Leis e regulamentos que regem a Ciber-segurança

A definição da segurança organizacional e especialmente a ancoragem da segurança cibernética ou das TIC dentro das estruturas já em funcionamento de uma organização é da maior importância para a possível gestão de ameaças ou ataques cibernéticos.

As questões de segurança devem ser abordadas numa organização a nível operacional, táctico e estratégico, do ponto de vista da gestão da organização.

Do ponto de vista da segurança, é importante que o departamento de ciber-segurança seja separado do departamento que fornece as operações de TIC.[1]

Exemplo: O autor encontrou-se com um administrador de rede que foi obrigado pelo seu empregador a tornar-se ao mesmo tempo gestor de segurança. Na prática, isto significaria que o administrador elaboraria directivas a serem seguidas, ao mesmo tempo que verificava por si próprio o seu cumprimento e a sua aplicação. O absurdo desta situação é óbvio à primeira vista.

Por defeito, a segurança organizacional assenta no facto de que as entidades designadas são obrigadas, no que respeita ao sistema de gestão da segurança da informação, a fazê-lo:

o   assegurar que a política e os objectivos de segurança do SGSI sejam estabelecidos de modo a serem compatíveis com a direcção estratégica do devedor,

o   assegurar a integração do SGSI nos processos do devedor,

o   assegurar a disponibilidade dos recursos necessários para o SGSI,

o   informar os trabalhadores da importância do SGSI e da importância de conseguir o cumprimento dos seus requisitos com todas as partes interessadas,

o   fornecer apoio para alcançar os resultados pretendidos do ISMS,

o   levar os empregados a desenvolver a eficiência do SGSI e apoiá-los neste desenvolvimento,

o   promover a melhoria contínua do SGSI,

o   apoiar os detentores de papéis de segurança na promoção da ciber-segurança nas suas áreas de responsabilidade,

o   assegurar o estabelecimento de regras para a designação de administradores e pessoas que irão desempenhar funções de segurança,

o   As funções de segurança incluem:

o   assegurar que a confidencialidade dos administradores e agentes de segurança seja mantida,

o   proporcionar às pessoas com funções de segurança os poderes e recursos adequados, incluindo dotações orçamentais para desempenharem as suas funções e executarem tarefas relacionadas,

o   assegurar o teste de planos de continuidade de negócios, recuperação e processos de gestão de incidentes de ciber-segurança.

Para atribuir e exibir (dentro de uma tabela) as responsabilidades de pessoas individuais (funções de segurança de acordo com o CSD) dentro de uma organização, recomenda-se a utilização da matriz de responsabilidade RACI (matriz RACI). RACI é um acrónimo de:

R - Responsável	quem é responsável pela execução da tarefa atribuída (dada actividade)
A - Responsável (ou aprovador)	que é responsável por toda a tarefa, ou pelo facto de o processo dado ser realizado como pré-definido
C - Consultado	que pode fornecer conselhos ou consultas valiosos para a tarefa mas não assume a responsabilidade pela execução do processo
I - Informado	quem deve ser informado sobre o progresso da tarefa ou decisões na tarefa

A regra é que apenas uma pessoa tem responsabilidade global (A - Responsabilidade) por uma determinada tarefa, as pessoas envolvidas (R - Responsabilidade) devem ser proporcionais à tarefa em questão. O método RACI é uma forma simples de um modelo de competência.[2]

Figura: Matriz RACI[3]