menos uma pessoa em tempo integral dedicada a este trabalho, porque ele consumirá todo o tempo desta pessoa. Veja também: Chief Information Security Officer (CISO) – where does he belong in an org chart?

Ao selecionar uma pessoa para ser o CISO, seu principal critério deveria ser não apenas o conhecimento que essa pessoa possui sobre tecnologia da informação – eu diria que é mais importante que esta pessoa conheça os processos do negócio em sua organização, e tenha boas habilidades inter pessoais.

Por que isto? Porque o principal trabalho do Diretor de Segurança da informação deveria ser desenvolver uma cultura baseada em risco em uma organização. Assim como um dos princípios fundamentais em todas as organizações é de que todas as atividades devem ser lucrativas, o CISO deveria desenvolver um pensamento similarmente embebido na segurança: de que todas as atividades de negócio criam um certo nível de risco de segurança, e que tal risco deve ser mitigado com salvaguardas – de forma que o negócio obtenha seus benefícios.

Nós agradecemos a Rhand Leal pela tradução para o português.