definicao dos requisitos do cargo de gestao de seguranca port

8/2/2019 Definicao Dos Requisitos Do Cargo de Gestao de Seguranca Port

1/30

Definio dos

nOrientao para Executivos e Gerentes

Gesto de Seguranada Informao

Requisitos do Cargo de


2/30

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao

2 2008 ISACA. TodoSoSdIreIToSreServAdoS.2 2 0 0 8 I S A C A . T o d o S o S d I r e I T o S r e S e r v A d o S .

ISACA

Com mais de 86 mil colaboradores em mais de 160 pases, a ISACA (www.isaca.org) reconhecidamente lder mundial em governana, controle, segurana e garantia de TI. Fundadaem 1969, a ISACA patrocina conferncias internacionais, publica oInformation Systems Control

Journal, e desenvolve normas internacionais de auditoria e controle de sistemas de informao.

Tambm administra a mundialmente conceituada designao Certified Information SystemsAuditor (CISA), conquistada por mais de 60 mil profissionais desde 1978; a designao CertifiedInformation Security Manager (CISM), conquistada por mais de 9 mil profissionais desde 2002; ea nova designao Certified in the Governance of Enterprise IT (CGEIT).

Iseno de ResponsabilidadeA ISACA projetou e criou o trabalho Definio dos Requisito do Cargo de Gesto de Segurana da

Informao: Orientao para Executivos e Gerentes (Obra) para ser principalmente um recursodidtico para os gestores de segurana da informao. A ISACA no afirma categoricamente queo uso de qualquer parte da Obra garantir resultados bem-sucedidos. No se deve considerar que aObra contm todas as informaes, os procedimentos e os testes corretos, nem que ela no contmoutras informaes, procedimentos e testes pertinentemente voltados obteno dos mesmosresultados. Para determinar a adequao de qualquer informao, procedimento ou teste em especial,os profissionais de controle devem aplicar seu bom-senso profissional s circunstncias especficasapresentadas pelos sistemas ou pelo ambiente de tecnologia da informao especficos.

Reserva de Direitos 2008 ISACA. Todos os direitos reservados. Nenhuma parte desta publicao poder ser usada,copiada, reproduzida, modificada, distribuda, exibida, armazenada em sistema de acesso outransmitida de qualquer forma, por qualquer meio (seja eletrnico, mecnico, fotocpia, gravaoou outro meio) sem a autorizao prvia por escrito da ISACA. A reproduo e o uso parciais ou na

ntegra desta publicao so permitidos apenas para uso acadmico, interno e no-comercial, e emprojetos de consultoria/assessoria, e devem conter a indicao integral da fonte do material. No seconcedem outros direitos nem outras permisses em relao a esta obra.

ISACA3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USATelefone: +1.847.253.1545Fax: +1.847.253.1443E-mail: [email protected] Internet: www.isaca.org

Definio dos Requisito do Cargo de Gesto de Segurana da Informao: Orientao paraExecutivos e Gerentes

Impresso nos Estados Unidos da Amrica


3/30

3 2 0 0 8 I S A C A . T o d o S o S d I r e I T o S r e S e r v A d o S .

Agradecimentos

Agradecimentos

A ISACA deseja agradecer:

Leadership Focus GroupKen Baylor, Ph.D., CISM, CISSP, Nuance, EUARobert Coles, CISA, CISM, Merrill Lynch, Reino UnidoSonia DaSilva, CISA, CISM, CGEIT, Memorial Sloan-Kettering Cancer Center, EUALee Kushner, LJ Kushner, EUAHans Joern Lund-Andersen, CISA, CISM, Dong Energy, DInamarcaMarc Noble, CISM, CISSP, ISSAP, Comisso Federal de Comunicaes, EUAJohn Nugent, Ph.D., CISM, CFE, CPA, DBA, Universidade de Dallas, EUAMichael Raisinghani, Ph.D., CISM, CECC, PMP, Universidade Feminina do Texas, EUAMarc A. L. J. Vael, Ph.D., CISA, CISM, KPMG, BlgicaVishnal Vilas Salvi, CISM, HDFC Bank Limited, ndia

Conselho de DiretoresLynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, Reino Unido, Presidente InternacionalGeorge Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Blgica, Vice-PresidenteHoward Nicholson, CISA, CGEIT, Prefeitura de Salisbury, Austrlia, Vice-PresidenteJose Angel Pena Ibarra, CGEIT, Consultoria en Comunicaciones e Info. SA & CV, Mxico,

Vice-Presidente

Robert E. Stroud, CA Inc., EUA, Vice-PresidenteKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Vice-PresidenteFrank Yam, CISA, FHKCS, FHKIoD, CIA, CFE, CCP, CFSA, FFA, Focus Strategic Group Inc.,

Hong Kong, Vice- PresidenteMarios Damianides, CISA, CISM, CA, CPA, Ernst & Young, EUA, Ex-Presidente InternacionalEverett C. Johnson Jr., CPA, Deloitte & Touche LLP (aposentado), EUA, Ex-Presidente InternacionalGregory T. Grocholski, CISA, The Dow Chemical Company, EUA, DiretorTony Hayes, CPA, Governo de Queensland, Austrlia, DiretorJo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Austrlia, Diretor

Comit de Gesto de SeguranaJo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Austrlia, PresidenteManuel Aceves, CISA, CISM, CISSP, Cerberian Consulting, MxicoKent Anderson, CISM, Encurve LLC, EUAEmil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd, EUAYves Le Roux, CISM, CA Inc., FranaMark Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers, EUAKyeong-Hee Oh, CISA, CISM, Fullbitsoft, CoriaVernon Poole, CISM, CGEIT, Sapphire Technologies Ltd., Reino UnidoRolf von Roessing, CISA, CISM, CGEIT, KPMG Germany, Alemanha

Comit de Certificao CISMEvelyn Susana Anton, CISA, CISM, UTE, Venezuela, PresidenteGarry James Barnes, CISA, CISM, CISA, Commonwealth Bank of Australia, Austrlia

Allan Neville Boardman, CISA, CISM, CA, CISSP, JP Morgan Chase, Reino UnidoJohn Randolph Caraway, CISM, CISSP, JP Morgan Chase, EUAJames A. Crawford Jr., CISM, CISSP, MSIA, Reserva dos Fuzileiros Navais, EUARamses Gallego, CISM, CISSP, SCPM, Entel IT Consulting, EspanhaHitoshi Ota, CISA, CISM, CIA, Mizuho Corporate Bank Ltd., JapoSmita Dilip Totade, Ph.D., CISA, CISM, FEI, National Insurance Academy, ndiaMichael Wai-Kee Yung, CISA, CISM, ESD Services Ltd., Hong Kong


4/30


ndice

Introduo......................................................................................................................... 5Pblico-alvo ................................................................................................................. 5

Metas e objetivos ......................................................................................................... 6Dados da ISACA ......................................................................................................... 6Vantagens deste trabalho ............................................................................................. 6

1. Segurana contextualizada........................................................................................ 7O papel dos gestores de segurana da informao ..................................................... 8

2. Descrio do cargo................................................................................................... 10Governana de segurana da informao .................................................................. 10Gesto de riscos ......................................................................................................... 11Desenvolvimento do programa de segurana da informao .................................... 12Gesto do programa de segurana da informao ..................................................... 12Gesto e reao a incidentes ...................................................................................... 13

3. Progresso da carreira............................................................................................... 15Base para as qualificaes ......................................................................................... 18

Concluso........................................................................................................................ 19

Apndice APerfil dos Participantes da Pesquisa de Anlise de reasde Prtica Profissional do CISM.................................................................................. 20

Apndice BTarefas e Pontuaes de Conhecimento ............................................... 21

Apndice CDeclaraes de Conhecimento para Cada rea de Contedode Cargos da CISM ....................................................................................................... 22

Bibliografia ..................................................................................................................... 27

Outras Publicaes......................................................................................................... 28



5/30

Introduo

IntroduoA segurana da informao tem evoludo para uma disciplina prpria e, portanto, surgemnovas oportunidades de carreira. Como tem sido cada vez mais difcil definir essas funes

e as qualificaes necessrias, a ISACA e o IT Governance Institute

(ITGITM

) dedicaram-se a pesquisas para fornecer a seus membros informaes para ajud-los a definir osrequisitos dos cargos na rea de segurana.

Com a evoluo da profisso de segurana da informao, ela encontra cada vez maisrequisitos tcnicos e de negcios. As empresas enfrentam atualmente uma infinidade deexigncias legais e, um perfil de ameaas em frequente mutao e a necessidade semprepresente de administrar os riscos. essencial que as empresas recrutem profissionais comas qualificaes adequadas para garantir que os recursos de informao sejam protegidoscontra uso no-autorizado, que os sistemas estejam disponveis e que a integridade das

informaes e dos processos seja assegurada de forma contnua. Tambm essencial que osprofissionais de segurana em cargos de comando tenham experincia prtica em segurana enegcios para poder atender s necessidades de proteo da empresa em constante mudanas.

No estado atual, no existe nenhuma especificao formalque defina as responsabilidades, oconhecimento ou os relacionamentos ideais de comunicao na rea de gesto de seguranada informao. Muitos cargos de segurana da informao so subordinados ao diretorde informtica (CIO, Chief Information Officer), outros a um diretor de segurana dainformao (CISO), a um diretor de riscos (CRO) ou a um diretor de conformidade (CCO).

As responsabilidades dos cargos tambm variam de acordo com as empresas. Algumasempresas adotaram um modelo convergente de segurana, no qual o CSO responsvelpela segurana fsica e pela segurana da informao. Outras consideram a segurana dainformao apenas uma questo tecnolgica. Muitas empresas esto chegando conclusode que a segurana da informao um aspecto de negcios que afeta sua situao financeirageral.

Pblico-alvoEste relatrio foi preparado para fornecer uma descrio de cargo e plano de carreira para osprofissionais de segurana da informao e servir como um guia para as pessoas envolvidascom a rea, incluindo profissionais de recursos humanos, profissionais de segurana dainformao, executivos, rgos reguladores e conselhos de diretores ou curadores.

Como o campo da segurana da informao relativamente novo, tendo comeadona dcada de 1970, muitos profissionais ingressaram na disciplina de segurana dainformao por meio de diferentes carreiras, entre elas TI, contabilidade, auditoria,jurdico, operaes de negcios, engenharia, gesto de projetos e segurana fsica. Devidos diversas formaes que os profissionais de segurana da informao trazem para seuscargos, um elemento essencial deste relatrio um diagrama dos diversos caminhos

pelos quais esses profissionais ingressaram e progrediram em cargos de segurana dainformao. Este diagrama (figura 2) resume e apresenta, de maneira lgica e fcil devisualizar, os caminhos, os nveis, os cargos e as funes que se encontram entre osprofissionais e gestores de segurana da informao em uma empresa.

Este relatrio pretende ser um guia prtico para a definio de planos de carreira,indicando os atributos essenciais do cargo de gestor de segurana da informao.



6/30



Ele pode ser adaptado s necessidades especficas de uma empresa conforme seu porte,sua escala, sua natureza, seus recursos, seu nvel de cargos e sua complexidade.

Metas e objetivos

Este relatrio oferece uma base para compreender o grande nmero de requisitosvariveis e inter-relacionados do cargo de gerente de segurana da informao e asresponsabilidades atribudas aos profissionais em vrios nveis de uma empresa.Identifica tambm os roteiros geralmente seguidos pelos profissionais durante suascarreiras para chegar a esses cargos. O relatrio tem por objetivo ajudar quem estingressando na profisso por meio de um programa universitrio, planejando sua carreiraou progredindo na profisso. Serve tambm como um guia para os responsveis pelacontratao de profissionais de segurana da informao ou para aqueles que gerenciam,comandam ou supervisionam uma funo de segurana da informao.

Dados da ISACAA ampla pesquisa empregada na preparao deste relatrio inclui dados coletados soborientao da ISACA como parte de uma abrangente pesquisa global realizada em 2006 comaproximadamente 600 profissionais de segurana da informao que possuem a designaoCertified Information Security Manager (CISM), alm de um grupo de trabalho deexecutivos, inclusive mais de 100 CISMs. O apndice A relaciona dados demogrficoscoletados na pesquisa de 2006. Alm disso, em 2007, a ISACA lanou sua Pesquisa deProgresso na Carreira de Segurana da Informao,1 que gerou respostas de mais de1.400 CISMs em todo o mundo; esses resultados so mostrados nesta publicao.

A designao CISM concedida pela ISACA, sendo reconhecida pela OrganizaoInternacional de Normas (ISO, International Organization for Standardization) comoparte de um grupo seleto de certif icaes para profissionais de segurana da informaocom reconhecimento mundial.

Vantagens deste trabalhoUtilizando este relatrio, o leitor compreender claramente a dinmica e os requisitosdo cargo de gesto de segurana da informao em relao s necessidades variveisdo cargo, velocidade e ao grau de mudanas tecnolgicas que ocorrem, e como essas

condies afetaro o cargo de gerente de segurana da informao. Ele ajudar a definir,refinar e atualizar os requisitos dos cargos de gesto de segurana da informao, semesquecer que as qualificaes e a capacidade de gesto podem ser mais essenciais queas competncias tcnicas, especialmente na ascenso dentro de uma empresa.

1 ISACA,Information Security Career Progression Survey Results, EUA, 2008


7/30

1. Segurana contextualizada


1. Segurana contextualizadaA segurana da informao uma funo de negcios. Dessa forma, fundamental queos profissionais de segurana da informao que procuram progredir em uma empresa

desenvolvam slidas qualificaes de negcios alm de qualificaes, conhecimentose capacidades funcionais.

Em um recente artigo da Computerworld, intitulado Como a TI est Revitalizando aQualificao dos Profissionais,2 os entrevistados destacaram a enorme necessidadede conhecimento e especializao multidisciplinares, alm de capacidades geraisnas reas de negcios e gesto, para progredir em uma empresa. Esses entrevistadostambm identificaram a necessidade dos profissionais tcnicos de dominar qualidades,conhecimentos e capacidades na rea de negcios.

Hoje em dia, essencial que os profissionais de segurana da informao compreendamno apenas as questes tcnicas que fazem parte essencial de seu cargo, mas tambm quesejam capazes de se comunicar, manter contato e gerenciar outras pessoas de acordo comprincpios e prticas slidos de gesto de negcios.

O relatrio de pesquisa da ISACA, intitulado ritical Elements of Information SecurityProgram Success3 identifica claramente a necessidade de que a administrao executivae snior e o gestor de segurana da informao estabeleam um relacionamento quetransmita uma mensagem uniforme em relao prioridade da empresa quanto proteo de informaes e recursos de grande valor.

Alinhar corretamente os riscos de negcios e as solues de segurana da informaoexige um dilogo cooperativo entre as reas de negcios e os especialistas em seguranada informao. Entretanto, para ser bem-sucedido, o dilogo deve ser apoiado poraes visveis e uniformes. A melhor representao dessas aes o estabelecimentoe a implementao uniformes de polticas e normas na empresa. O relatrio da ISACAindica que, sem a participao ativa da administrao executiva na implementao egesto de uma estratgia de segurana da informao, o progresso obtido ser consumidopelo cumprimento discrepante das polticas, gerando uma falsa sensao de conforto

em relao proteo dos recursos.Os conflitos entre as prioridades do dia-a-dia afetam a qualidade e a uniformidadeda proteo dos recursos de informao. Esses conflitos devem ser tratados de maneiracoordenada. Para garantir que os respectivos riscos sejam levados a srio por todos osfuncionrios e representantes da empresa, os nveis executivo e snior de administraodevem assumir um interesse visvel em garantir o xito dos programas de segurana dainformao em suas empresas.

Outra concluso importante do relatrio que os profissionais de segurana da

informao comeam a reconhecer que precisam desenvolver uma compreensoslida da rea de negcios medida que seu cargo ganha mais visibilidade na empresa.Suas decises exigem a justificativa dos riscos de negcios e a dependncia da empresaem relao tecnologia aumenta a interao com as reas jurdica e de conformidade.2 Robb, D; How IT Is Revitalizing Staff Skills, Computerworld, EUA, fevereiro de 20073 ISACA, Critical Elements of Information Security Program Success, EUA, 2005


8/30



O papel dos gestores de segurana da informaoPercebe-se que a funo do gerente de segurana da informao est em constanteevoluo. No apenas os caminhos para obter um cargo de gesto de segurana dainformao so diferentes, mas as funes e as responsabilidades entre os profissionais

de segurana da informao tambm so diferentes.

EmInformation Security Career Progression Survey Results, os CISMs afirmaram quesuas atividades no cargo mudaram consideravelmente do seu emprego anterior para o seuemprego atual. Os CISMs esto percebendo uma reduo das responsabilidades tcnicase um aumento significativo em reas como gesto de programas de segurana, gestode riscos e conformidade. O apndice B demonstra quanto tempo os CISMs afirmamgastar nas cinco reas de prtica profissional da certificao. A figura 1 apresenta aporcentagem dos CISMs que realizam determinadas atividades. A figura mostra que

uma porcentagem muito mais alta dos CISMs responsvel por funes de negcios(indicadas em negrito) no cargo que ocupam do que em seu cargo anterior. Estabelecera correlao entre a segurana da informao e a rea de negcios passou a ser uma dasmaiores prioridades.

Entre os atuais requisitos comuns do cargo de gerente de segurana da informao estoos seguintes:

Supervisionaroestabelecimento,aimplementaoeocumprimentodepolticasenormas que orientam e apoiam os termos da estratgia de segurana da informao Comunicar-secomaadministraoexecutivaparagarantiroapoioaoprogramade

segurana da informao

Figura 1Porcentagem de CISMs Responsveis por Atividades de Segurana

Posio Cargo Atual Porcentagem Cargo Anterior Porcentagem

1 Gesto de riscos 76,6 Segurana de dados 56,6

2 Gesto de programas de

segurana

74,0 Gesto de riscos 54,8

3 Segurana de dados 70,7 Segurana de rede 53,5

4 Criao e manuteno depolticas

65,3 Gesto de programas desegurana

49,0

5 Conformidade legal 63,4 Criao e manuteno depolticas

48,8

6 Gesto de projetos desegurana

59,6 Continuidade de negcios/recuperao de desastres

45,8

7 Gesto de incidentes 58,5 Segurana de sistemas eaplicativos

45,2

8 Segurana de rede 57,3 Arquitetura de segurana 45,1

9 Continuidade de negcios/recuperao de desastres

56,1 Gesto de incidentes 44,8

10 Arquitetura de segurana 55,9 Gesto de projetos desegurana

44,8

Fonte: ISACA, Information Security Career Progression Survey Results, EUA, 2008


9/30

1. Segurana contextualizada


Supervisionareconduziratividadesdegestoderiscos(avaliaoderiscos,anlise

de defasagens, anlise de impacto de negcios, etc.) para ajudar a empresa a atingirum nvel aceitvel de risco

Orientarefazerrecomendaesemrelaoaoscontrolesdeseguranaapropriados

nas reas tcnica, patrimonial e de pessoal Gerenciaroprogramadegestodeincidentesdeseguranadainformaopara

garantir a preveno, a deteco, a conteno e a correo de falhas de segurana Comunicarasmtricasapropriadasadministraoexecutiva

Participardasoluodeproblemasdeviolaodesegurana

Criarumacampanhadeeducaoeconscientizaoemtodaaempresaemrelao

segurana da informao Coordenaracomunicaodacampanhadeconscientizaosobreseguranada

informao a todos os integrantes da empresa

Realizaracoordenaocomfornecedores,auditores,aadministraoexecutivae os departamentos usurios de segurana da informao

Para manter-se atualizado quanto s funes e responsabilidades em constante evoluo,treinamento contnuo, certificao e desenvolvimento profissional so obrigatrios.A segurana da informao evoluiu para um papel que vai alm da funo tcnica,e os executivos e a alta administrao esto comeando a reconhecer essa mudana.

Para continuar progredindo na carreira profissional, os gerentes de segurana da

informao devem ser capazes de demonstrar o valor da segurana da informaopara a empresa. Uma comunicao eficaz do valor do programa de segurana exigeque o gerente de segurana da informao no apenas entenda de tecnologia e solues,mas tambm (o que mais importante) seja competente em reas que sempre foramconsideradas qualificaes de negcios. Qualidades de comunicao (escrita e verbal),organizao e nas rea de finanas e gesto so extremamente importantes paracomunicar-se com os dirigentes da empresa.


10/30



2. Descrio do cargoDe acordo com oEstudo de Anlise de reas de Prtica do Certified InformationSecurity Manager4, os CISMs entrevistados esperam que o gerente de segurana da

informao desempenhe um papel mais importante na rea de negcios nos prximostrs anos. Alm disso, os entrevistados esperam uma nfase maior na governana, almde um foco maior na gesto de riscos e na gesto de incidentes.

Essas qualidades e reas de conhecimento so as seguintes: Habilidadesemnegcios

Habilidadesgerenciais

Conhecimentomaisprofundodeexignciaslegais/deconformidade

ConhecimentodaleiSarbanes-Oxley

Habilidadesemavaliaoderiscos/gestoderiscos

Perciaforense

Segurana,incluindogestodeseguranadainformao,seguranapatrimonial

e segurana de rede

Para auxiliar as empresas a escolher profissionais altamente qualificados para cargosde gesto de segurana da informao, foram criadas diversas certificaes profissionais.A ISACA lanou sua certificao CISM em 2002. A certificao foi criada para gerentesde segurana da informao com pelo menos cinco anos de experincia e qualificaoem segurana e negcios.

O exame para CISM abrange cinco reas profissionais do cargo concentradas emdiferentes declaraes de tarefas e conhecimentos em segurana da informao. Asdeclaraes de tarefas representam o que um profissional de segurana da informaodeve ser capaz de fazer, e as declaraes de conhecimento (vide apndice C) representamo que o gerente de segurana da informao deve saber para realizar as tarefas.

Governana de segurana da informaoA primeira rea de prtica profissional identificada pelos gestores de segurana dainformao como essencial sua funo a governana da segurana da informao. Uma

vez que a governana claramente um aspecto de negcios, nessa categoria que o gerentede segurana da informao deve ter qualificaes eficazes para trabalhar com os executivose saber como demonstrar empresa o valor da segurana da informao. Veja a seguir oitodeclaraes de tarefas essenciais na rea de governana de segurana da informao:5

Desenvolverumaestratgiadeseguranadainformaoalinhadacomasmetase

os objetivos de negcios Alinharaestratgiadeseguranadainformaocomagovernanacorporativa.

Desenvolverumajustificativadenegciosparaoinvestimentoemseguranada

informao.

Identificarasexignciaslegaisenormativasatuaisepotenciaisqueafetamasegurana da informao. Identificarosfatoresqueafetamaorganizao(porexemplo,tecnologia,ambientede

negcios, tolerncia a risco, localizao geogrfica) e seu impacto sobre a seguranada informao.

4 ISACA, Certifed Inormation Security Manager Job Practice Analysis Study, EUA, 20065 ISACA, CISM Review Manual 2008, EUA, 2008


11/30

2. Descrio do cargo


Obterocompromissodaaltaadministraocomaseguranadainformao.

Definirasfuneseresponsabilidadesdaseguranadainformaoemtodaaorganizao.

Estabelecercanaisinternoseexternosdesubordinaoecomunicaoqueapoiem

a segurana da informao.

As declaraes de tarefas demonstram o alinhamento entre o programa de segurana dainformao e as necessidades da rea de negcios. Para gerenciar de maneira eficaz oprograma de segurana da informao, o gerente precisa ter conhecimento de negciospara realizar as tarefas mencionadas anteriormente. O gerente deve possuir habilidades decomunicao para obter o apoio dos executivos, e ser capaz de compreender os relatriosfinanceiros para ver claramente os fatores de negcios. O gerente tambm precisa ser capazde trabalhar de maneira eficaz com outras reas, entre elas a jurdica e a de auditoria (paraidentificar possveis problemas legais), recursos humanos, e com os chefes das unidades denegcios funcionais para definir as responsabilidades pertinentes segurana da informao.

Gesto de riscosA gesto de riscos da segurana da informao a segunda rea de responsabilidadeessencial da gesto de segurana da informao presente nas reas de prtica profissionaldo CISM. Essa rea representa todo o ciclo de gesto dos riscos em uma empresa,da avaliao at a mitigao. Aqui, os gestores de segurana da informao precisamconduzir avaliaes de risco, compreender e comunicar claramente o possvel impactosobre os negcios e recomendar controles para a mitigao dos riscos.

As tarefas essenciais ao tratamento eficaz da gesto de riscos so as seguintes: Estabelecerumprocessodeclassificaoepropriedadedosativosdeinformao. Implementarumprocessosistemticoeestruturadodeavaliaoderiscosdainformao.

Garantiraconduoperidicadeavaliaesdeimpactosobreosnegcios.

Garantirqueasavaliaesdeameaasevulnerabilidadessejamrealizadas

continuamente. Identificareavaliarperiodicamenteoscontrolesdeseguranadainformaoeas

contramedidas para mitigar os riscos at nveis aceitveis. Integraraidentificaoegerenciamentoderiscos,ameaasevulnerabilidadesaos

processos de ciclo de vida (por exemplo, desenvolvimento e compras). Comunicaralteraessignificativasnosriscosdeinformaoaosnveisapropriados de administrao para aceite, tanto periodicamente quanto caso a caso.

As sete declaraes de tarefas listadas representam uma ampla gama de conhecimento.Os gestores de segurana da informao devem no apenas ter um conhecimentoprofundo das ameaas, vulnerabilidades e possveis exposies, mas tambm devemcompreender os mtodos de avaliao de riscos, possveis estratgias de mitigao,mtodos de conduo de anlise de falhas e anlise de impacto nos negcios e ter umconhecimento slido dos controles e das contramedidas de segurana. O mais importante

que, para tomar qualquer deciso sobre como tratar os riscos, o gerente de seguranada informao deve saber se comunicar com a administrao executiva em relao tolerncia a riscos da empresa e deve ser capaz de contribuir com a identificao e ogerenciamento dos riscos em nvel corporativo.


12/30



Desenvolvimento do programa de segurana da informaoO desenvolvimento do programa de segurana da informao a terceira capacidadeessencial ao papel de gerente de segurana da informao. Ao criar um programa desegurana da informao, fundamental que os gestores de segurana da informao

alinhem o programa com as metas da empresa e demonstrem valor. Os gestores desegurana da informao precisam compreender profundamente as pessoas, os processose a tecnologia para atingir de maneira eficaz os objetivos de negcios.

Os gestores de segurana da informao devem ser capazes de realizar as 11 tarefas aseguir no desenvolvimento do programa de segurana da informao: Desenvolveremanterplanosparaimplementaraestratgiadeseguranadainformao.

Especificarasatividadesquedevemserrealizadasnoprogramadeseguranada

informao. Garantiroalinhamentodosrequisitosdoprogramadeseguranadainformao

com os requisitos de outras funes de garantia (por exemplo, patrimnio, recursoshumanos, qualidade, TI)

Identificarosrecursosinternoseexternos(porexemplo,finanas,pessoas,equipamentos, sistemas) necessrios execuo do programa de segurana.

Garantirodesenvolvimentodearquiteturasdeseguranadainformao(porexemplo, pessoas, processos, tecnologia).

Estabelecer,comunicaremanterpolticasdeseguranadainformaoqueapoiem

a estratgia de segurana. Projetaredesenvolverumprogramadeconscientizao,treinamentoeeducao

quanto segurana da informao. Garantirodesenvolvimento,acomunicaoeamanutenodepadres,

procedimentos e outros documentos (por exemplo, diretrizes, parmetros, cdigosde conduta) que apoiem as polticas de segurana da informao.

Garantirqueaseguranadainformaosejamantidaemtodososprocessos

da organizao (por exemplo, controle de mudanas, fuses e aquisies) e nasatividades de ciclo de vida (por exemplo, desenvolvimento, contratao, compras).

Desenvolverumprocessoparaincorporarrequisitosdeseguranaacontratos

(por exemplo, com joint ventures, provedores terceirizados, parceiros de negcios,clientes, terceiros)

Estabelecermtricasparaavaliaraeficciadoprogramadeseguranadainformao.

As tarefas de desenvolvimento do programa de segurana da informao exigidasdo gestor destacam claramente a necessidade de pessoas capazes de compreender osobjetivos de negcios e que tenham uma slida capacidade de comunicao. Desenvolverum programa de segurana eficaz depende da capacidade do gerente de compreendera estratgia e as metas da empresa e trabalhar com os executivos e os dirigentes dasunidades de negcios funcionais para integrar a segurana cultura da empresa.

Gesto do programa de segurana da informaoA gesto do programa de segurana da informao a quarta rea de prtica profissionaldo CISM. Ela se concentra em gerir com eficcia o programa de segurana da informao,reunindo recursos humanos, fsicos e financeiros para ajudar a atingir os objetivos de negcios.


13/30

2. Descrio do cargo


H nove tarefas nesta rea de prtica profissional que o gestor de segurana dainformao deve ser capaz de realizar com eficcia: Gerirosrecursosinternoseexternos(porexemplo,finanas,pessoas,

equipamentos, sistemas) necessrios execuo do programa de segurana.

Garantirqueosprocessoseprocedimentossejamrealizadosdeacordocomaspolticas e normas de segurana da informao da organizao.

Garantirocumprimentodoscontrolesdeseguranadainformaodefinidos

em contrato (por exemplo, com joint ventures, fornecedores terceirizados, parceirosde negcios, clientes, terceiros).

Garantirqueaseguranadainformaosejaparteintegrantedosprocessosdedesenvolvimento de sistemas e dos processos de aquisio.

Garantirqueaseguranadainformaosejamantidaemtodososprocessosda organizao (por exemplo, controle de mudanas, fuses e aquisies) e nasatividades de ciclo de vida.

Oferecerassessoriaeorientaoquantoseguranadainformao(porexemplo,

anlise de riscos, seleo de controles) na organizao. Conscientizar,treinareeducaraspartesenvolvidasnonegcioquantosegurana

da informao (por exemplo, responsveis por processos de negcios, usurios,tecnologia da informao).

Monitorar,medir,testarecomunicaraeficciaeaeficinciadoscontrolesde

segurana da informao e o cumprimento das polticas de segurana da informao. Garantirqueproblemasdenoconformidadeeoutrasvariaessejam

solucionados de maneira pontual.

Como podemos ver nas tarefas listadas, a capacidade de comunicao fundamental paraa gesto de programas. Os gestores de segurana da informao precisam desenvolver ecomunicar mtricas apropriadas para demonstrar o valor alta administrao. Os gestoresde segurana da informao tambm devem ser capazes de comunicar-se em nvel tcnicocom especialistas em TI, dirigentes de unidades de negcios e funcionrios, pois todos soresponsveis pela proteo dos valiosos recursos de informao.

Gesto e resposta a incidentesA ltima rea de prtica profissional contemplada a gesto e resposta a incidentes.

Gesto de incidentes se define como o processo de desenvolver e manter a capacidadede gerenciar incidentes dentro da empresa de forma que a exposio seja limitada e quea recuperao ocorra dentro de um objetivo de tempo especfico. Incidentes podem ser ouso indevido de recursos de informtica, divulgao de informaes, ou acontecimentosque ameacem a continuidade dos processos de negcios. Os gestores de segurana dainformao devem ser competentes em 10 tarefas essenciais nesta rea de prtica: Desenvolvereimplementarprocessosparaevitar,detectar,identificar,analisar

e reagir a incidentes de segurana da informao. Estabelecerprocessosdetransfernciadealadaecomunicaoelinhasdealada.

Desenvolverplanosparareagiraincidentesdeseguranadainformaoedocument-los. Estabeleceracapacidadedeinvestigarincidentesdeseguranadainformao

(por exemplo, percia, coleta e preservao de provas, anlise de logs, entrevistas). Desenvolverumprocessodecomunicaocompartesinternaseorganizaes

externas (por exemplo, mdia, autoridades policiais, clientes).


14/30



Integrarplanosderespostaaincidentesdeseguranadainformaoaoplano

de recuperao de desastres e continuidade de negcios da organizao. Organizar,treinareequiparasequipesparareagiraincidentesdesegurana

da informao.

Testarperiodicamenteerefinarosplanosderespostaaincidentesdeseguranada informao.

Gerenciararespostaaincidentesdeseguranadainformao.

Conduziranlisesparaidentificarascausasdosincidentesdeseguranada

informao, desenvolver aes corretivas e reavaliar os riscos.

A rea de prtica profissional de gesto e resposta a incidentes exige que os gestores desegurana da informao identifiquem, analisem, gerenciem e reajam a uma interrupoou falha nas funes de processamento de informaes.


15/30

Captulo XX


3. Progresso da carreiraOs gestores de segurana da informao precisam ter uma ampla gama de qualidadespara serem bem-sucedidos em suas funes. Algumas dessas qualidades se referem

administrao, gesto de riscos, tecnologia, comunicao, gesto de projetos,organizao e liderana. Com um foco cada vez maior em qualificaes de negcios equalidades intangveis cuja mensurao difcil, recomenda-se que qualquer empresaque contrate um gerente de segurana da informao procure uma pessoa experiente nascinco reas de contedo profissional da certificao CISM.

importante observar que contratar pessoas de fora nem sempre a nica opo. As empresasfrequentemente j contam com funcionrios com as principais habilidades. Os profissionaisde segurana da informao podem ingressar em uma empresa para trabalhar em uma rea eadquirir novas habilidades que lhes permitam progredir para outras reas.

A figura 2 ilustra os diversos caminhos de carreira pelos quais um gerente de seguranada informao pode progredir em uma empresa. Demonstra o progresso tpico dasegurana da informao e como os profissionais podem se deslocar horizontal, diagonale verticalmente em seu progresso de carreira. Esta figura tambm destaca o fato de queexistem muitas formaes e diversos meios pelos quais os gestores de segurana dainformao adquirem conhecimento, certificaes, treinamento e experincia.

A ascenso de um cargo bsico para um cargo de diretoria pode ser realizada pordiversos caminhos. Na verdade, esse exatamente o padro observado atualmente naspesquisas com profissionais que detm a certificao CISM em todo o mundo. Essesprofissionais ingressaram a partir de diversas reas funcionais e subiram pela escadacorporativa em padres tanto verticais como horizontais, muitas vezes se movendotambm na diagonal. Como se requer uma combinao de habilidades tcnicas egerenciais medida em que o profissional progride em uma empresa, acredita-se queesse padro permanecer vlido no futuro.

Nem sempre fcil dimensionar o conjunto de qualificaes requeridas atualmente deum gestor de segurana da informao. Os empregadores precisam de uma base paraavaliar seus funcionrios que buscam promoes e candidatos externos para preenchercargos. A taxonomia de Bloom6 oferece s empresas uma escala que permite identificarse os possveis ocupantes dos cargos tm os conjuntos de qualificaes necessrios paracumprir a funo de gerente de segurana da informao.

Bloom identificou seis nveis no domnio cognitivo, do nvel mais baixo (lembrana oureconhecimento simples de fatos) passando por nveis mentais cada vez mais complexos eabstratos, at atingir a ordem mais elevada, classificada como avaliao. Exemplos de verbosque representam a atividade intelectual em cada nvel esto relacionados na figura 3.

A figura 4 detalha mais as competncias do cargo de gerente de segurana dainformao, adaptadas dos seis nveis de aprendizado de Bloom. O nvel de competnciapara os diferentes nveis indicado para cada uma das competncias de Bloom:conhecimento, compreenso, aplicao, anlise, sntese e avaliao. Os requisitos decompetncia nas diversas reas podem ser alcanados quando a empresa conta comprofissionais que possuem diferentes pontos fortes na equipe.

6 Bloom, B; Taxonomy o Educational Objectives, Allyn and Bacon, EUA, 1984

3. Progresso da carreira


16/30



As empresas que procuram promover ou contratar um gerente de segurana da informaopodero considerar as competncias teis para definir as qualificaes e os requisitos do cargo.

Um gerente de segurana da informao precisa ter um conhecimento amplo e profundoem diversas reas. Em muitos casos, esse nvel de conhecimento no ser encontrado emuma nica pessoa, especialmente no incio de uma carreira. Portanto, provvel que sejanecessrio um equilbrio de qualidades entre vrios profissionais em empresas maiores.Aqueles com uma compreenso mais ampla e profunda do conhecimento necessrioascendero aos cargos mais graduados. Como a tecnologia muda muito rapidamente,treinamento e educao contnuos so obrigatrios.

Figura 2Modelo tpico de progresso e gesto de segurana da informao

Diretoria Segurana da Informao/Comit de Garantia

Equipe multidisciplinar em nvel de diretoria

Nvel Gesto Tecnologia Arquitetura Garantia

Jurdico/

Gesto deRiscos/

Privacidade

Executivosnior(Nvel deDiretoria) CIO COO CTO CISO CArO CAO GC CRO CPO

Gerente/diretor

Operaesconsultoria

Desenvolvimento/segurana de sistemas einformaes de infraestrutura

Auditoriainterna

Risco informao/consultoria de

privacidadeEspecialista Consultor

principalde TI

Profissionalde sistemassnior de TI

Engenheiro dedesenvolvi-mento sniorde TI

Arquitetosnior de TI

Auditorsnior deseguranadainformao

Consultorprincipal de TI

Especialista,gerente

Gerente de produtos/programas/projetos, lder de equipe, gerente de vendas de conta

Especialista,tcnico

Consultordesegurana,analista denegcios

Gerente deprodutosdesegurana

Projetista desegurana

Profissionalde sistemasde segurana

Auditor desegurana

Consultorde risco deinformao

Iniciante Analista Desenvolvedor Projetista deseguranaestagirio

Estagirio desistemas desegurana

Estagirio deauditoria desegurana

O progresso na carreira at o nvel de Diretoria pode ser vertical, horizontal e/ou diagonal.

Fonte: Adaptado de Lynas, David; John Sherwood; Professionalism in Information Security:A Framework for Competency Development, 12a Conferncia Anual da COSAC, Reino Unido, 2005

Legendas do Nvel de Diretoria:CIO = Diretor de Informtica (Chief Information Officer) CAO = Diretor de Garantia (Chief Assurance Officer)COO = Diretor de Operaes (Chief Operating Officer) GC = Diretor Jurdico (General Counsel)CTO = Diretor de Tecnologia (Chief Technology Officer) CRO = Diretor de Risco (Chief Risk Officer)CISO = Diretor de Segurana da Informao CPO = Diretor de Privacidade (Chief Privacy Officer)(Chief Information Security Officer)CARO = Diretor de Arquitetura (Chief Architecture Officer)

Nveis

de

Carre

ira


17/30



Figura 3Competncias tcnicas cf. a Taxonomia de Bloom

Nvel deCompetncia

Qualidade Demonstrada Exemplos de VerbosComportamentais

1 Conhecimento Observar e lembrar informaes. Demonstrar conhecimento dos

fatos. Demonstrar conhecimento de

idias importantes. Demonstrar domnio do assunto. Conduzir pesquisas para encontrar

informaes.

Listar, definir, contar, descrever,identificar, mostrar, rotular, coletar,examinar, tabular, cotar, nomear,localizar, identificar

2 Compreenso Compreender a informao. Compreender o significado. Transformar conhecimento em

novos contextos. Interpretar fatos. Comparar e contrastar. Inferir causas. Prever consequncias.

Resumir, explicar, interpretar,contrastar, prever, associar,distinguir, estimar, diferenciar,

discutir, expandir, ordenar, agrupar

3 Aplicao Usar a informao com sabedoria. Empregar mtodos, conceitos e

teorias em novas situaes. Solucionar problemas usando a

habilidade ou o conhecimento

necessrios.

Aplicar, demonstrar, calcular,completar, ilustrar, mostrar,solucionar, examinar, modificar,relacionar, mudar, classificar,experimentar, descobrir

4 Anlise Identificar padres. Organizar caminhos. Reconhecer significados ocultos. Identificar componentes.

Analisar, separar, ordenar, conectar,classificar, organizar, dividir,comparar, selecionar, inferir

5 Sntese Usar idias antigas para criarnovas idias.

Generalizar a partir de fatosconhecidos.

Relacionar conhecimentos de

diversas reas. Fazer previses e tirar concluses.

Combinar, integrar, modificar,reorganizar, substituir, planejar, criar,construir, projetar, inventar, compor,formular, preparar, generalizar,reescrever

6 Avaliao Comparar e discriminar idias. Avaliar o valor de teorias e

apresentaes. Fazer escolhas com base em

argumentos racionais. Verificar o valor de evidncias. Reconhecer a subjetividade.

Estimar, avaliar, decidir, classificar,graduar, testar, medir, recomendar,convencer, selecionar, julgar,discriminar, apoiar, concluir

Fonte: Bloom, Benjamin; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984


18/30



Figura 4Competncias de um gerente de segurana da informao

Domnio Conhecimento Compreenso Aplicao Anlise Sntese Avaliao

Nvel/

categoria Neg. Seg. Neg. Seg. Neg. Seg. Neg. Seg. Neg. Seg. Neg. Seg.Executivode nvel dediretoria

M M M M M M M M M M M M

Diretor M M M M M M M M M M M M

Gerente C M M M M M M M C C C C

Especialistatcnico

C M C M C M C M U M U M

Especialistatcnico

U M U M U M U M U C U C

Analistatcnico

U C U C U C U C U C U C

Fonte: Centro de Garantia da Informao da Universidade de Dallas, 2007

Legendas da TabelaNeg. = Conhecimento de negciosSeg. = Conhecimento de segurana da informaoM = Domnio total

C = Alguma competnciaU = Compreenso bsica

Base para as qualificaesCertificaes profissionais e treinamento desempenham um papel importante nodesenvolvimento das qualificaes e demonstram o profissionalismo e o compromissode manter uma situao profissional.

O treinamento pode ser obtido em um ambiente didtico formal, como uma faculdadeou universidade, onde j existem programas de graduao, ps-graduao e doutorado

para gestores de segurana da informao, ou pode assumir a forma de treinamentoprofissional em conferncias, seminrios e of icinas.

A certificao profissional pode ser muito valiosa para demonstrar o conhecimento ea experincia de um gerente de segurana da informao, pois exige que os candidatossejam aprovados em um exame que avalia suas competncias em segurana dainformao. A CISM uma certificao altamente conceituada na rea de seguranada informao, que exige que os candidatos sejam aprovados em um rigoroso examee tenham cinco anos de experincia em gesto de segurana da informao, alm decumprir horas de educao profissional continuada (CPE) para manter a certificao.


19/30



Concluso

As funes, responsabilidades e relaes que os gestores de segurana da informaodevem cumprir so grandes, crescentes, complexas e, s vezes, conflitantes, mas so as

mesmas em todo o mundo. O desafio, de acordo com a pesquisa de anlise de prticaprofissional do CISM,7 que eles devem habituar-se compreenso dos problemas efundamentos de negcios, bem como gerenciar e trabalhar com outros profissionaistcnicos se desejam progredir na carreira. H muito para conhecer e manter-se atualizadoem relao s mudanas tecnolgicas; portanto, treinamento, certificao e educaocontinuada so obrigatrios.

Tambm foi determinado, atravs da pesquisa de anlise de prtica profissional doCISM, que muitos gestores de segurana da informao chegaram ao seu cargo atravsde diferentes caminhos de carreira e formaes acadmicas. Isso tem sido bom, pois

cria uma rede de qualificaes, experincia, educao, treinamento e certificaoque melhoram o perfil geral de segurana de uma empresa. Acredita-se portantoque a ascenso na carreira do gerente de segurana da informao seguir diferentescaminhos. Alguns profissionais progrediro em um canal vertical, e outros por caminhoshorizontais, e alguns sero transferidos de um cargo totalmente tcnico para uma funomais gerencial, e vice-versa.

Finalmente, para que a segurana de uma empresa seja realmente eficaz, necessriaa aceitao pelos nveis superiores. Isso significa que a segurana da informao devefazer parte da governana corporativa e contar com a participao e o apoio da diretoria

e dos executivos de nvel snior.

Criar uma cultura que apoie a segurana da informao apenas uma das dificuldadesenfrentadas pelos gestores de segurana da informao hoje em dia, mas a combinaocorreta de educao e experincia ajudar a prepar-los para enfrentar esses desafios.

7 ISACA, Certifed Inormation Security Manager Job Practice Analysis Study, EUA, 2006


20/30



Apndice APerfil dos Participantes da Pesquisa de Anlise de reas de PrticaProfissional do CISM

As estatsticas a seguir representam dados demogrficos extrados do Certified

Information Security Manager Job Practice Analysis Study da ISACA em 2006 : 70%dosentrevistadostinhamdeseisa15anosdeexperinciacomogestoresde

segurana da informao. 59%vieramdequatrosetores:bancrio(16%),consultoria(23%),financeiro(7%)esetorpblico/nacional(13%).

83%eramhomens. 77%tinhambachareladooueramps-graduados(38%erambacharise39%tambm

eram mestres). EmboratodososentrevistadosdetivessemacredencialCISM,maisde73%detinhammaisumacertificao(40%eramCISSPs,33%eramCISAs,33%outros.

65%detinhamumdostrsttulosaseguir:CISO(13%),diretordeseguranadainformao(13%)ougerentedeseguranadainformao(39%).

94%eramcertificadosdesde2003. 33%trabalhavamemempresascom1.500a9.999funcionrios(outrasrespostas

foram distribudas de maneira uniforme em uma curva normal). 62%contavamcompessoaldeseguranaemperodointegralcommenosde25pessoas(39%contavamcomequipedezeroacincopessoas,17%comumaequipedeseisa10,e16%contavamcomumaequipede11a25).

Nota: As porcentagens foram arredondadas para nmeros inteiros.

ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA,2006, p. 19-27


21/30

Apndice BTarefas e Pontuaes de Conhecimento


Apndice BTarefas e Pontuaes de Conhecimento

Figura 5 representa as respostas dos CISMs entrevistados no estudo de anlise deprtica profissional de 2006. Os CISMs responderam com a porcentagem de tempo que

gastavam gerenciando atividades em cada uma das reas de contedo profissional doCISM, alm da criticidade das reas de contedo profissional de seus cargos. A mdia decriticidade uma mdia de todas as pontuaes, com base em uma escala linear de 1 a 5;1 indica a menor criticidade, e 5 indica a maior criticidade.

Figura 5Estatsticas descritivas das reas de contedo do Exame de CISM

reas de contedo do exame de CISM Porcentagem de tempo Mdia de criticidade

Governana de segurana da informao 22,0 3,5

Gesto de riscos segurana da informao 21,5 3,6Desenvolvimento do programa de segurana dainformao

17,6 3,4

Gesto do programa de segurana da informao 24,0 3,5

Gesto e reao a incidentes 13,6 3,4

Outros 1,2

Fonte: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 29


22/30



Apndice CDeclaraes de Conhecimento para Cada rea de Contedo deCargos da CISM(Fonte: ISACA,Manual de Anlise de CISMs 2008, EUA, 2008)

rea 1: Governana de segurana da informaoKS1.1 Conhecimento das metas e dos objetivos de negciosKS1.2 Conhecimento de conceitos de segurana da informaoKS1.3 Conhecimento dos componentes que formam uma estratgia de segurana

da informao (por exemplo, pessoas, processos, tecnologias, arquitetura)KS1.4 Conhecimento da relao entre as funes de segurana da informao

e de negciosKS1.5 Conhecimento do escopo e do compromisso da governana de segurana

da informaoKS1.6 Conhecimento dos conceitos de governana corporativa e de segurana

da informaoKS1.7 Conhecimento dos mtodos para integrar a governana da segurana

da informao estrutura geral de governana da empresaKS1.8 Conhecimento de estratgias de planejamento oramentrio e mtodos

de emisso de relatriosKS1.9 Conhecimento de metodologias de desenvolvimento de caso de negciosKS1.10 Conhecimento dos tipos e do impacto dos fatores internos e externos

(por exemplo, tecnologia, ambiente de negcios, tolerncia a riscos) quepodem afetar as organizaes e a segurana da informao

KS1.11 Conhecimento dos requisitos legais e do seu possvel impacto sobre os negciosdo ponto de vista da segurana da informao

KS1.12 Conhecimento de estratgias comuns de gesto de responsabilidade civile opes de seguros (por exemplo, seguro contra crime, seguro fidelidade,interrupo de negcios)

KS1.13 Conhecimento de relacionamentos com terceiros e seu impacto sobre asegurana da informao (por exemplo, fuses e aquisies, parcerias,terceirizao)

KS1.14 Conhecimento dos mtodos usados para obter o compromisso da altaadministrao com a segurana da informao

KS1.15 Conhecimento do estabelecimento e da operao de um grupo gestor desegurana da informao

KS1.16 Conhecimento das funes, responsabilidades e estruturas organizacionais geraisda gesto de segurana da informao

KS1.17 Conhecimento de abordagens para relacionar as polticas aos objetivos denegcios da empresa

KS1.18 Conhecimento das normas internacionais consagradas de gesto de segurana dainformao

KS1.19 Conhecimento de mtodos centralizados e distribudos para coordenar atividadesde segurana da informao

KS1.20 Conhecimento de mtodos para estabelecer canais de subordinao ecomunicao em toda a organizao


23/30

Apndice CDeclaraes de Conhecimento para Cada rea de Contedo de Cargos da CISM


rea 2: Gesto de riscos segurana da informaoKS2.1 Conhecimento dos componentes necessrios ao estabelecimento de um plano

de classificao de segurana da informao que seja coerente com os objetivosde negcios, inclusive a identificao de ativos.

KS2.2 Conhecimento dos componentes do plano de propriedade de informaes,inclusive dos fatores do plano, tais como funes e responsabilidades.KS2.3 Conhecimento das ameaas informao, das vulnerabilidades e das exposiesKS2.4 Conhecimento das metodologias de avaliao de recursos de infomaoKS2.5 Conhecimento de metodologias de avaliao e anlise de riscos, inclusive

mensurabilidade, reprodutibilidade e documentao.KS2.6 Conhecimento dos fatores empregados para determinar a frequncia e os

requisitos de emisso de relatriosKS2.7 Conhecimento dos mtodos quantitativos e qualitativos usados para determinar

a sensibilidade e a criticidade dos recursos de informao e o impacto de

eventos adversos sobre os negciosKS2.8 Conhecimento da modelagem de parmetros e seu relacionamento comavaliaes por risco dos requisitos de controle

KS2.9 Conhecimento de controles de segurana e contra-medidasKS2.10 Conhecimento de mtodos para analisar a eficcia dos controles de segurana

da informao e de contra-medidasKS2.11 Conhecimento das estratgias de mitigao de riscos para definir os requisitos

de segurana dos recursos de informaoKS2.12 Conhecimento de anlises de defasagem para comparar o estado do momento

com as normas consagradas de prticas recomendadas de gesto de segurana

da informaoKS2.13 Conhecimento de tcnicas de anlise de custo-benefcio para mitigar os riscos emKS2.14 Conhecimento de princpios e prticas de gesto de riscos por ciclo de vida

rea 3: Desenvolvimento do programa de segurana da informaoKS3.1 Conhecimento de mtodos para converter estratgias em planos gerenciveis

e sustentveis para implementar a segurana da informaoKS3.2 Conhecimento das atividades necessrias em um programa de segurana

da informaoKS3.3 Conhecimento de mtodos para gerenciar a implementao do programa

de segurana da informaoKS3.4 Conhecimento do planejamento, do projeto, do desenvolvimento, dos testes

e da implementao de controles de segurana da informaoKS3.5 Conhecimento de mtodos para alinhar os requisitos do programa de segurana

da informao com os requisitos de outras funes de garantia (por exemplo,patrimnio, recursos humanos, qualidade, TI)

KS3.6 Conhecimento de como identificar recursos internos e externos e qualificaesnecessrias (por exemplo, finanas, pessoal, equipamentos, sistemas)

KS3.7 Conhecimento de aquisio de recursos e qualificaes (por exemplo,oramento de projetos, contratao de pessoal, compra de equipamentos)

KS3.8 Conhecimento de arquiteturas de segurana da informao (por exemplo,arquitetura lgica e arquiteturas fsicas) e sua implementao

KS3.9 Conhecimento de tecnologias e controles de segurana (por exemplo, tcnicascriptogrficas, controles de acesso, ferramentas de monitoramento)


24/30



KS3.10 Conhecimento do processo de desenvolvimento de polticas de seguranada informao que cumpram e apiem os objetivos de negcios da empresa

KS3.11 Conhecimento do contedo para conscientizao, treinamento e educaoem relao segurana da informao em toda a empresa (por exemplo,

conscientizao geral de segurana, criao de cdigos seguros, controlesde sistemas operacionais)KS3.12 Conhecimento de mtodos para identificar atividades de preenchimento

das lacunas entre nveis de competncia e qualidades necessriasKS3.13 Conhecimento das atividades para promover uma cultura e um comportamento

positivos em relao seguranaKS3.14 Conhecimento dos usos e das diferenas entre as polticas, as normas, os

procedimentos, as diretrizes e outras documentaesKS3.15 Conhecimento do processo de correlao de polticas aos objetivos de negcios

da empresa

KS3.16 Conhecimento de mtodos para desenvolver, implementar, comunicar emanter polticas, normas, procedimentos, diretrizes e outras documentaesde segurana da informao

KS3.17 Conhecimento da integrao dos requisitos de segurana da informao aosprocessos organizacionais (por exemplo, controle de mudanas, fuses eaquisies)

KS3.18 Conhecimento de metodologias e atividades de ciclo de vida (por exemplo,desenvolvimento, contratao, compras)

KS3.19 Conhecimento de processos para incorporar requisitos de segurana a contratos(por exemplo, com joint ventures, provedores terceirizados, parceiros de

negcios, clientes, terceiros)KS3.20 Conhecimento de mtodos e tcnicas para gerenciar riscos de terceiros

(por exemplo, acordos de nvel de servio, contratos, due diligence,fornecedores, subcontratados)

KS3.21 Conhecimento do projeto, do desenvolvimento e da implementao de mtricasde segurana da informao

KS3.22 Conhecimento da certificao e do credenciamento da conformidade dosaplicativos de negcios e da infraestrutura s necessidades de negcios

KS3.23 Mtodos de avaliao contnua da eficcia e aplicabilidade dos controles desegurana da informao (por exemplo, testes de vulnerabilidade, ferramentas

de avaliao)KS3.24 Conhecimento de mtodos de acompanhamento e medio da eficcia e

atualidade dos programas de conscientizao, treinamento e educao referentes segurana da informao

KS3.25 Conhecimento de mtodos para manter o programa de segurana da informao(por exemplo, planejamento sucessrio, distribuio de cargos, documentaodo programa)

rea 4: Gesto do programa de segurana da informaoKS4.1 Conhecimento da interpretao e da implementao de polticas de segurana

da informaoKS4.2 Conhecimento dos processos e procedimentos administrativos de segurana

da informao (por exemplo, controles de acesso, gerenciamento de identidades,acesso remoto)


25/30

Apndice CDeclaraes de Conhecimento para Cada rea de Contedo de Cargos da CISM


KS4.3 Conhecimento de mtodos para implementar e gerenciar o programa desegurana da informao da empresa, de comum acordo com terceiros(por exemplo, parceiros comerciais, contratados, parceiros de joint ventures,fornecedores de terceirizao)

KS4.4 Conhecimento dos mtodos de gesto do programa de segurana da informaoatravs de provedores de servios de seguranaKS4.5 Conhecimento de clusulas contratuais relacionadas segurana da informao

(por exemplo, direito auditoria, sigilo)KS4.6 Conhecimento de mtodos para definir e monitorar os requisitos de segurana

em acordos de nvel de servioKS4.7 Conhecimento de mtodos e abordagens para providenciar o monitoramento

contnuo das atividades de segurana na infraestrutura e dos aplicativos denegcios da empresa

KS4.8 Conhecimento das mtricas de gerenciamento para justificar os investimentos no

programa de segurana da informao (por exemplo, coleta de dados, avaliaoperidica, indicadores-chave de desempenho)KS4.9 Conhecimento dos mtodos para testar a eficcia e a aplicabilidade dos

controles de segurana da informao (por exemplo, testes de penetrao,quebra de senhas, engenharia social, ferramentas de avaliao)

KS4.10 Conhecimento de atividades de gesto de mudanas e configuraoKS4.11 Conhecimento das vantagens/desvantagens de usar provedores de garantia

internos/externos para realizar avaliaes de segurana da informaoKS4.12 Conhecimento de atividades de due diligence, avaliaes e normas correlatas

para gerenciar e controlar o acesso informao

KS4.13 Conhecimento de fontes externas de comunicao de vulnerabilidades paracontar com informaes sobre os possveis impactos sobre a segurana dainformao em aplicativos e na infraestrutura

KS4.14 Conhecimento de eventos que afetam os parmetros de segurana que podemexigir reavaliaes de risco e alteraes em elementos do programa de seguranada informao

KS4.15 Conhecimento das prticas de gesto de problemas de segurana da informaoKS4.16 Conhecimento dos requisitos de comunicao do status da segurana dos

sistemas e da infraestruturaKS4.17 Conhecimento de tcnicas gerais de gesto direta, inclusive oramento

(por exemplo, estimativa, quantificao, compensaes), gesto de equipes(por exemplo, motivao, avaliao, estabelecimento de objetivos) e instalaes(por exemplo, obter e usar equipamentos)

rea 5: Gesto e reao a incidentesKS5.1 Conhecimento dos componentes de um recurso de reao a incidentesKS5.2 Conhecimento do planejamento de recuperao de desastres e continuidade

de negciosKS5.3 Conhecimento de prticas de gesto de incidentes de informaoKS5.4 Conhecimento de testes de recuperao de desastres para infraestrutura

e aplicativos essenciais de negciosKS5.5 Conhecimento de eventos que iniciam reaes a incidentesKS5.6 Conhecimento de conteno de danos


26/30



KS5.7 Conhecimento de processos de notificao e transferncia de alada para umagesto eficaz de segurana

KS5.8 Conhecimento da funo dos indivduos na identificao e gesto de incidentesde segurana

KS5.9 Conhecimento de comunicao de crisesKS5.10 Conhecimento de mtodos de identificao de recursos de negcios essenciais recuperao

KS5.11 Conhecimento dos tipos e das fontes de ferramentas e equipamentos necessriosao equipamento adequado dos grupos de resposta a incidentes

KS5.12 Conhecimento dos requisitos periciais de coleta e apresentao de provas(por exemplo, admissibilidade, qualidade e integridade das provas, cadeia decustdia)

KS5.13 Conhecimento empregado na documentao de incidentes e das aessubsequentes

KS5.14 Conhecimento dos requisitos internos e externos de emisso de relatriosKS5.15 Conhecimento de prticas de avaliao ps-incidente e mtodos de investigaopara identificar as causas e determinar as medidas corretivas

KS5.16 Conhecimento de tcnicas de quantificao de danos, custos e outros impactosde negcios decorrentes de incidentes de segurana

KS5.17 Conhecimento do objetivo de tempo de recuperao (RTO) e sua relao com osobjetivos e processos de continuidade de negcios e contingncia


27/30

Captulo XX


Bibliografia

Bloom, B.; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984

Lynas, D.; J. Sherwood; Professionalism in Information Security: A Framework forConpetency Development, 12a Conferncia Anual da COSAC, Reino Unido, 2005

Robb, D.;How IT Is Revitalizing Staff Skills, Computerworld, EUA, fevereiro de 2007

ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006

ISACA, CISM Review Manual 2008, EUA, 2008

ISACA, Critical Elements of Information Security Program Success, EUA, 2005

ISACA,Information Security Career Progression Survey Results, EUA, 2008

Bibliografia


28/30


Outras Publicaes

Muitas publicaes do IT Governance Institute (ITGITM) e da ISACA contmquestionrios de avaliao detalhados e programas de trabalho. Para saber mais, visite

www.isaca.org/bookstore ou envie um e-mail para [email protected].

SeguranaCybercrime: Incident Response and Digital Forensics, 2005Information Security Governance: Guidance for Boards of Directors and ExecutiveManagement, 2nd Edition, 2006Information Security Governance: Guidance for Information Security Managers, 2008Information Security HarmonisationClassification of Global Guidance, 2005Managing Enterprise Information Integrity: Security, Control and Audit Issues, 2004

Security Awareness: Best Practices to Serve Your Enterprise, 2005Stepping Through the InfoSec Program, 2007

GarantiaITAFTM: A Professional Practices Framework for IT Assurance, 2008Stepping Through the IS Audit, 2nd Edition, 2004

Srie ERP:Security, Audit and Control Features Oracle E-Business Suite: A Technical and Risk

Management Reference Guide, 2nd Edition, 2006Security, Audit and Control Features PeopleSoft: A Technical and Risk Management

Reference Guide, 2nd Edition, 2006Security, Audit and Control Features SAPR/3: A Technical and Risk Management

Reference Guide, 2nd Edition, 2005

Ambientes Especficos:Electronic and Digital Signatures: A Global Status Report, 2002Enterprise Identity Management: Managing Secure and Controllable Access in theExtended Enterprise Environment, 2004Linux: Security, Audit and Control Features, 2005Managing Risk in the Wireless LAN Environment: Security, Audit and Control Features, 2005Oracle Database Security, Audit and Control Features, 2004OS/390z/OS: Security, Control and Audit Features, 2003Risks of Customer Relationship Management: Security, Control and Audit Features, 2003Security Provisioning: Managing Access in Extended Enterprises, 2002Virtual Private NetworkNew Issues for Network Security, 2001

Governana de TIBoard Briefing on IT Governance, 2nd Edition, 2003

Identifying and Aligning Business Goals and IT Goals, 2008 IT Governance Global Status Report2008, 2008Understanding How Business Goals Drive IT Goals, 2008



29/30

Captulo XX


CobiT e Publicaes CorrelatasCobIT 4.1, 2007CobiT Control Practices: Guidance to Achieve Control Objectives for SuccessfulIT Governance, 2nd Edition, 2007

CobiT QuickstartTM, 2nd Edition, 2007CobiT Security BaselineTM, 2nd Edition, 2007IT Assurance Guide: Using CobiT, 2007IT Control Objectives for Basel II: The Importance of Governance and RiskManagement for Compliance, 2007IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design andImplementation of Internal Control Over Financial Reporting, 2nd Edition, 2006IT Governance Implementation Guide: Using CobiT and Val IT, 2nd Edition, 2007

Srie CobiT Mapping:Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit, 2008CobiT Mapping: Mapping of CMMI for Development V1.2 With CobiT 4.0, 2007CobiTMapping: Mapping of ISO/IEC 17799:2000 With CobiT4.0, 2nd Edition, 2006CobiT Mapping: Mapping of ISO/IEC 17799:2005 With CobiT 4.0, 2006CobiT Mapping: Mapping of ITIL V3 WithCobiT4.1, 2008CobiTMapping: Mapping of NIST SP800-53 WithCobiT4.1, 2007CobiTMapping: Mapping of PMBOK WithCobiT 4.0, 2006CobiTMapping: Mapping of PRINCE2 With CobiT 4.0, 2007

CobiT

Mapping: Mapping of SEIs CMM for Software With CobiT

4.0, 2006CobiTMapping: Mapping of TOGAF 8.1 With CobiT 4.0, 2007CobiTMapping: Overview of International IT Guidance, 2nd Edition, 2006

Prticas e Competncias no Domnio da Governana de TI:Governance of Outsourcing, 2005 Information Risks: Whose Business Are They?, 2005IT Alignment: Who Is in Charge?, 2005 Measuring and Demonstrating the Value of IT, 2005Optimising Value Creation From IT Investments, 2005

Val TI: Enterprise Value: Governance of IT Investments, Getting Started With ValueManagement, 2008Enterprise Value: Governance of IT Investments, The Business Case, 2006Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Extract, 2008

Outras Publicaes


30/30

3701 Algonquin Road, Suite 1010

Rolling Meadows, IL 60008 USA

Telefone: +1.847.253.1545

Fax: +1.847.253.1443

E-mail: [email protected]

Na Internet: www.isaca.org

definicao dos requisitos do cargo de gestao de seguranca port

Documents