Níveis de Maturidade na Segurança da Informação

Usado para avaliar o desempenho do setor de Segurança da Informação, os níveis de maturidade são fundamentais para o planejamento de evolução em segurança de uma empresa, alinhando a regra de negócio do produto com o nível de segurança requerido para uma determinada aplicação.

A partir desse planejamento, são estipuladas metas para o desenvolvimento da estrutura necessária para o suporte de tal nível de segurança, a fim de agilizar e otimizar os processos realizados pela organização.

Sendo uma ferramenta que possui o intuito de descobrir os pontos positivos e negativos da segurança da informação implementada em um projeto, os níveis de maturidade tem o papel de orientar quais serão os investimentos a serem realizados, de modo a focar no que realmente importa, reduzindo custos desnecessários e aperfeiçoando seus investimentos.

A maturidade possui 6 principais níveis, classificados em níveis de mensuração da segurança, que vão desde a sua inexistência até o seu mais alto nível de performance.

Tais níveis citados serão explicitados a seguir:

Inexistente: Quando a empresa ainda não possui estrutura de segurança da informação, podendo tanto ser no caso em que ainda não foi identificada essa necessidade, como também quando mesmo com essa identificação se opta por não aderir, mesmo com os possíveis problemas a serem causados. Geralmente, esse nível de maturidade sofre com diversos ataques maliciosos e informações violadas de seus usuários.

Inicial: Quando a empresa já possui um certo nível de segurança em seu projeto, porém em estado inicial, o que pode ocorrer falhas em determinadas situações, sendo um sistema que ainda possui várias fragilidades. Contudo, ao contrário do anteriormente citado, possui um certo nível de defesa, não sendo totalmente vulnerável por contar com soluções básicas que promovem a identificação dos problemas e erros a serem tratados.

Repetível: Nessa etapa, apesar de já ser notado um padrão de segurança com políticas e diretrizes a respeito desse setor, é preciso salientar que ainda está suscetível a imprevistos. Por se tratar de um código que já foi alterado por diversas pessoas, não há a documentação abrangente necessária para que o tratamento seja realizado da maneira correta.

Definido: Apesar de todos os parâmetros e documentações já terem sido definidos nesse nível, ainda não é possível mensurar a segurança, como também o desempenho das ações realizadas até aqui. Isso pode trazer diversos problemas, que vão desde a dificuldade de identificar evoluções a serem realizadas na estrutura a detectar erros e imprevistos durante o processo. A fim de reduzir a incidência desse ocorrido, é necessário que os treinamentos estejam com melhor aprimoramento, o que será perceptível nos próximos níveis.

Gerenciado: A partir desse ponto a organização já consegue fazer uma análise de seu desempenho, permitindo a monitoração de seus processos, com uma documentação e treinamento adequado, solucionando todos os problemas anteriores. Todo esse conhecimento sobre a sua segurança de informação permite a automatização do processo, prevendo erros e identificando-os. A partir disso, é possível a criação de metas e a mensuração de índices importantes para sua avaliação. No entanto, ainda falta a maturação necessária para a otimização de seus processos, o qual será alcançado no próximo e último nível.

Otimizado: Possuindo todos os requisitos exigidos para essa etapa, é permitido a sua constante evolução, sendo necessário apenas a observação do mercado com o surgimento de novas tecnologias e a sua atualização. Nível máximo de segurança da informação de uma organização, nessa etapa todos os processos já estão alinhados e otimizados.

Por fim, é importante salientar a importância da utilização de frameworks para a execução e a avaliação do nível em que se encontra uma empresa quanto a maturidade, além de ser essencial para que a evolução entre os níveis seja feita da maneira adequada, sem resultados irreais.

Quanto ao primeiro, vale citar o Cobit, possuindo exemplos de níveis para cada tipo de processo, podendo ser possível medir em qual nível está sua organização. Já o segundo, é importante citar o Série ISO 27000, CIS e NIST CSF, todos possuindo o intuito da identificação de possíveis ataques e o aprendizado de máquina, possibilitando o monitoramento e o armazenamento de dados a fim de que falhas de segurança não se repitam.

Em casos que desejam reduzir custos e melhorar o atendimento e o processo, geralmente são contratadas empresas especializadas, fornecendo esse serviço sem a necessidade de contratação de mais mão de obra. Sendo assim, com o apoio das equipes, o trabalho é realizado da melhor forma para ambos.

Portanto, cabe ressaltar que a evolução de uma organização em segurança da informação é um processo a longo prazo, sendo necessário o olhar de diversos profissionais para passar por cada uma das etapas, com o melhor tempo possível. Para isso, devem ser contratados profissionais especializados e que estejam alinhados com os objetivos da empresa, de modo que sejam atendidas as expectativas.

 

Perfil do Autor

Leandro Lima
Leandro Lima
Atualmente exerce a função de Diretor Tecnologia & Produtos na NowCy. Possui 12 anos de experiência em Infraestrutura de TI e Segurança da Informação. Atuando na coordenação e elaboração de projetos para organizações governamentais e privadas. Possuí dezenas de certificações profissionais, em destaque: Fortinet NSE 1, 2, 3, + Cisco CCNA R&S & CCNP R&S - ITIL - IPv6 Enginner - SentinelOne Core - Picus Security, dentre outras.

Compartilhe