13 jun
2019

Privacidade de Dados e Segurança da Informação | A distribuição do tempo

A área de Privacidade de Dados e Segurança da Informação com foco em GRC (Governança, Riscos e Conformidade) deve atender a diversos aspectos pertinentes à proteção das informações, como a Gestão em si, Gestão de Ativos e Riscos e atendimento às questões legais e regulatórias.

Estabelecido o cenário, é natural, como em toda estrutura, inclusive pessoal, que o tempo seja administrado em função de questões operacionais e urgências, recaindo em falhas de gestão deste tempo e comprometendo os resultados desejados pela organização, o que nos leva a casos recorrentes onde áreas e projetos de Segurança da Informação se perdem em sua própria burocracia.

Sendo assim, acredito que, de forma conceitual, porém objetiva, o tempo dedicado a cada pilar de atuação deve ser objeto estratégico, onde a função do CISO ou correspondente deve garantir este preceito como forma de manter o foco do departamento também em função da estratégia corporativa e, como passos, os seguintes fatores delimitantes:

  • Definição do escopo da área

Isso deve ser intimamente ligado à estratégia corporativa mas, de modo geral, um time GRC deve dar ênfase em Gestão do time, Governança, Gestão de Ativos e Riscos, Conscientização, Segurança em Recursos Humanos, Segurança em Tecnologia da Informação, Conformidade, Gestão de Incidentes, Partes Externas, Seguraça Física, Privacidade de Dados e Gestão de Continuidade de Negócios, além de Consultoria, onde a área presta suporte e ajuda na construção e aprimoramento de soluções que visam à redução dos riscos de forma satisfatória.

  • Definição do perímetro da área

A área deve ter seu poder de alcance definido de forma explícita (a organização toda ou parte dela, como por exemplo, excluir suporte a clientes, focando nas áreas corporativas.

Tendo isso definido, os recursos podem ser devidamente mensurados e a montagem (ou redefinição) do time realizada.

  • Dimensionamento de time e recursos

Ao ser definido o que será feito e qual sua abrangência, há condições de mensuração dos recursos humanos, materiais, de conhecimento e estrutura necessários, como número e perfil de pessoas, conhecimentos necessários para o time como um todo, estrutura física e lógica e acomodação.

  • Dedicação de tempo

O peso de cada pilar deve ser proporcional ao tempo dedicado e também aos recursos disponíveis para atendimento à missão  dada pela organização.

Em linhas gerais e baseado na estrutura descrita acima, proponho a seguinte distribuição de tempo, esforços e recursos:

Fica evidente que a dedicação da área às questões práticas devem prevalecer ao mesmo tempo em  que operação e regulações devem ter seu tempo, mas jamais definindo a função do time.

Fonte: Security Information News

1
Olá
Podemos te ajudar?
Powered by