A capability Cybersecurity Strategy, integrante da macro capability Definition & Management e localizada na camada Cybersecurity, é vital para o desenvolvimento e a implementação de uma estratégia de segurança cibernética abrangente.
Esta capability concentra-se em harmonizar as iniciativas de segurança com os objetivos de negócio da organização, estabelecendo prioridades, diretrizes de segurança e garantindo a alocação apropriada de recursos para a proteção contra ameaças cibernéticas.
A seguir, é analisada a convergência desta capability em relação a um conjunto dez frameworks de mercado reconhecidos e bem estabelecidos em suas respectivas áreas de expertise:
COBIT
· Nível de Convergência: Alto
· Racional: O COBIT enfatiza a governança de TI, incluindo a segurança da informação. A Cybersecurity Strategy é fundamental para atender aos padrões do COBIT, pois garante que as políticas de segurança estejam em alinhamento com os objetivos organizacionais e os processos de governança.
ITIL
· Nível de Convergência: Alto
· Racional: O ITIL ressalta a importância da gestão de serviços de TI, incluindo a segurança. A Cybersecurity Strategy apoia o ITIL ao assegurar que as práticas de segurança estejam integradas aos processos de gestão de serviços, aumentando a resiliência dos serviços de TI.
SAFe
· Nível de Convergência: Médio
· Racional: Embora o SAFe se concentre em metodologias ágeis para o desenvolvimento de software, uma estratégia de cibersegurança robusta complementa o SAFe ao reforçar a segurança nos ciclos de desenvolvimento e entrega.
PMI
· Nível de Convergência: Médio
· Racional: O PMI aborda a gestão de projetos, onde a segurança pode ser um aspecto crítico. Uma estratégia de cibersegurança eficaz pode melhorar a segurança dos projetos de TI, alinhando-se aos padrões de gestão do PMI.
CMMI
· Nível de Convergência: Médio
· Racional: O CMMI visa a melhoria dos processos. Uma estratégia de cibersegurança eficaz contribui para a maturidade dos processos, especialmente na gestão de riscos e na segurança de informações.
TOGAF
· Nível de Convergência: Alto
· Racional: O TOGAF se foca na arquitetura empresarial, onde a segurança é um componente crucial. A Cybersecurity Strategy assegura que as considerações de segurança estejam incorporadas na arquitetura de TI, promovendo alinhamento estratégico e operacional.
DevOps SRE
· Nível de Convergência: Médio
· Racional: Em DevOps e SRE, a segurança é frequentemente integrada ao ciclo de vida do desenvolvimento. Uma estratégia de cibersegurança robusta fortalece essa integração, promovendo práticas seguras de desenvolvimento e operações.
NIST
· Nível de Convergência: Alto
· Racional: O NIST fornece diretrizes detalhadas para a segurança cibernética. A Cybersecurity Strategy está fortemente alinhada com o NIST ao estabelecer um framework para a implementação de controles de segurança eficazes e gerenciamento de riscos.
Six Sigma
· Nível de Convergência: Baixo
· Racional: Embora o Six Sigma foque na melhoria da qualidade e na redução de defeitos, uma estratégia de cibersegurança pode contribuir indiretamente para esses objetivos, ao reduzir riscos e vulnerabilidades que podem impactar a qualidade e a eficiência dos processos.
Lean IT
· Nível de Convergência: Baixo
· Racional: Lean IT enfoca a eficiência operacional, enquanto a Cybersecurity Strategy se concentra mais na segurança. No entanto, pode haver uma convergência indireta, uma vez que uma boa estratégia de segurança pode prevenir interrupções e perdas, contribuindo assim para a eficiência operacional.
A Cybersecurity Strategy é fundamental na era digital, pois não apenas fortalece a segurança das informações e sistemas de uma organização, mas também assegura que as práticas de segurança estejam em sintonia com os objetivos estratégicos e operacionais da organização.
KPIs relevantes para esta capability incluem a taxa de incidentes de segurança resolvidos, o tempo de resposta a incidentes de segurança e a eficácia das medidas preventivas implementadas.
A estratégia de cibersegurança eficazmente implementada e gerida não apenas eleva a maturidade da organização em termos de segurança, mas também apoia a sua resiliência operacional e a capacidade de resposta a ameaças emergentes.