Crie uma diretriz de cibersegurança resiliente para sua empresa

Uma diretriz eficaz de cibersegurança direciona a equipe para projetos alinhados aos objetivos do negócio e à mitigação de riscos.

Crie uma diretriz de cibersegurança ágil, resiliente e escalável

Muitas organizações enfrentam desafios para equilibrar a cibersegurança com as demandas diárias de gestão do negócio. Os diretores de segurança da informação podem contribuir desenvolvendo diretrizes de segurança cibernética que incorporem processos para decisões baseadas em risco, garantindo, ao mesmo tempo, a proteção contra ameaças à segurança.

Clique na etapa necessária para criar uma diretriz de cibersegurança:

Veja a pesquisa do Gartner em ação em nossos eventos e conferências de cibersegurança.

Crie uma diretriz de cibersegurança resiliente para sua empresa

Muitas organizações enfrentam desafios para equilibrar a cibersegurança com as demandas diárias de gestão do negócio. Os diretores de segurança da informação podem contribuir desenvolvendo diretrizes de segurança cibernética que incorporem processos para decisões baseadas em risco, garantindo, ao mesmo tempo, a proteção contra ameaças à segurança. Baixe esta diretriz de cibersegurança personalizável e aproveite.

Ao clicar no botão "Continuar", você concorda com os Termos de Uso Gartner e a Política de Privacidade.

Informação de contato

Todos os campos são obrigatórios

Informações sobre a empresa/organização

Todos os campos são obrigatórios

Optional

Etapas essenciais para uma diretriz de cibersegurança

Uma diretriz de cibersegurança bem definida permite que os líderes da área priorizem projetos e ações corretivas para as lacunas e vulnerabilidades identificadas durante o planejamento estratégico. Saiba como desenvolver a sua.

1: Avalie o estado atual do programa de cibersegurança e identifique as lacunas de recursos

O processo de desenvolvimento de uma estratégia anual para o programa de cibersegurança deve ser a base para essa diretriz. O processo de planejamento estratégico começa com a elaboração de uma visão para o programa de cibersegurança baseada em fatores do mundo real relacionados aos negócios, à tecnologia e ao ambiente econômico em geral.

Depois que as organizações definem a sua visão, elas devem avaliar o estado atual do programa e identificar as lacunas a serem fechadas para transformá-la em realidade. 

Para obter a melhor visão sobre o estado atual do programa, use uma combinação de diferentes tipos de avaliação. Confira alguns exemplos:

  • Avaliações de eficácia de controles para determinar a maturidade da implementação de controles alinhados aos padrões da indústria e em comparação a outros colegas do setor;

  • Avaliações de vulnerabilidade e testes de penetração para avaliar a infraestrutura técnica;

  • Avaliações de riscos, incluindo fatores como indústria, geopolítica, terceiros e resiliência, para equilibrar o investimento em controles apropriados aos riscos reais; 

  • Descobertas recentes de auditoria;

  • Avaliações de gestão de programas para avaliar e comparar a maturidade de políticas, processos e programas de cibersegurança;

  • Comparações de gastos de pessoal com a cibersegurança para compreender a alocação de recursos de colegas.

Resuma os resultados das avaliações em um documento de “estado atual”. Em seguida, mapeie o estado atual em relação à declaração de visão e identifique lacunas entre eles. Normalmente, a análise de lacunas resultará em uma lista de projetos e ações que o programa de cibersegurança poderia assumir no ano seguinte.

Algumas das lacunas vão indicar a necessidade de ações claras. Por exemplo, a falta de orientação padrão para parceiros de computação na nuvem pública aponta para a necessidade de desenvolvimento de políticas de cibersegurança para o contexto da nuvem.

No entanto, as soluções para essas lacunas nem sempre são evidentes, especialmente quando envolvem múltiplos fatores e dependências. Por exemplo, uma diferença entre o nível atual de maturidade da governança de segurança e o nível desejado pela organização exige uma análise aprofundada das causas e a elaboração de um plano de ação para promover melhorias.

2: Decida os projetos de cibersegurança e sua ordem de prioridade na empresa

Poucas organizações têm recursos para executar todas as atividades identificadas em um mesmo período de planejamento. Os líderes de cibersegurança devem definir prioridades baseadas nos seguintes critérios:

  • Os recursos necessários, como habilidades, funcionários e sistemas;

  • O custo financeiro;

  • O tempo de retorno do investimento, ou o período entre o momento em que a organização inicia o projeto e o momento em que pode começar a perceber um retorno sobre ele.

Decida não apenas quais projetos priorizar, mas também a sequência e o ritmo deles. Escolha uma combinação de projetos com tempo de retorno sobre o investimento mais longo e mais curto dentro do período de planejamento. Priorize-os para que a equipe de segurança possa demonstrar progresso em cada trimestre. Essa atitude ajudará a manter o interesse da equipe e o suporte dos executivos para o programa de segurança.

Lembre-se de esclarecer as relações entre um projeto ou uma atividade prioritária com os objetivos de negócios e fatores determinantes que fundamentaram a declaração de visão. Isso ajuda a sustentar uma comunicação executiva eficaz.

3: Comunique-se com os executivos e sua equipe para garantir orçamento apropriado e adesão

A diretriz deve ser fácil de ler, garantindo a compreensão de quem precisar acessá-la. O relatório e a apresentação da diretriz também devem descrever claramente os estados atuais e desejados do programa de cibersegurança, além de como os projetos prioritários ajudarão a alcançar a visão. Esses fatores aumentam as chances de a diretriz cumprir o seu papel: cultivar o apoio da organização e conectar a estratégia à execução para as equipes de cibersegurança.

A otimização da comunicação e da usabilidade pode exigir que a equipe de cibersegurança desenvolva versões distintas da diretriz para públicos diferentes. O formato e o conteúdo da versão executiva, por exemplo, podem se concentrar em como os itens da diretriz se conectam a objetivos empresariais específicos.

O formato e o conteúdo para os funcionários da gestão intermediária, por outro lado, podem destacar as várias etapas envolvidas em diferentes projetos, além de qualquer coleta de dados adicional ou solução de problemas que precise ocorrer como parte de um projeto.

Uma diretriz eficaz de cibersegurança é:

  • Oportuna: entregue e atualize a diretriz no momento em que o público-alvo precisa;

  • Intuitiva: crie uma diretriz que seja facilmente entendida pelo público-alvo. Adapte o documento para outros públicos alterando a perspectiva ou o foco, mas mantendo os mesmos elementos de dados;

  • Acionável: garanta a clareza da diretriz e que ela possa ser usada imediatamente para permitir a execução pelas partes interessadas. Inclua as informações corretas para as partes interessadas e facilite sua localização.

As diretrizes típicas de cibersegurança também refletem a priorização dos riscos e quaisquer interdependências entre determinada iniciativa e outros projetos do portfólio. 

Perguntas frequentes sobre a diretriz de cibersegurança

O que é uma diretriz de cibersegurança para uma organização?

Uma diretriz de cibersegurança é um plano estratégico que descreve as etapas e iniciativas que uma organização deve seguir para proteger seus sistemas de informação e dados contra ameaças cibernéticas. Ela serve como um manual para a gestão de riscos de cibersegurança, garantindo conformidade regulatória e alinhando os esforços de segurança com os objetivos de negócios.


Quais são os principais componentes de uma diretriz de cibersegurança para uma organização?

Os principais componentes de uma diretriz de cibersegurança incluem:

  • Avaliação do estado atual e referência;

  • Análise de lacunas;

  • Priorização;

  • Diretriz;

  • Relatórios.


Como uma diretriz de cibersegurança lida com o cenário de ameaças em evolução para uma organização?

Uma diretriz de cibersegurança aborda o cenário de ameaças em evolução, oferecendo uma abordagem estruturada e adaptável para a gestão e mitigação dos riscos.

Descubra o Futuro com as Conferências Gartner!

Promova um desempenho mais sólido em suas principais prioridades estratégicas.