ANSI: Nova framework para gestão financeira do risco

Saído do prelo há poucos dias, numa acção conjunta da Internet Security Alliance (ISA) e do American National Standards Institute (ANSI), este guia inclui um conjunto de orientações específicas para Chief Financial Officers, Directores Financeiros, elementos que têm uma visão alargada a partir de uma perspectiva financeira, do funcionamento das organizações e da gestão do risco empresarial. Neste caso concreto, do risco associado aos sistemas de informação. No sumário executivo,

A maior ameaça à segurança é a falta de entendimento (...) Na realidade, a segurança é um tema de gestão do risco, alargado a toda a empresa, que tem que ser endereçado por uma estratégia transversal à organização, e de uma perspectiva económica. O Chief Financial Officer (CFO), mais do que o Chief Information Officer (CIO) ou o Chief Security Officer (CSO), é a pessoa mais lógica para liderar este esforço. Esta publicação foi criada para disponibilizar uma framework prática e simples de compreender, para executivos avaliarem e gerirem os riscos financeiros gerados pelos modernos sistemas de informação.

in The financial management of cyber risk — An implementation framework for CFOs.

(Nota: O registo no site do ANSI é exigido antes da transferência do documento)

A framework contém ideias relevantes que, na minha opinião, são úteis e podem contribuir para definir um programa de segurança a partir do ponto certo: o nível da gestão de topo.

A segurança dos sistemas de informação só é eficaz se for promovida — e exigida! — a partir da Administração das empresas. Caso contrário, dificilmente é bem sucedida. Porquê? Porque as acções realizadas ao nível técnico, apesar de serem necessárias, são claramente insuficientes: a segurança depende da participação e do empenho de todos os colaboradores. No entanto, é importante ter presente que a segurança é transversal aos processos de negócio e não contribui, directamente, para a sua realização nem aumento de desempenho. Por este motivo, sendo essencial nas organizações, tem que ser fomentada a partir de um nível muito alto. Este guia procura endereçar essa necessidade.