Modelos de Maturidade em Segurança

Modelos de Maturidade em geral ajudam organizações a entender que há uma progressão de capacidades e competências, na medida em que as organizações se tornam mais proficientes em uma certa área de atuação, como é o caso da Gestão da Segurança da Informação, em que se inclui com destaque a Segurança de Software mais atualmente.

Conceitualmente, os Modelos de Maturidade servem para ajudar os Gestores das empresas em:

Mapear em que nível se está com as práticas atuais em termos de modelo de maturidade;
Ajudar a identificar e compreender oportunidades de melhoria que possam existir;
Usar os modelos como ferramenta para priorizar e endereçar as melhorias.

O uso do Sistema RedeSegura promove a evolução do Grau de Maturidade em Gestão da Segurança de TI de nossos Clientes, de um modo mais rápido, consistente, e com menor custo de propriedade (TCO).

De modo geral, os Modelos de Maturidade consideram pelo menos 4 estágios de evolução:

REATIVO: Neste estágio a organização só reage quando um incidente ocorre.

Nestes casos a área de tecnologia parece ter certa limitação financeira, e por isso é orientada a atender as necessidades mais básicas de segurança.

Isso pode resultar em um nível de risco elevado, além do fato de que administração “reativa” em segurança da informação geralmente demanda custos adicionais não previstos e elevados (custo da emergência), diretos e indiretos, e isso sem falar nas perdas financeiras que um ataque já pode ter causado quando o incidente foi percebido…

COMPLIACE: A organização começa a definir políticas de segurança e processos.

etivo porém é alcançar os indicadores exigidos por normas e padrões externos como PCI, SOx, ISO, etc. Há certa padronização neste ponto, mas também certo aumento de custos com certificações, recursos e ativos, devido à complexidade das tecnologias e aos processos que ainda estão se iniciando.

Neste estágio, alternativas como terceirizar tarefas ou contratar Serviços Profissionais são ações muito comuns, mas em muitos casos a gestão das tarefas, controles e indicadores ainda não estão centralizados e sob domínio da empresa.

PROATIVO: Agora já se observa certo ganho de eficiência pela antecipação ao risco.

Há uma centralização da capacidade de gerenciamento da segurança da informação, e a adoção de um ciclo continuado de melhorias sob controle dos gestores, na empresa. Os processos são mais maduros e a organização já lida bem com certificações e regulações externas.

É possível antecipar-se às ameaças de forma mais eficiente a partir do gerenciamento de processos operacionais, que podem contar com alguns recursos de automação.

OTIMIZADO: A organização já consegue automatizar processos e otimizar recursos.

Processos centralizados, integração de tecnologias, automação e atendimento a normas e melhores práticas com otimização de recursos. A inteligência dos processos permite que informações atualizadas sobre um ataque à uma certa tecnologia já beneficie as outras. A organização aprende e desenvolve competências internas a partir das experiências adquiridas.

A organização combina defesas em vários níveis, incluindo a gestão de vulnerabilidades, e beneficia-se da otimização dos custos com segurança, conduzindo a uma proteção mais abrangente na área de TI.

Os Modelos de Maturidade mais atuais são referências baseados em experiências corporativas bem sucedidas, e devem ser adotados com adaptações para cada caso, pois é preciso entender que mudar pessoas e processos leva tempo, e não se trata apenas de adquirir uma ferramenta de software que resolverá todos os seus problemas.

Os artigos publicados neste nosso site, assim como boa parte das funcionalidades que hoje temos disponíveis no Sistema RedeSegura, foram criados para apoiar a evolução do Grau de Maturidade em Segurança de Software de nossos Clientes.

Conheça um pouco mais sobre modelos de maturidade que poderão apoiar o planejamento das melhorias em segurança das suas aplicações web consultando as referências que recomendamos a seguir:

BSIMM2 – Building Security In Maturity Model (http://bsimm.com/)
OpenSAMM – Software Assurance Maturity Model (http://www.opensamm.org/)
ISM3 – Information Security Managemente Maturity Model (http://www.ism3.com/)
CLUSIF – Club de la Securite de L’Información Fraçais (http://www.clusif.asso.fr/)