Crie uma diretriz de segurança cibernética resiliente para sua empresa

Uma diretriz de segurança cibernética eficaz mantém sua equipe focada nos projetos que vão abordar riscos e darão suporte aos objetivos de negócios.

Baixe sua diretriz de segurança cibernética personalizável

Siga as práticas recomendadas na diretriz e desenvolva uma iniciativa de segurança cibernética inteligente e eficaz.

Ao clicar no botão "Continuar", você concorda com os Termos de Uso Gartner e a Política de Privacidade.

Informação de contato

Todos os campos são obrigatórios

Informações sobre a empresa/organização

Todos os campos são obrigatórios

Optional

Crie uma diretriz de segurança cibernética ágil, resiliente e escalável

Muitas organizações têm dificuldade para equilibrar a segurança cibernética com a necessidade diária de administração da empresa. Os diretores de segurança da informação podem ajudar ao desenvolver uma diretriz de cibersegurança com processos que permitam decisões baseadas em risco, ao mesmo tempo que protegem contra ameaças à segurança. 

Baixe a diretriz de segurança cibernética e aproveite:

  • Uma visão geral da diretriz, extraída de interações com milhares de clientes da Gartner;

  • Um modelo personalizável com as práticas recomendadas;

  • Detalhes completos dos principais marcos com recursos para cada etapa.

Etapas essenciais para a criação de uma diretriz de segurança cibernética

Uma diretriz de segurança cibernética claramente prioriza projetos e ações corretivas contra lacunas e vulnerabilidades identificadas pelos líderes de cibersegurança durante o planejamento estratégico. Veja como criar a sua.

Avalie o estado atual do programa de segurança cibernética e identifique as lacunas de recursos

O processo de desenvolvimento de uma estratégia anual para o programa de segurança cibernética deve ser a base para essa diretriz. O processo de planejamento estratégico começa com a elaboração de uma visão para o programa de segurança cibernética baseada em fatores do mundo real relacionados aos negócios, à tecnologia e ao ambiente econômico em geral.

Depois que as organizações definem a sua visão, elas devem avaliar o estado atual do programa e identificar as lacunas a serem fechadas para transformá-la em realidade. Para obter mais informações sobre o planejamento estratégico da segurança cibernética, acesse as práticas recomendadas da segurança cibernética.

Para obter a melhor visão sobre o estado atual do programa, use uma combinação de diferentes tipos de avaliação. Alguns exemplos são:

  • Avaliações de eficácia de controles para determinar a maturidade da implementação de controles alinhados aos padrões da indústria e em comparação a outros colegas do setor.

  • Avaliações de vulnerabilidade e testes de penetração para avaliar a infraestrutura técnica;

  • Avaliações de risco para equilibrar o investimento em controles apropriados aos riscos reais;

  • Descobertas recentes de auditoria;

  • Avaliações de gestão de programas para avaliar e comparar a maturidade de políticas, processos e programas de segurança cibernética;

  • Comparações de gastos e de pessoal com relação à segurança cibernética para compreender uso de recursos com colegas semelhantes.

Resuma os resultados das avaliações em um documento de “estado atual”. Em seguida, mapeie o estado atual em relação à declaração de visão para identificar as lacunas entre eles. Normalmente, a análise de lacunas resultará em uma lista de projetos e ações que o programa de segurança cibernética poderia assumir no ano seguinte.

Algumas das lacunas vão indicar a necessidade de ações claras. Por exemplo, a falta de uma orientação padrão para parceiros de computação na nuvem pública aponta para a necessidade de desenvolvimento de políticas de segurança cibernética para o contexto da nuvem.

No entanto, as respostas para as lacunas nem sempre são óbvias. Isso ocorre principalmente com as lacunas que existem devido a múltiplos fatores e dependências. Por exemplo, uma lacuna entre o nível atual de maturidade da governança de segurança e o nível definido pela sua visão exigirá uma análise detalhada sobre soluções de problemas para a apresentação de um plano de melhoria.

A figura acima apresenta uma visão geral sobre o estado atual versus o estado futuro e a identificação de lacunas para uma organização com uma visão de adoção de gestão contínua de exposição a ameaças (CTEM). Observe como a visão geral compara a visão desejada, ou o estado futuro, com o estado atual, e identifica oportunidades para preencher as crescentes lacunas de segurança cibernética. O plano de migração recomenda, em ordem de prioridade, as ações que os CISOs devem tomar para alcançar uma abordagem moderna para lidar com os problemas de segurança cibernética.

 

Decida os projetos de segurança cibernética e sua ordem de prioridade na empresa

Poucas organizações têm recursos para executar todas as atividades identificadas em um mesmo período de planejamento. Os líderes de segurança cibernética devem definir prioridades baseadas nos seguintes critérios:

  • O nível do potencial de redução de risco de um determinado projeto ou atividade;

  • Os recursos necessários, como habilidades, funcionários e sistemas;

  • O custo financeiro;

  • O tempo de retorno do investimento, ou o período entre o momento em que a organização inicia o projeto e o momento em que pode começar a perceber um retorno sobre ele.

Decida não apenas quais projetos priorizar, mas também a sequência e o ritmo deles. Escolha uma combinação de projetos com tempo de retorno sobre o investimento mais longo e mais curto dentro do período de planejamento. Intercale prioridades para que a equipe de segurança consiga demonstrar progresso em cada trimestre. Essa atitude ajudará a manter o interesse da equipe e o suporte dos executivos para o programa de segurança.

Além disso, lembre-se de esclarecer as relações entre um projeto ou atividade prioritária com os objetivos e motivadores do negócio que fundamentaram a declaração de visão. Isso ajuda a sustentar uma comunicação executiva eficaz.

Comunique-se com os executivos e sua equipe para garantir orçamento apropriado e adesão

Sua diretriz de segurança cibernética deve ter uma escrita simples, para que todos possam compreender e acessar o documento. O relatório e a apresentação da diretriz também devem descrever claramente os estados atuais e desejados do programa de segurança cibernética, além de como os projetos prioritários ajudarão a alcançar a visão. Esses fatores aumentam as chances de a diretriz cumprir o seu papel: cultivar o apoio da organização e conectar a estratégia à execução para as equipes de segurança cibernética.

A otimização da comunicação e da usabilidade pode exigir que a equipe de segurança cibernética desenvolva versões distintas da diretriz para públicos diferentes. O formato e o conteúdo da versão executiva, por exemplo, podem se concentrar em como os itens da diretriz se conectam a objetivos empresariais específicos. O formato e o conteúdo para os funcionários da gerência intermediária, por outro lado, podem destacar as várias etapas envolvidas em diferentes projetos, além de qualquer coleta de dados adicional ou solução de problemas que precise ocorrer como parte de um projeto.

Uma diretriz eficaz de segurança cibernética é:

  • Oportuna: entregue e atualize a diretriz no momento em que o público-alvo precisa;

  • Intuitiva: crie uma diretriz que seja facilmente entendida pelo público-alvo. Adapte o documento para outros públicos alterando a perspectiva ou o foco, mas mantendo os mesmos elementos de dados;

  • Acionável: garanta a clareza da diretriz e que ela possa ser usada imediatamente para permitir a execução pelas partes interessadas. Inclua as informações corretas para as partes interessadas e facilite sua localização.

As diretrizes típicas de segurança cibernética também refletem a priorização dos riscos e quaisquer interdependências que uma determinada iniciativa tenha com outros projetos do portfólio.

 

Conferência Gartner CIO & IT Executive

Junte-se aos seus colegas para conhecer os mais recentes insights nas conferências da Gartner.

Perguntas frequentes sobre a diretriz de segurança cibernética

Uma diretriz de segurança cibernética é um plano estratégico que descreve as etapas e iniciativas que uma organização deve seguir para proteger seus sistemas de informação e dados contra ameaças cibernéticas. Ela serve como um manual para a gestão de riscos de segurança cibernética, garantindo conformidade regulatória e alinhando os esforços de segurança com os objetivos de negócios.

Os principais componentes de uma diretriz de segurança cibernética incluem:

  • Avaliação do estado atual e referência;

  • Análise de lacunas;

  • Priorização;

  • Diretriz;

  • Relatórios.

Uma diretriz de segurança cibernética aborda o cenário de ameaças em evolução, oferecendo uma abordagem estruturada e adaptável para a gestão e mitigação dos riscos.

Promova um desempenho mais sólido em suas principais prioridades estratégicas.