Como financiar um CSOGestão da Informação e da Inteligência Empresarial

Dificuldades na justificativa de orçamento Identificando orçamento aplicado incorretamente

• É comum que orçamento para Segurança da Informação seja administrado ou dividido entre outras áreas (especialmente TI)

• Não é considerada a integração com a segurança física de instalações corporativas

• Não são estabelecidos planos cuja efetividade possa ser medida corretamente

Financiando CSOs com efetividade Desafios enfrentados

• Superar o ceticismo de executivos

–Muitos CEOs e CFOs

“Nada de ruim está acontecendo.”

Financiando CSOs com efetividade Desafios enfrentados

• Orçar atividades de maneira que resultados possam ser obtidos e medidos

✓ Cada resultando conta, mesmo que não ocorram incidentes na organização

✓ No planejamento, mostrar a efetividade sobre os investimentos a serem feitos reforça o sucesso de projetos de segurança da informação

Estudo de Caso

Orçamento norte-americano para 2016 prevê investimentos contra ciberataques no paísProposta é alocar US$14 bilhões para ações federais defendendo o tema

Orçamento norte-americano para 2016 prevê investimentos contra ciberataques no país Altamente criticado pela imprensa e especialistas

• Temos muitas ações-macro cobertas

✓ Promover segurança da informação a nível nacional

✓ Apresentar leis para compartilhamento de informações entre governo e setor privado

✓ Construir meio unificado de identificação e resposta contra ataques

✓ Incentivar a modernização dos sistemas eletrônicos de pagamentos

Orçamento norte-americano para 2016 prevê investimentos contra ciberataques no país Altamente criticado pela imprensa e especialistas

• Mas não há nenhuma solução para os problemas urgentes

✗ Fomento à defesa de redes privadas

✗ Incentivo ao uso de tecnologias/serviços de proteção já existentes

✗ Estabelecimento de modelo para segurança em mobile

✗ Proposta de conscientização para a população sobre riscos de segurança da informação

Ações adicionais

Não se trata apenas de investir em compras Entender e sanar fragilidades em processos também é importante

• Áreas de atuação adicional para buscar orçamento

✓ Engenharia de processos de segurança

✓ Aumento de pessoal para composição de equipe multidisciplinada

✓ Treinamento e certificação de profissionais

Impor liderança Preparo e subsídios para resposta a incidentes

• Principais insumos

✓ Business Impact Analysis (BIA)

✓ Planos de contingência de processos

• Não sucumbir a emoções

✓ Importante responder adequadamente a ameaças

✓ Recusar coações/subornos

Referências

• Obama’s budget can’t fix corporate cybersecurityhttp://www.usnews.com/news/articles/2015/02/03/obamas-budget-cant-fix-corporate-cybersecurity