Develop Governance Framework
O desenvolvimento de um framework de governança de segurança cibernética é essencial para estabelecer as diretrizes, políticas e procedimentos que orientarão todas as atividades de segurança dentro da organização.
Este processo envolve a análise dos requisitos regulatórios, a identificação das melhores práticas do setor e a integração desses elementos em um conjunto coeso de políticas que abrangem todos os aspectos da segurança cibernética.
O framework deve definir claramente as responsabilidades, as estruturas de comunicação e os mecanismos de controle necessários para garantir que as políticas de segurança sejam implementadas de maneira eficaz.
Além disso, deve considerar a flexibilidade para se adaptar a novas ameaças e mudanças no ambiente de negócios.
A criação de um framework robusto proporciona uma base sólida para todas as iniciativas de segurança subsequentes, garantindo a conformidade regulatória e a proteção dos ativos de informação da organização.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Conduct Regulatory Analysis | Realizar análise dos requisitos regulatórios aplicáveis. | Regulamentos, melhores práticas | Relatório de análise regulatória | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 2 | Identify Best Practices | Identificar as melhores práticas de governança de segurança cibernética no setor. | Relatório de análise regulatória | Lista de melhores práticas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 3 | Develop Policy Framework | Desenvolver o framework de políticas de segurança baseado nas análises realizadas. | Lista de melhores práticas | Framework de políticas de segurança | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Define Roles and Responsibilities | Definir os papéis e responsabilidades dentro do framework de governança. | Framework de políticas | Estrutura de papéis definida | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Establish Communication Mechanisms | Estabelecer mecanismos de comunicação para assegurar a implementação do framework. | Estrutura de papéis definida | Mecanismos de comunicação | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Plan Governance Activities
O planejamento das atividades de governança de segurança cibernética é fundamental para garantir que todas as iniciativas e ações de segurança estejam alinhadas com o framework de governança estabelecido e com os objetivos estratégicos da organização.
Este processo envolve a definição de um plano detalhado que inclui a priorização das atividades, a alocação de recursos, a definição de metas e indicadores de desempenho, e a identificação de responsabilidades específicas para cada atividade.
O plano deve considerar tanto as atividades rotineiras quanto as ações corretivas e preventivas necessárias para manter a conformidade e a eficácia das políticas de segurança.
Além disso, é essencial incorporar a flexibilidade para responder a incidentes e novas ameaças de forma eficiente.
O planejamento eficaz das atividades de governança permite uma gestão proativa da segurança cibernética, assegurando que os riscos sejam mitigados e que a organização mantenha uma postura de segurança robusta.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Identify Governance Priorities | Identificar as prioridades de governança de segurança cibernética. | Framework de governança | Lista de prioridades | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 2 | Allocate Resources | Alocar recursos necessários para as atividades de governança. | Lista de prioridades | Plano de alocação de recursos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 3 | Define Performance Metrics | Definir métricas de desempenho para avaliar a eficácia das atividades de governança. | Plano de alocação de recursos | Lista de métricas de desempenho | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Assign Responsibilities | Designar responsabilidades específicas para cada atividade planejada. | Lista de métricas de desempenho | Plano de responsabilidades | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Develop Action Plan | Desenvolver um plano de ação detalhado para a implementação das atividades de governança. | Plano de responsabilidades | Plano de ação | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Implement Governance Practices
A implementação das práticas de governança de segurança cibernética é crucial para assegurar que as políticas e procedimentos estabelecidos sejam seguidos de maneira eficaz.
Este processo envolve a execução das atividades planejadas, a aplicação das políticas de segurança, a configuração dos controles necessários e a realização de treinamentos para garantir que todos os colaboradores compreendam e cumpram as diretrizes de segurança.
A implementação deve ser monitorada continuamente para identificar e resolver quaisquer desvios ou problemas que possam surgir.
Além disso, é importante documentar todas as atividades e ações realizadas para manter um registro claro de conformidade e facilitar auditorias futuras.
A implementação bem-sucedida das práticas de governança fortalece a postura de segurança da organização, garantindo que os riscos cibernéticos sejam mitigados e que a conformidade com as regulamentações seja mantida.
- PDCA focus: Do
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Execute Action Plan | Executar o plano de ação detalhado para implementar as práticas de governança. | Plano de ação | Ações executadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Apply Security Policies | Aplicar políticas de segurança em toda a organização. | Ações executadas | Políticas aplicadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: Architecture & Technology Visioning; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 3 | Configure Security Controls | Configurar controles de segurança necessários para proteger os ativos de informação. | Políticas aplicadas | Controles configurados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Conduct Security Training | Realizar treinamentos de segurança para capacitar os colaboradores. | Controles configurados | Colaboradores treinados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 5 | Document Governance Activities | Documentar todas as atividades de governança realizadas para manter registros claros. | Colaboradores treinados | Documentação completa | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Monitor Governance Compliance
O monitoramento da conformidade com as práticas de governança de segurança é um processo contínuo e essencial para garantir que todas as políticas e procedimentos sejam seguidos conforme planejado.
Este processo envolve a utilização de ferramentas de monitoramento, auditorias internas e externas, e a análise de relatórios de conformidade para identificar desvios e áreas de melhoria.
Através do monitoramento contínuo, é possível detectar rapidamente quaisquer não conformidades ou violações, permitindo ações corretivas imediatas.
Além disso, este processo fornece insights valiosos sobre a eficácia das políticas de segurança e a maturidade da governança de segurança na organização.
Manter uma conformidade rigorosa não só garante a proteção dos ativos de informação, mas também demonstra o compromisso da organização com a segurança cibernética para clientes, parceiros e reguladores.
- PDCA focus: Check
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Implement Monitoring Tools | Implementar ferramentas de monitoramento para acompanhar a conformidade de segurança. | Ferramentas de monitoramento | Ferramentas implementadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Conduct Internal Audits | Realizar auditorias internas para verificar a conformidade com as políticas de segurança. | Ferramentas implementadas | Relatórios de auditoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Analyze Compliance Data | Analisar os dados de conformidade para identificar não conformidades e áreas de melhoria. | Relatórios de auditoria | Relatórios de análise | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Report Compliance Status | Relatar o status de conformidade e os resultados das auditorias à alta gestão. | Relatórios de análise | Relatórios de conformidade | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Take Corrective Actions | Implementar ações corretivas para resolver as não conformidades identificadas. | Relatórios de conformidade | Ações corretivas implementadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Improve Governance Processes
A melhoria contínua dos processos de governança de segurança cibernética é vital para manter a eficácia e a relevância das políticas e controles de segurança.
Este processo envolve a análise dos feedbacks recebidos, a realização de avaliações de desempenho e a implementação de melhorias baseadas nas lições aprendidas e nas melhores práticas do setor.
A melhoria contínua permite que a organização responda de forma proativa a novas ameaças e mudanças no ambiente de negócios, ajustando suas práticas de governança para enfrentar desafios emergentes.
Além disso, este processo promove uma cultura de excelência em segurança cibernética, incentivando a inovação e a adoção de tecnologias avançadas para fortalecer as defesas de segurança.
Através da melhoria contínua, a organização pode assegurar que suas práticas de governança de segurança estejam sempre alinhadas com os objetivos estratégicos e regulatórios.
- PDCA focus: Act
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Gather Feedback | Coletar feedback sobre as práticas de governança de segurança de todas as partes interessadas. | Relatórios de conformidade, auditorias | Feedback coletado | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: All areas; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Conduct Performance Reviews | Realizar avaliações de desempenho das práticas de governança de segurança. | Feedback coletado | Relatórios de desempenho | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Identify Improvement Opportunities | Identificar oportunidades de melhoria com base nas avaliações e feedbacks. | Relatórios de desempenho | Lista de oportunidades de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Implement Improvements | Implementar as melhorias identificadas nos processos de governança. | Lista de oportunidades de melhoria | Melhorias implementadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Review Improvement Outcomes | Revisar os resultados das melhorias implementadas e ajustar conforme necessário. | Melhorias implementadas | Relatório de resultados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |