2. GRC de TI e
Segurança da
Informação
Estratégia e Governança
Alinhamento executivo, definição da
estratégia de priorização e de como serão
implementados e/ou aperfeiçoados os
processos e controles. Implementção de
programas
Conformidade
Análise de gaps, planejamento e
aperfeiçoamento dos processos e controles
frente a leis e regulamentações vigentes
Educação e Conscientização
Planejamento e realização de campanhas de
conscientização, palestras e treinamentos
Avaliação e Testes
Avaliação e testes dos processos e controles
de TI e Segurança da Informação
Outsourcing de GRC e SI
Estruturação do catálogo de serviços e
gestão das áreas de GRC e/ou SI do cliente
Gerenciamento de riscos
Definição de apetite ao risco pelo cliente e
gerenciamento dos riscos
Portfólio de serviços
3. 3
Programa de Segurança da Informação
Proposta de abordagem para implementação
Entendimento do negócio
Entendimento das objetivos, expectativas e necessidades
Entrevistas com executivos
Entendimento dos principais
objetivos estratégicos
Determinar o nível de risco
aceitável
Identificação das principais
ameaças do setor/indústria
Identificação das principais leis e
regulamentações
Levantamento dos últimos
relatórios das auditorias
Entrevistas com integrantes das
equipes de TI, Mkt etc.
Avaliação dos processos e controles
Definição dos frameworks e avaliação dos processos e
controles
Definição dos frameworks
que serão utilizados
Avaliação dos riscos para os
principais ativos
Avaliação da
maturidade/capacidade dos
processos e controles de TI e SI
Gerenciamento da mudança, implementação dos planos e melhoria contínua
Gerenciamento da mudança, trabalhar a cultura, implementação dos planos e melhorar continuamente
Apresentação e venda para o
board da companhia
Apresentação e venda para
demais executivos
Apresentação e venda para as
áreas de TI, Mkt etc
Implementação das ações
Monitorar indicadores, ajustar e
reportar avanços periodicamente
Definição da estratégia e
planejamento
Priorização e planejamento das ações
Definição da estratégia de
priorização
Planejamento das ações de curto,
médio e longo prazos
Definição dos indicadores de
acompanhamento
Geração de relatórios e
apresentações Elaboração do roadmap para dois
ou três anos
4. Etapas de implementação do programa
Implementação
Implementar as
iniciativas definidas no
roadmap
Venda &
Alinhamento
Alinhar e sensibilizar o
board da companhia
quanto aos principais
riscos e propor um
roadmap de iniciativas
que gerencie esses riscos
ao longo do tempo. A
diretoria deverá
disponbilizar recursos
suficientes para a
implementação do
roadmap
Estratégia &
Planejamento
Definir uma estratégia (o
que será priorizado e
como) e planejar um
roadmap de
implementação para 2
ou 3 anos
Avaliação dos
processos e
controles
Definir um ou mais
frameworks de mercado
e realizar avaliações dos
processos e controles
relacionados a
segurança da
informação
Entendimento
do negócio
Entender os objetivos
estratégicos do negócio,
ativos mais críticos e a
percepção quanto aos
riscos
Fase 1 Fase 2
5. Objetivos do programa
• Ter uma atitude pró-ativa frente aos riscos digitais;
• Alinhar o Programa de Segurança da Informação com as necessidades do negócio;
• Desenvolver uma estratégia de segurança da informação;
• Criar uma estrutura de Gestão de Segurança da Informação;
• Conscientizar e comunicar adequadamente ao CEO, CFO e demais executivos sobre as ações para gerenciamento dos principais riscos;
• Determinar o nível de risco aceitável pela companhia;
• Ter um roadmap estratégico com duração de 2 a 3 anos e priorizado mediante riscos e necessidades da companhia;
• Criar políticas de segurança com a participação de toda companhia;
• Ter um entendimento claro e formalizado dos papéis e responsabilidades relacionados aos processos e controles de segurança;
• Preparar para o recebimento de auditorias internas e externas;
• Tornar a companhia mais resiliente quanto a possíveis incidentes de segurança;
• Criar uma cultura de segurança (entendimento dos riscos e práticas seguras no dia-a-dia pelas pessoas);
• Entendimento das leis e regulamentações que possam impactar a companhia.