Definio dos Requisitos do Cargo de

Gesto de Segurana da Informao

n

Orientao para Executivos e Gerentes

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao

ISACA Com mais de 86 mil colaboradores em mais de 160 pases, a ISACA (www.isaca.org) reconhecidamente lder mundial em governana, controle, segurana e garantia de TI. Fundada em 1969, a ISACA patrocina conferncias internacionais, publica o Information Systems Control Journal, e desenvolve normas internacionais de auditoria e controle de sistemas de informao. Tambm administra a mundialmente conceituada designao Certified Information Systems Auditor (CISA), conquistada por mais de 60 mil profissionais desde 1978; a designao Certified Information Security Manager (CISM), conquistada por mais de 9 mil profissionais desde 2002; e a nova designao Certified in the Governance of Enterprise IT (CGEIT). Iseno de Responsabilidade A ISACA projetou e criou o trabalho Definio dos Requisito do Cargo de Gesto de Segurana da Informao: Orientao para Executivos e Gerentes (Obra) para ser principalmente um recurso didtico para os gestores de segurana da informao. A ISACA no afirma categoricamente que o uso de qualquer parte da Obra garantir resultados bem-sucedidos. No se deve considerar que a Obra contm todas as informaes, os procedimentos e os testes corretos, nem que ela no contm outras informaes, procedimentos e testes pertinentemente voltados obteno dos mesmos resultados. Para determinar a adequao de qualquer informao, procedimento ou teste em especial, os profissionais de controle devem aplicar seu bom-senso profissional s circunstncias especficas apresentadas pelos sistemas ou pelo ambiente de tecnologia da informao especficos. Reserva de Direitos 2008 ISACA. Todos os direitos reservados. Nenhuma parte desta publicao poder ser usada, copiada, reproduzida, modificada, distribuda, exibida, armazenada em sistema de acesso ou transmitida de qualquer forma, por qualquer meio (seja eletrnico, mecnico, fotocpia, gravao ou outro meio) sem a autorizao prvia por escrito da ISACA. A reproduo e o uso parciais ou na ntegra desta publicao so permitidos apenas para uso acadmico, interno e no-comercial, e em projetos de consultoria/assessoria, e devem conter a indicao integral da fonte do material. No se concedem outros direitos nem outras permisses em relao a esta obra. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Telefone: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: info@isaca.org Na Internet: www.isaca.org

Definio dos Requisito do Cargo de Gesto de Segurana da Informao: Orientao para Executivos e Gerentes Impresso nos Estados Unidos da Amrica

2 0 0 8 I S A C AISACA.dTodoSooS dIreIToS IreServAdoS.S S d I r e T o S r e 2008 . T o o S

e r v A d o S

Agradecimentos

Agradecimentos
A ISACA deseja agradecer:
Leadership Focus Group Ken Baylor, Ph.D., CISM, CISSP, Nuance, EUA Robert Coles, CISA, CISM, Merrill Lynch, Reino Unido Sonia DaSilva, CISA, CISM, CGEIT, Memorial Sloan-Kettering Cancer Center, EUA Lee Kushner, LJ Kushner, EUA Hans Joern Lund-Andersen, CISA, CISM, Dong Energy, DInamarca Marc Noble, CISM, CISSP, ISSAP, Comisso Federal de Comunicaes, EUA John Nugent, Ph.D., CISM, CFE, CPA, DBA, Universidade de Dallas, EUA Michael Raisinghani, Ph.D., CISM, CECC, PMP, Universidade Feminina do Texas, EUA Marc A. L. J. Vael, Ph.D., CISA, CISM, KPMG, Blgica Vishnal Vilas Salvi, CISM, HDFC Bank Limited, ndia Conselho de Diretores Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Blgica, Vice-Presidente Howard Nicholson, CISA, CGEIT, Prefeitura de Salisbury, Austrlia, Vice-Presidente Jose Angel Pena Ibarra, CGEIT, Consultoria en Comunicaciones e Info. SA & CV Mxico, , Vice-Presidente Robert E. Stroud, CA Inc., EUA, Vice-Presidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Vice-Presidente Frank Yam, CISA, FHKCS, FHKIoD, CIA, CFE, CCP, CFSA, FFA, Focus Strategic Group Inc., Hong Kong, Vice- Presidente Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young, EUA, Ex-Presidente Internacional Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (aposentado), EUA, Ex-Presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, Diretor Tony Hayes, CPA, Governo de Queensland, Austrlia, Diretor Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Austrlia, Diretor Comit de Gesto de Segurana Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Austrlia, Presidente Manuel Aceves, CISA, CISM, CISSP, Cerberian Consulting, Mxico Kent Anderson, CISM, Encurve LLC, EUA Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd, EUA Yves Le Roux, CISM, CA Inc., Frana Mark Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers, EUA Kyeong-Hee Oh, CISA, CISM, Fullbitsoft, Coria Vernon Poole, CISM, CGEIT, Sapphire Technologies Ltd., Reino Unido Rolf von Roessing, CISA, CISM, CGEIT, KPMG Germany, Alemanha Comit de Certificao CISM Evelyn Susana Anton, CISA, CISM, UTE, Venezuela, Presidente Garry James Barnes, CISA, CISM, CISA, Commonwealth Bank of Australia, Austrlia Allan Neville Boardman, CISA, CISM, CA, CISSP, JP Morgan Chase, Reino Unido John Randolph Caraway, CISM, CISSP, JP Morgan Chase, EUA James A. Crawford Jr., CISM, CISSP, MSIA, Reserva dos Fuzileiros Navais, EUA Ramses Gallego, CISM, CISSP, SCPM, Entel IT Consulting, Espanha Hitoshi Ota, CISA, CISM, CIA, Mizuho Corporate Bank Ltd., Japo Smita Dilip Totade, Ph.D., CISA, CISM, FEI, National Insurance Academy, ndia Michael Wai-Kee Yung, CISA, CISM, ESD Services Ltd., Hong Kong
2008 ISACA. To
d o S o S d I r e I T o S r e S e r v A d o S

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao

ndice
Introduo......................................................................................................................... 5 Pblico-alvo ................................................................................................................. 5 Metas e objetivos ......................................................................................................... 6 Dados da ISACA ......................................................................................................... 6 Vantagens deste trabalho ............................................................................................. 6 1. Segurana contextualizada........................................................................................ 7 O papel dos gestores de segurana da informao ..................................................... 8 2. Descrio do cargo ................................................................................................... 10 Governana de segurana da informao .................................................................. 10 Gesto de riscos ......................................................................................................... 11 Desenvolvimento do programa de segurana da informao .................................... 12 Gesto do programa de segurana da informao..................................................... 12 Gesto e reao a incidentes ...................................................................................... 13 3. Progresso da carreira............................................................................................... 15 Base para as qualificaes ......................................................................................... 18 Concluso ........................................................................................................................ 19 Apndice APerfil dos Participantes da Pesquisa de Anlise de reas de Prtica Profissional do CISM .................................................................................. 20 Apndice BTarefas e Pontuaes de Conhecimento ............................................... 21 Apndice CDeclaraes de Conhecimento para Cada rea de Contedo de Cargos da CISM ....................................................................................................... 22 Bibliografia ..................................................................................................................... 27 Outras Publicaes......................................................................................................... 28

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

Introduo

Introduo
A segurana da informao tem evoludo para uma disciplina prpria e, portanto, surgem novas oportunidades de carreira. Como tem sido cada vez mais difcil definir essas funes e as qualificaes necessrias, a ISACA e o IT Governance Institute (ITGITM) dedicaramse a pesquisas para fornecer a seus membros informaes para ajud-los a definir os requisitos dos cargos na rea de segurana. Com a evoluo da profisso de segurana da informao, ela encontra cada vez mais requisitos tcnicos e de negcios. As empresas enfrentam atualmente uma infinidade de exigncias legais e, um perfil de ameaas em frequente mutao e a necessidade sempre presente de administrar os riscos. essencial que as empresas recrutem profissionais com as qualificaes adequadas para garantir que os recursos de informao sejam protegidos contra uso no-autorizado, que os sistemas estejam disponveis e que a integridade das informaes e dos processos seja assegurada de forma contnua. Tambm essencial que os profissionais de segurana em cargos de comando tenham experincia prtica em segurana e negcios para poder atender s necessidades de proteo da empresa em constante mudanas. No estado atual, no existe nenhuma especificao formal que defina as responsabilidades, o conhecimento ou os relacionamentos ideais de comunicao na rea de gesto de segurana da informao. Muitos cargos de segurana da informao so subordinados ao diretor de informtica (CIO, Chief Information Officer), outros a um diretor de segurana da informao (CISO), a um diretor de riscos (CRO) ou a um diretor de conformidade (CCO). As responsabilidades dos cargos tambm variam de acordo com as empresas. Algumas empresas adotaram um modelo convergente de segurana, no qual o CSO responsvel pela segurana fsica e pela segurana da informao. Outras consideram a segurana da informao apenas uma questo tecnolgica. Muitas empresas esto chegando concluso de que a segurana da informao um aspecto de negcios que afeta sua situao financeira geral.

Pblico-alvo
Este relatrio foi preparado para fornecer uma descrio de cargo e plano de carreira para os profissionais de segurana da informao e servir como um guia para as pessoas envolvidas com a rea, incluindo profissionais de recursos humanos, profissionais de segurana da informao, executivos, rgos reguladores e conselhos de diretores ou curadores. Como o campo da segurana da informao relativamente novo, tendo comeado na dcada de 1970, muitos profissionais ingressaram na disciplina de segurana da informao por meio de diferentes carreiras, entre elas TI, contabilidade, auditoria, jurdico, operaes de negcios, engenharia, gesto de projetos e segurana fsica. Devido s diversas formaes que os profissionais de segurana da informao trazem para seus cargos, um elemento essencial deste relatrio um diagrama dos diversos caminhos pelos quais esses profissionais ingressaram e progrediram em cargos de segurana da informao. Este diagrama (figura 2) resume e apresenta, de maneira lgica e fcil de visualizar, os caminhos, os nveis, os cargos e as funes que se encontram entre os profissionais e gestores de segurana da informao em uma empresa. Este relatrio pretende ser um guia prtico para a definio de planos de carreira, indicando os atributos essenciais do cargo de gestor de segurana da informao.
2008 ISACA. To
d o S o S d I r e I T o S r e S e r v A d o S

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao Ele pode ser adaptado s necessidades especficas de uma empresa conforme seu porte, sua escala, sua natureza, seus recursos, seu nvel de cargos e sua complexidade.

Metas e objetivos
Este relatrio oferece uma base para compreender o grande nmero de requisitos variveis e inter-relacionados do cargo de gerente de segurana da informao e as responsabilidades atribudas aos profissionais em vrios nveis de uma empresa. Identifica tambm os roteiros geralmente seguidos pelos profissionais durante suas carreiras para chegar a esses cargos. O relatrio tem por objetivo ajudar quem est ingressando na profisso por meio de um programa universitrio, planejando sua carreira ou progredindo na profisso. Serve tambm como um guia para os responsveis pela contratao de profissionais de segurana da informao ou para aqueles que gerenciam, comandam ou supervisionam uma funo de segurana da informao.

Dados da ISACA
A ampla pesquisa empregada na preparao deste relatrio inclui dados coletados sob orientao da ISACA como parte de uma abrangente pesquisa global realizada em 2006 com aproximadamente 600 profissionais de segurana da informao que possuem a designao Certified Information Security Manager (CISM), alm de um grupo de trabalho de executivos, inclusive mais de 100 CISMs. O apndice A relaciona dados demogrficos coletados na pesquisa de 2006. Alm disso, em 2007, a ISACA lanou sua Pesquisa de Progresso na Carreira de Segurana da Informao,1 que gerou respostas de mais de 1.400 CISMs em todo o mundo; esses resultados so mostrados nesta publicao. A designao CISM concedida pela ISACA, sendo reconhecida pela Organizao Internacional de Normas (ISO, International Organization for Standardization) como parte de um grupo seleto de certificaes para profissionais de segurana da informao com reconhecimento mundial.

Vantagens deste trabalho

Utilizando este relatrio, o leitor compreender claramente a dinmica e os requisitos do cargo de gesto de segurana da informao em relao s necessidades variveis do cargo, velocidade e ao grau de mudanas tecnolgicas que ocorrem, e como essas condies afetaro o cargo de gerente de segurana da informao. Ele ajudar a definir, refinar e atualizar os requisitos dos cargos de gesto de segurana da informao, sem esquecer que as qualificaes e a capacidade de gesto podem ser mais essenciais que as competncias tcnicas, especialmente na ascenso dentro de uma empresa.

ISACA, Information Security Career Progression Survey Results, EUA, 2008

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

1. Segurana contextualizada

1. Segurana contextualizada
A segurana da informao uma funo de negcios. Dessa forma, fundamental que os profissionais de segurana da informao que procuram progredir em uma empresa desenvolvam slidas qualificaes de negcios alm de qualificaes, conhecimentos e capacidades funcionais. Em um recente artigo da Computerworld, intitulado Como a TI est Revitalizando a Qualificao dos Profissionais,2 os entrevistados destacaram a enorme necessidade de conhecimento e especializao multidisciplinares, alm de capacidades gerais nas reas de negcios e gesto, para progredir em uma empresa. Esses entrevistados tambm identificaram a necessidade dos profissionais tcnicos de dominar qualidades, conhecimentos e capacidades na rea de negcios. Hoje em dia, essencial que os profissionais de segurana da informao compreendam no apenas as questes tcnicas que fazem parte essencial de seu cargo, mas tambm que sejam capazes de se comunicar, manter contato e gerenciar outras pessoas de acordo com princpios e prticas slidos de gesto de negcios. O relatrio de pesquisa da ISACA, intitulado ritical Elements of Information Security Program Success3 identifica claramente a necessidade de que a administrao executiva e snior e o gestor de segurana da informao estabeleam um relacionamento que transmita uma mensagem uniforme em relao prioridade da empresa quanto proteo de informaes e recursos de grande valor. Alinhar corretamente os riscos de negcios e as solues de segurana da informao exige um dilogo cooperativo entre as reas de negcios e os especialistas em segurana da informao. Entretanto, para ser bem-sucedido, o dilogo deve ser apoiado por aes visveis e uniformes. A melhor representao dessas aes o estabelecimento e a implementao uniformes de polticas e normas na empresa. O relatrio da ISACA indica que, sem a participao ativa da administrao executiva na implementao e gesto de uma estratgia de segurana da informao, o progresso obtido ser consumido pelo cumprimento discrepante das polticas, gerando uma falsa sensao de conforto em relao proteo dos recursos. Os conflitos entre as prioridades do dia-a-dia afetam a qualidade e a uniformidade da proteo dos recursos de informao. Esses conflitos devem ser tratados de maneira coordenada. Para garantir que os respectivos riscos sejam levados a srio por todos os funcionrios e representantes da empresa, os nveis executivo e snior de administrao devem assumir um interesse visvel em garantir o xito dos programas de segurana da informao em suas empresas. Outra concluso importante do relatrio que os profissionais de segurana da informao comeam a reconhecer que precisam desenvolver uma compreenso slida da rea de negcios medida que seu cargo ganha mais visibilidade na empresa. Suas decises exigem a justificativa dos riscos de negcios e a dependncia da empresa em relao tecnologia aumenta a interao com as reas jurdica e de conformidade.
2 3

Robb, D; How IT Is Revitalizing Staff Skills, Computerworld, EUA, fevereiro de 2007 ISACA, Critical Elements of Information Security Program Success, EUA, 2005 2008 ISACA. To
d o S o S d I r e I T o S r e S e r v A d o S

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao

O papel dos gestores de segurana da informao

Percebe-se que a funo do gerente de segurana da informao est em constante evoluo. No apenas os caminhos para obter um cargo de gesto de segurana da informao so diferentes, mas as funes e as responsabilidades entre os profissionais de segurana da informao tambm so diferentes. Em Information Security Career Progression Survey Results, os CISMs afirmaram que suas atividades no cargo mudaram consideravelmente do seu emprego anterior para o seu emprego atual. Os CISMs esto percebendo uma reduo das responsabilidades tcnicas e um aumento significativo em reas como gesto de programas de segurana, gesto de riscos e conformidade. O apndice B demonstra quanto tempo os CISMs afirmam gastar nas cinco reas de prtica profissional da certificao. A figura 1 apresenta a porcentagem dos CISMs que realizam determinadas atividades. A figura mostra que uma porcentagem muito mais alta dos CISMs responsvel por funes de negcios (indicadas em negrito) no cargo que ocupam do que em seu cargo anterior. Estabelecer a correlao entre a segurana da informao e a rea de negcios passou a ser uma das maiores prioridades. Figura 1Porcentagem de CISMs Responsveis por Atividades de Segurana
Posio 1 2 3 4 5 6 7 8 9 10 Cargo Atual Gesto de riscos Gesto de programas de segurana Segurana de dados Criao e manuteno de polticas Conformidade legal Gesto de projetos de segurana Gesto de incidentes Segurana de rede Continuidade de negcios/ recuperao de desastres Arquitetura de segurana Porcentagem 76,6 74,0 70,7 65,3 63,4 59,6 58,5 57,3 56,1 55,9 Cargo Anterior Segurana de dados Gesto de riscos Segurana de rede Gesto de programas de segurana Criao e manuteno de polticas Continuidade de negcios/ recuperao de desastres Segurana de sistemas e aplicativos Arquitetura de segurana Gesto de incidentes Gesto de projetos de segurana Porcentagem 56,6 54,8 53,5 49,0 48,8 45,8 45,2 45,1 44,8 44,8

Fonte: ISACA, Information Security Career Progression Survey Results, EUA, 2008

Entre os atuais requisitos comuns do cargo de gerente de segurana da informao esto os seguintes: Supervisionar o estabelecimento, a implementao e o cumprimento de polticas e normas que orientam e apoiam os termos da estratgia de segurana da informao Comunicar-se com a administrao executiva para garantir o apoio ao programa de segurana da informao

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

1. Segurana contextualizada Supervisionar e conduzir atividades de gesto de riscos (avaliao de riscos, anlise de defasagens, anlise de impacto de negcios, etc.) para ajudar a empresa a atingir um nvel aceitvel de risco Orientar e fazer recomendaes em relao aos controles de segurana apropriados nas reas tcnica, patrimonial e de pessoal Gerenciar o programa de gesto de incidentes de segurana da informao para garantir a preveno, a deteco, a conteno e a correo de falhas de segurana Comunicar as mtricas apropriadas administrao executiva Participar da soluo de problemas de violao de segurana Criar uma campanha de educao e conscientizao em toda a empresa em relao segurana da informao Coordenar a comunicao da campanha de conscientizao sobre segurana da informao a todos os integrantes da empresa Realizar a coordenao com fornecedores, auditores, a administrao executiva e os departamentos usurios de segurana da informao Para manter-se atualizado quanto s funes e responsabilidades em constante evoluo, treinamento contnuo, certificao e desenvolvimento profissional so obrigatrios. A segurana da informao evoluiu para um papel que vai alm da funo tcnica, e os executivos e a alta administrao esto comeando a reconhecer essa mudana. Para continuar progredindo na carreira profissional, os gerentes de segurana da informao devem ser capazes de demonstrar o valor da segurana da informao para a empresa. Uma comunicao eficaz do valor do programa de segurana exige que o gerente de segurana da informao no apenas entenda de tecnologia e solues, mas tambm (o que mais importante) seja competente em reas que sempre foram consideradas qualificaes de negcios. Qualidades de comunicao (escrita e verbal), organizao e nas rea de finanas e gesto so extremamente importantes para comunicar-se com os dirigentes da empresa.

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao

2. Descrio do cargo
De acordo com o Estudo de Anlise de reas de Prtica do Certified Information Security Manager4, os CISMs entrevistados esperam que o gerente de segurana da informao desempenhe um papel mais importante na rea de negcios nos prximos trs anos. Alm disso, os entrevistados esperam uma nfase maior na governana, alm de um foco maior na gesto de riscos e na gesto de incidentes. Essas qualidades e reas de conhecimento so as seguintes: Habilidades em negcios Habilidades gerenciais Conhecimento mais profundo de exigncias legais/de conformidade Conhecimento da lei Sarbanes-Oxley Habilidades em avaliao de riscos/gesto de riscos Percia forense Segurana, incluindo gesto de segurana da informao, segurana patrimonial e segurana de rede Para auxiliar as empresas a escolher profissionais altamente qualificados para cargos de gesto de segurana da informao, foram criadas diversas certificaes profissionais. A ISACA lanou sua certificao CISM em 2002. A certificao foi criada para gerentes de segurana da informao com pelo menos cinco anos de experincia e qualificao em segurana e negcios. O exame para CISM abrange cinco reas profissionais do cargo concentradas em diferentes declaraes de tarefas e conhecimentos em segurana da informao. As declaraes de tarefas representam o que um profissional de segurana da informao deve ser capaz de fazer, e as declaraes de conhecimento (vide apndice C) representam o que o gerente de segurana da informao deve saber para realizar as tarefas.

Governana de segurana da informao

A primeira rea de prtica profissional identificada pelos gestores de segurana da informao como essencial sua funo a governana da segurana da informao. Uma vez que a governana claramente um aspecto de negcios, nessa categoria que o gerente de segurana da informao deve ter qualificaes eficazes para trabalhar com os executivos e saber como demonstrar empresa o valor da segurana da informao. Veja a seguir oito declaraes de tarefas essenciais na rea de governana de segurana da informao:5 Desenvolver uma estratgia de segurana da informao alinhada com as metas e os objetivos de negcios Alinhar a estratgia de segurana da informao com a governana corporativa. Desenvolver uma justificativa de negcios para o investimento em segurana da informao. Identificar as exigncias legais e normativas atuais e potenciais que afetam a segurana da informao. Identificar os fatores que afetam a organizao (por exemplo, tecnologia, ambiente de negcios, tolerncia a risco, localizao geogrfica) e seu impacto sobre a segurana da informao.
4 5

ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 ISACA, CISM Review Manual 2008, EUA, 2008

10

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

2. Descrio do cargo Obter o compromisso da alta administrao com a segurana da informao. Definir as funes e responsabilidades da segurana da informao em toda a organizao. Estabelecer canais internos e externos de subordinao e comunicao que apoiem a segurana da informao. As declaraes de tarefas demonstram o alinhamento entre o programa de segurana da informao e as necessidades da rea de negcios. Para gerenciar de maneira eficaz o programa de segurana da informao, o gerente precisa ter conhecimento de negcios para realizar as tarefas mencionadas anteriormente. O gerente deve possuir habilidades de comunicao para obter o apoio dos executivos, e ser capaz de compreender os relatrios financeiros para ver claramente os fatores de negcios. O gerente tambm precisa ser capaz de trabalhar de maneira eficaz com outras reas, entre elas a jurdica e a de auditoria (para identificar possveis problemas legais), recursos humanos, e com os chefes das unidades de negcios funcionais para definir as responsabilidades pertinentes segurana da informao.

Gesto de riscos
A gesto de riscos da segurana da informao a segunda rea de responsabilidade essencial da gesto de segurana da informao presente nas reas de prtica profissional do CISM. Essa rea representa todo o ciclo de gesto dos riscos em uma empresa, da avaliao at a mitigao. Aqui, os gestores de segurana da informao precisam conduzir avaliaes de risco, compreender e comunicar claramente o possvel impacto sobre os negcios e recomendar controles para a mitigao dos riscos. As tarefas essenciais ao tratamento eficaz da gesto de riscos so as seguintes: Estabelecer um processo de classificao e propriedade dos ativos de informao. Implementar um processo sistemtico e estruturado de avaliao de riscos da informao. Garantir a conduo peridica de avaliaes de impacto sobre os negcios. Garantir que as avaliaes de ameaas e vulnerabilidades sejam realizadas continuamente. Identificar e avaliar periodicamente os controles de segurana da informao e as contramedidas para mitigar os riscos at nveis aceitveis. Integrar a identificao e gerenciamento de riscos, ameaas e vulnerabilidades aos processos de ciclo de vida (por exemplo, desenvolvimento e compras). Comunicar alteraes significativas nos riscos de informao aos nveis apropriados de administrao para aceite, tanto periodicamente quanto caso a caso. As sete declaraes de tarefas listadas representam uma ampla gama de conhecimento. Os gestores de segurana da informao devem no apenas ter um conhecimento profundo das ameaas, vulnerabilidades e possveis exposies, mas tambm devem compreender os mtodos de avaliao de riscos, possveis estratgias de mitigao, mtodos de conduo de anlise de falhas e anlise de impacto nos negcios e ter um conhecimento slido dos controles e das contramedidas de segurana. O mais importante que, para tomar qualquer deciso sobre como tratar os riscos, o gerente de segurana da informao deve saber se comunicar com a administrao executiva em relao tolerncia a riscos da empresa e deve ser capaz de contribuir com a identificao e o gerenciamento dos riscos em nvel corporativo.

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

11

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao

Desenvolvimento do programa de segurana da informao

O desenvolvimento do programa de segurana da informao a terceira capacidade essencial ao papel de gerente de segurana da informao. Ao criar um programa de segurana da informao, fundamental que os gestores de segurana da informao alinhem o programa com as metas da empresa e demonstrem valor. Os gestores de segurana da informao precisam compreender profundamente as pessoas, os processos e a tecnologia para atingir de maneira eficaz os objetivos de negcios. Os gestores de segurana da informao devem ser capazes de realizar as 11 tarefas a seguir no desenvolvimento do programa de segurana da informao: Desenvolver e manter planos para implementar a estratgia de segurana da informao. Especificar as atividades que devem ser realizadas no programa de segurana da informao. Garantir o alinhamento dos requisitos do programa de segurana da informao com os requisitos de outras funes de garantia (por exemplo, patrimnio, recursos humanos, qualidade, TI) Identificar os recursos internos e externos (por exemplo, finanas, pessoas, equipamentos, sistemas) necessrios execuo do programa de segurana. Garantir o desenvolvimento de arquiteturas de segurana da informao (por exemplo, pessoas, processos, tecnologia). Estabelecer, comunicar e manter polticas de segurana da informao que apoiem a estratgia de segurana. Projetar e desenvolver um programa de conscientizao, treinamento e educao quanto segurana da informao. Garantir o desenvolvimento, a comunicao e a manuteno de padres, procedimentos e outros documentos (por exemplo, diretrizes, parmetros, cdigos de conduta) que apoiem as polticas de segurana da informao. Garantir que a segurana da informao seja mantida em todos os processos da organizao (por exemplo, controle de mudanas, fuses e aquisies) e nas atividades de ciclo de vida (por exemplo, desenvolvimento, contratao, compras). Desenvolver um processo para incorporar requisitos de segurana a contratos (por exemplo, com joint ventures, provedores terceirizados, parceiros de negcios, clientes, terceiros) Estabelecer mtricas para avaliar a eficcia do programa de segurana da informao. As tarefas de desenvolvimento do programa de segurana da informao exigidas do gestor destacam claramente a necessidade de pessoas capazes de compreender os objetivos de negcios e que tenham uma slida capacidade de comunicao. Desenvolver um programa de segurana eficaz depende da capacidade do gerente de compreender a estratgia e as metas da empresa e trabalhar com os executivos e os dirigentes das unidades de negcios funcionais para integrar a segurana cultura da empresa.

Gesto do programa de segurana da informao

A gesto do programa de segurana da informao a quarta rea de prtica profissional do CISM. Ela se concentra em gerir com eficcia o programa de segurana da informao, reunindo recursos humanos, fsicos e financeiros para ajudar a atingir os objetivos de negcios.

12

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

2. Descrio do cargo H nove tarefas nesta rea de prtica profissional que o gestor de segurana da informao deve ser capaz de realizar com eficcia: Gerir os recursos internos e externos (por exemplo, finanas, pessoas, equipamentos, sistemas) necessrios execuo do programa de segurana. Garantir que os processos e procedimentos sejam realizados de acordo com as polticas e normas de segurana da informao da organizao. Garantir o cumprimento dos controles de segurana da informao definidos em contrato (por exemplo, com joint ventures, fornecedores terceirizados, parceiros de negcios, clientes, terceiros). Garantir que a segurana da informao seja parte integrante dos processos de desenvolvimento de sistemas e dos processos de aquisio. Garantir que a segurana da informao seja mantida em todos os processos da organizao (por exemplo, controle de mudanas, fuses e aquisies) e nas atividades de ciclo de vida. Oferecer assessoria e orientao quanto segurana da informao (por exemplo, anlise de riscos, seleo de controles) na organizao. Conscientizar, treinar e educar as partes envolvidas no negcio quanto segurana da informao (por exemplo, responsveis por processos de negcios, usurios, tecnologia da informao). Monitorar, medir, testar e comunicar a eficcia e a eficincia dos controles de segurana da informao e o cumprimento das polticas de segurana da informao. Garantir que problemas de no conformidade e outras variaes sejam solucionados de maneira pontual. Como podemos ver nas tarefas listadas, a capacidade de comunicao fundamental para a gesto de programas. Os gestores de segurana da informao precisam desenvolver e comunicar mtricas apropriadas para demonstrar o valor alta administrao. Os gestores de segurana da informao tambm devem ser capazes de comunicar-se em nvel tcnico com especialistas em TI, dirigentes de unidades de negcios e funcionrios, pois todos so responsveis pela proteo dos valiosos recursos de informao.

Gesto e resposta a incidentes

A ltima rea de prtica profissional contemplada a gesto e resposta a incidentes. Gesto de incidentes se define como o processo de desenvolver e manter a capacidade de gerenciar incidentes dentro da empresa de forma que a exposio seja limitada e que a recuperao ocorra dentro de um objetivo de tempo especfico. Incidentes podem ser o uso indevido de recursos de informtica, divulgao de informaes, ou acontecimentos que ameacem a continuidade dos processos de negcios. Os gestores de segurana da informao devem ser competentes em 10 tarefas essenciais nesta rea de prtica: Desenvolver e implementar processos para evitar, detectar, identificar, analisar e reagir a incidentes de segurana da informao. Estabelecer processos de transferncia de alada e comunicao e linhas de alada. Desenvolver planos para reagir a incidentes de segurana da informao e document-los. Estabelecer a capacidade de investigar incidentes de segurana da informao (por exemplo, percia, coleta e preservao de provas, anlise de logs, entrevistas). Desenvolver um processo de comunicao com partes internas e organizaes externas (por exemplo, mdia, autoridades policiais, clientes).
2008 ISACA. To
d o S o S d I r e I T o S r e S e r v A d o S

13

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao Integrar planos de resposta a incidentes de segurana da informao ao plano de recuperao de desastres e continuidade de negcios da organizao. Organizar, treinar e equipar as equipes para reagir a incidentes de segurana da informao. Testar periodicamente e refinar os planos de resposta a incidentes de segurana da informao. Gerenciar a resposta a incidentes de segurana da informao. Conduzir anlises para identificar as causas dos incidentes de segurana da informao, desenvolver aes corretivas e reavaliar os riscos. A rea de prtica profissional de gesto e resposta a incidentes exige que os gestores de segurana da informao identifiquem, analisem, gerenciem e reajam a uma interrupo ou falha nas funes de processamento de informaes.

14

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

Captulo XX 3. Progresso da carreira

3. Progresso da carreira
Os gestores de segurana da informao precisam ter uma ampla gama de qualidades para serem bem-sucedidos em suas funes. Algumas dessas qualidades se referem administrao, gesto de riscos, tecnologia, comunicao, gesto de projetos, organizao e liderana. Com um foco cada vez maior em qualificaes de negcios e qualidades intangveis cuja mensurao difcil, recomenda-se que qualquer empresa que contrate um gerente de segurana da informao procure uma pessoa experiente nas cinco reas de contedo profissional da certificao CISM. importante observar que contratar pessoas de fora nem sempre a nica opo. As empresas frequentemente j contam com funcionrios com as principais habilidades. Os profissionais de segurana da informao podem ingressar em uma empresa para trabalhar em uma rea e adquirir novas habilidades que lhes permitam progredir para outras reas. A figura 2 ilustra os diversos caminhos de carreira pelos quais um gerente de segurana da informao pode progredir em uma empresa. Demonstra o progresso tpico da segurana da informao e como os profissionais podem se deslocar horizontal, diagonal e verticalmente em seu progresso de carreira. Esta figura tambm destaca o fato de que existem muitas formaes e diversos meios pelos quais os gestores de segurana da informao adquirem conhecimento, certificaes, treinamento e experincia. A ascenso de um cargo bsico para um cargo de diretoria pode ser realizada por diversos caminhos. Na verdade, esse exatamente o padro observado atualmente nas pesquisas com profissionais que detm a certificao CISM em todo o mundo. Esses profissionais ingressaram a partir de diversas reas funcionais e subiram pela escada corporativa em padres tanto verticais como horizontais, muitas vezes se movendo tambm na diagonal. Como se requer uma combinao de habilidades tcnicas e gerenciais medida em que o profissional progride em uma empresa, acredita-se que esse padro permanecer vlido no futuro. Nem sempre fcil dimensionar o conjunto de qualificaes requeridas atualmente de um gestor de segurana da informao. Os empregadores precisam de uma base para avaliar seus funcionrios que buscam promoes e candidatos externos para preencher cargos. A taxonomia de Bloom6 oferece s empresas uma escala que permite identificar se os possveis ocupantes dos cargos tm os conjuntos de qualificaes necessrios para cumprir a funo de gerente de segurana da informao. Bloom identificou seis nveis no domnio cognitivo, do nvel mais baixo (lembrana ou reconhecimento simples de fatos) passando por nveis mentais cada vez mais complexos e abstratos, at atingir a ordem mais elevada, classificada como avaliao. Exemplos de verbos que representam a atividade intelectual em cada nvel esto relacionados na figura 3. A figura 4 detalha mais as competncias do cargo de gerente de segurana da informao, adaptadas dos seis nveis de aprendizado de Bloom. O nvel de competncia para os diferentes nveis indicado para cada uma das competncias de Bloom: conhecimento, compreenso, aplicao, anlise, sntese e avaliao. Os requisitos de competncia nas diversas reas podem ser alcanados quando a empresa conta com profissionais que possuem diferentes pontos fortes na equipe.
6

Bloom, B; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984 2008 ISACA. To
d o S o S d I r e I T o S r e S e r v A d o S

15

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao Figura 2Modelo tpico de progresso e gesto de segurana da informao
Diretoria Segurana da Informao/Comit de Garantia Equipe multidisciplinar em nvel de diretoria Jurdico/ Gesto de Riscos/ Privacidade

Nvel Executivo snior (Nvel de Diretoria) Gerente/ diretor

Gesto

Tecnologia

Arquitetura

Garantia

CIO Operaes consultoria

COO

CTO CISO CArO

CAO Auditoria interna

GC CRO CPO Risco informao/ consultoria de privacidade

Nveis de Carreira

Desenvolvimento/segurana de sistemas e informaes de infraestrutura

Especialista

Consultor principal de TI

Profissional Engenheiro de de sistemas desenvolvi snior de TI mento snior de TI

Arquiteto snior de TI

Auditor Consultor snior de principal de TI segurana da informao

Especialista, Gerente de produtos/programas/projetos, lder de equipe, gerente de vendas de conta gerente Especialista, Consultor tcnico de segurana, analista de negcios Iniciante Analista Gerente de produtos de segurana Projetista de segurana Profissional Auditor de de sistemas segurana de segurana Consultor de risco de informao

Desenvolvedor

Projetista de segurana estagirio

Estagirio de Estagirio de sistemas de auditoria de segurana segurana

O progresso na carreira at o nvel de Diretoria pode ser vertical, horizontal e/ou diagonal. Fonte: Adaptado de Lynas, David; John Sherwood; Professionalism in Information Security: A Framework for Competency Development, 12a Conferncia Anual da COSAC, Reino Unido, 2005 Legendas do Nvel de Diretoria:
CIO = Diretor de Informtica (Chief Information Officer) COO = Diretor de Operaes (Chief Operating Officer) CTO = Diretor de Tecnologia (Chief Technology Officer) CISO = Diretor de Segurana da Informao (Chief Information Security Officer) CARO = Diretor de Arquitetura (Chief Architecture Officer) CAO = Diretor de Garantia (Chief Assurance Officer) GC = Diretor Jurdico (General Counsel) CRO = Diretor de Risco (Chief Risk Officer) CPO = Diretor de Privacidade (Chief Privacy Officer)

As empresas que procuram promover ou contratar um gerente de segurana da informao podero considerar as competncias teis para definir as qualificaes e os requisitos do cargo. Um gerente de segurana da informao precisa ter um conhecimento amplo e profundo em diversas reas. Em muitos casos, esse nvel de conhecimento no ser encontrado em uma nica pessoa, especialmente no incio de uma carreira. Portanto, provvel que seja necessrio um equilbrio de qualidades entre vrios profissionais em empresas maiores. Aqueles com uma compreenso mais ampla e profunda do conhecimento necessrio ascendero aos cargos mais graduados. Como a tecnologia muda muito rapidamente, treinamento e educao contnuos so obrigatrios.
16
2008 ISACA. To
d o S o S d I r e I T o S r e S e r v A d o S

3. Progresso da carreira Figura 3Competncias tcnicas cf. a Taxonomia de Bloom

Nvel de Competncia 1 Conhecimento Qualidade Demonstrada Observar e lembrar informaes. Demonstrar conhecimento dos fatos. Demonstrar conhecimento de idias importantes. Demonstrar domnio do assunto. Conduzir pesquisas para encontrar informaes. Compreender a informao. Compreender o significado. Transformar conhecimento em novos contextos. Interpretar fatos. Comparar e contrastar. Inferir causas. Prever consequncias. Usar a informao com sabedoria. Empregar mtodos, conceitos e teorias em novas situaes. Solucionar problemas usando a habilidade ou o conhecimento necessrios. Identificar padres. Organizar caminhos. Reconhecer significados ocultos. Identificar componentes. Usar idias antigas para criar novas idias. Generalizar a partir de fatos conhecidos. Relacionar conhecimentos de diversas reas. Fazer previses e tirar concluses. Comparar e discriminar idias. Avaliar o valor de teorias e apresentaes. Fazer escolhas com base em argumentos racionais. Verificar o valor de evidncias. Reconhecer a subjetividade. Exemplos de Verbos Comportamentais Listar, definir, contar, descrever, identificar, mostrar, rotular, coletar, examinar, tabular, cotar, nomear, localizar, identificar

Compreenso

Resumir, explicar, interpretar, contrastar, prever, associar, distinguir, estimar, diferenciar, discutir, expandir, ordenar, agrupar

Aplicao

Aplicar, demonstrar, calcular, completar, ilustrar, mostrar, solucionar, examinar, modificar, relacionar, mudar, classificar, experimentar, descobrir Analisar, separar, ordenar, conectar, classificar, organizar, dividir, comparar, selecionar, inferir Combinar, integrar, modificar, reorganizar, substituir, planejar, criar, construir, projetar, inventar, compor, formular, preparar, generalizar, reescrever

Anlise

Sntese

Avaliao

Estimar, avaliar, decidir, classificar, graduar, testar, medir, recomendar, convencer, selecionar, julgar, discriminar, apoiar, concluir

Fonte: Bloom, Benjamin; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

17

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao Figura 4Competncias de um gerente de segurana da informao
Domnio Nvel/ categoria Executivo de nvel de diretoria Diretor Gerente Especialista tcnico Especialista tcnico Analista tcnico Conhecimento Compreenso Neg. M Seg. M Neg. M Seg. M Aplicao Anlise Sntese Avaliao

Neg. Seg. Neg. Seg. Neg. Seg. Neg. Seg. M M M M M M M M

M C C U U

M M M M C

M M C U U

M M M M C

M M C U U

M M M M C

M M C U U

M M M M C

M C U U U

M C M C C

M C U U U

M C M C C

Fonte: Centro de Garantia da Informao da Universidade de Dallas, 2007

Legendas da Tabela Neg. = Conhecimento de negcios Seg. = Conhecimento de segurana da informao M = Domnio total C = Alguma competncia U = Compreenso bsica

Base para as qualificaes

Certificaes profissionais e treinamento desempenham um papel importante no desenvolvimento das qualificaes e demonstram o profissionalismo e o compromisso de manter uma situao profissional. O treinamento pode ser obtido em um ambiente didtico formal, como uma faculdade ou universidade, onde j existem programas de graduao, ps-graduao e doutorado para gestores de segurana da informao, ou pode assumir a forma de treinamento profissional em conferncias, seminrios e oficinas. A certificao profissional pode ser muito valiosa para demonstrar o conhecimento e a experincia de um gerente de segurana da informao, pois exige que os candidatos sejam aprovados em um exame que avalia suas competncias em segurana da informao. A CISM uma certificao altamente conceituada na rea de segurana da informao, que exige que os candidatos sejam aprovados em um rigoroso exame e tenham cinco anos de experincia em gesto de segurana da informao, alm de cumprir horas de educao profissional continuada (CPE) para manter a certificao.

18

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

3. Progresso da carreira

Concluso
As funes, responsabilidades e relaes que os gestores de segurana da informao devem cumprir so grandes, crescentes, complexas e, s vezes, conflitantes, mas so as mesmas em todo o mundo. O desafio, de acordo com a pesquisa de anlise de prtica profissional do CISM,7 que eles devem habituar-se compreenso dos problemas e fundamentos de negcios, bem como gerenciar e trabalhar com outros profissionais tcnicos se desejam progredir na carreira. H muito para conhecer e manter-se atualizado em relao s mudanas tecnolgicas; portanto, treinamento, certificao e educao continuada so obrigatrios. Tambm foi determinado, atravs da pesquisa de anlise de prtica profissional do CISM, que muitos gestores de segurana da informao chegaram ao seu cargo atravs de diferentes caminhos de carreira e formaes acadmicas. Isso tem sido bom, pois cria uma rede de qualificaes, experincia, educao, treinamento e certificao que melhoram o perfil geral de segurana de uma empresa. Acredita-se portanto que a ascenso na carreira do gerente de segurana da informao seguir diferentes caminhos. Alguns profissionais progrediro em um canal vertical, e outros por caminhos horizontais, e alguns sero transferidos de um cargo totalmente tcnico para uma funo mais gerencial, e vice-versa. Finalmente, para que a segurana de uma empresa seja realmente eficaz, necessria a aceitao pelos nveis superiores. Isso significa que a segurana da informao deve fazer parte da governana corporativa e contar com a participao e o apoio da diretoria e dos executivos de nvel snior. Criar uma cultura que apoie a segurana da informao apenas uma das dificuldades enfrentadas pelos gestores de segurana da informao hoje em dia, mas a combinao correta de educao e experincia ajudar a prepar-los para enfrentar esses desafios.

ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 2008 ISACA. To
d o S o S d I r e I T o S r e S e r v A d o S

19

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao

Apndice APerfil dos Participantes da Pesquisa de Anlise de reas de Prtica Profissional do CISM
As estatsticas a seguir representam dados demogrficos extrados do Certified Information Security Manager Job Practice Analysis Study da ISACA em 2006 : 70% dos entrevistados tinham de seis a 15 anos de experincia como gestores de segurana da informao. 59% vieram de quatro setores: bancrio (16%), consultoria (23%), financeiro (7%) e setor pblico/nacional (13%). 83% eram homens. 77% tinham bacharelado ou eram ps-graduados (38% eram bacharis e 39% tambm eram mestres). Embora todos os entrevistados detivessem a credencial CISM, mais de 73% detinham mais uma certificao (40% eram CISSPs, 33% eram CISAs, 33% outros. 65% detinham um dos trs ttulos a seguir: CISO (13%), diretor de segurana da informao (13%) ou gerente de segurana da informao (39%). 94% eram certificados desde 2003. 33% trabalhavam em empresas com 1.500 a 9.999 funcionrios (outras respostas foram distribudas de maneira uniforme em uma curva normal). 62% contavam com pessoal de segurana em perodo integral com menos de 25 pessoas (39 % contavam com equipe de zero a cinco pessoas, 17% com uma equipe de seis a 10, e 16% contavam com uma equipe de 11 a 25). Nota: As porcentagens foram arredondadas para nmeros inteiros. ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 19-27

20

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

Apndice BTarefas e Pontuaes de Conhecimento

Apndice BTarefas e Pontuaes de Conhecimento

Figura 5 representa as respostas dos CISMs entrevistados no estudo de anlise de prtica profissional de 2006. Os CISMs responderam com a porcentagem de tempo que gastavam gerenciando atividades em cada uma das reas de contedo profissional do CISM, alm da criticidade das reas de contedo profissional de seus cargos. A mdia de criticidade uma mdia de todas as pontuaes, com base em uma escala linear de 1 a 5; 1 indica a menor criticidade, e 5 indica a maior criticidade. Figura 5Estatsticas descritivas das reas de contedo do Exame de CISM
reas de contedo do exame de CISM Governana de segurana da informao Gesto de riscos segurana da informao Desenvolvimento do programa de segurana da informao Gesto do programa de segurana da informao Gesto e reao a incidentes Outros Porcentagem de tempo 22,0 21,5 17,6 24,0 13,6 1,2 Mdia de criticidade 3,5 3,6 3,4 3,5 3,4

Fonte: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 29

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

21

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao

Apndice CDeclaraes de Conhecimento para Cada rea de Contedo de Cargos da CISM

(Fonte: ISACA, Manual de Anlise de CISMs 2008, EUA, 2008) rea 1: Governana de segurana da informao KS1.1 Conhecimento das metas e dos objetivos de negcios KS1.2 Conhecimento de conceitos de segurana da informao KS1.3 Conhecimento dos componentes que formam uma estratgia de segurana da informao (por exemplo, pessoas, processos, tecnologias, arquitetura) KS1.4 Conhecimento da relao entre as funes de segurana da informao e de negcios KS1.5 Conhecimento do escopo e do compromisso da governana de segurana da informao KS1.6 Conhecimento dos conceitos de governana corporativa e de segurana da informao KS1.7 Conhecimento dos mtodos para integrar a governana da segurana da informao estrutura geral de governana da empresa KS1.8 Conhecimento de estratgias de planejamento oramentrio e mtodos de emisso de relatrios KS1.9 Conhecimento de metodologias de desenvolvimento de caso de negcios KS1.10 Conhecimento dos tipos e do impacto dos fatores internos e externos (por exemplo, tecnologia, ambiente de negcios, tolerncia a riscos) que podem afetar as organizaes e a segurana da informao KS1.11 Conhecimento dos requisitos legais e do seu possvel impacto sobre os negcios do ponto de vista da segurana da informao KS1.12 Conhecimento de estratgias comuns de gesto de responsabilidade civil e opes de seguros (por exemplo, seguro contra crime, seguro fidelidade, interrupo de negcios) KS1.13 Conhecimento de relacionamentos com terceiros e seu impacto sobre a segurana da informao (por exemplo, fuses e aquisies, parcerias, terceirizao) KS1.14 Conhecimento dos mtodos usados para obter o compromisso da alta administrao com a segurana da informao KS1.15 Conhecimento do estabelecimento e da operao de um grupo gestor de segurana da informao KS1.16 Conhecimento das funes, responsabilidades e estruturas organizacionais gerais da gesto de segurana da informao KS1.17 Conhecimento de abordagens para relacionar as polticas aos objetivos de negcios da empresa KS1.18 Conhecimento das normas internacionais consagradas de gesto de segurana da informao KS1.19 Conhecimento de mtodos centralizados e distribudos para coordenar atividades de segurana da informao KS1.20 Conhecimento de mtodos para estabelecer canais de subordinao e comunicao em toda a organizao

22

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

Apndice CDeclaraes de Conhecimento para Cada rea de Contedo de Cargos da CISM rea 2: Gesto de riscos segurana da informao KS2.1 Conhecimento dos componentes necessrios ao estabelecimento de um plano de classificao de segurana da informao que seja coerente com os objetivos de negcios, inclusive a identificao de ativos. KS2.2 Conhecimento dos componentes do plano de propriedade de informaes, inclusive dos fatores do plano, tais como funes e responsabilidades. KS2.3 Conhecimento das ameaas informao, das vulnerabilidades e das exposies KS2.4 Conhecimento das metodologias de avaliao de recursos de infomao KS2.5 Conhecimento de metodologias de avaliao e anlise de riscos, inclusive mensurabilidade, reprodutibilidade e documentao. KS2.6 Conhecimento dos fatores empregados para determinar a frequncia e os requisitos de emisso de relatrios KS2.7 Conhecimento dos mtodos quantitativos e qualitativos usados para determinar a sensibilidade e a criticidade dos recursos de informao e o impacto de eventos adversos sobre os negcios KS2.8 Conhecimento da modelagem de parmetros e seu relacionamento com avaliaes por risco dos requisitos de controle KS2.9 Conhecimento de controles de segurana e contra-medidas KS2.10 Conhecimento de mtodos para analisar a eficcia dos controles de segurana da informao e de contra-medidas KS2.11 Conhecimento das estratgias de mitigao de riscos para definir os requisitos de segurana dos recursos de informao KS2.12 Conhecimento de anlises de defasagem para comparar o estado do momento com as normas consagradas de prticas recomendadas de gesto de segurana da informao KS2.13 Conhecimento de tcnicas de anlise de custo-benefcio para mitigar os riscos em KS2.14 Conhecimento de princpios e prticas de gesto de riscos por ciclo de vida rea 3: Desenvolvimento do programa de segurana da informao KS3.1 Conhecimento de mtodos para converter estratgias em planos gerenciveis e sustentveis para implementar a segurana da informao KS3.2 Conhecimento das atividades necessrias em um programa de segurana da informao KS3.3 Conhecimento de mtodos para gerenciar a implementao do programa de segurana da informao KS3.4 Conhecimento do planejamento, do projeto, do desenvolvimento, dos testes e da implementao de controles de segurana da informao KS3.5 Conhecimento de mtodos para alinhar os requisitos do programa de segurana da informao com os requisitos de outras funes de garantia (por exemplo, patrimnio, recursos humanos, qualidade, TI) KS3.6 Conhecimento de como identificar recursos internos e externos e qualificaes necessrias (por exemplo, finanas, pessoal, equipamentos, sistemas) KS3.7 Conhecimento de aquisio de recursos e qualificaes (por exemplo, oramento de projetos, contratao de pessoal, compra de equipamentos) KS3.8 Conhecimento de arquiteturas de segurana da informao (por exemplo, arquitetura lgica e arquiteturas fsicas) e sua implementao KS3.9 Conhecimento de tecnologias e controles de segurana (por exemplo, tcnicas criptogrficas, controles de acesso, ferramentas de monitoramento)

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

23

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao KS3.10 Conhecimento do processo de desenvolvimento de polticas de segurana da informao que cumpram e apiem os objetivos de negcios da empresa KS3.11 Conhecimento do contedo para conscientizao, treinamento e educao em relao segurana da informao em toda a empresa (por exemplo, conscientizao geral de segurana, criao de cdigos seguros, controles de sistemas operacionais) KS3.12 Conhecimento de mtodos para identificar atividades de preenchimento das lacunas entre nveis de competncia e qualidades necessrias KS3.13 Conhecimento das atividades para promover uma cultura e um comportamento positivos em relao segurana KS3.14 Conhecimento dos usos e das diferenas entre as polticas, as normas, os procedimentos, as diretrizes e outras documentaes KS3.15 Conhecimento do processo de correlao de polticas aos objetivos de negcios da empresa KS3.16 Conhecimento de mtodos para desenvolver, implementar, comunicar e manter polticas, normas, procedimentos, diretrizes e outras documentaes de segurana da informao KS3.17 Conhecimento da integrao dos requisitos de segurana da informao aos processos organizacionais (por exemplo, controle de mudanas, fuses e aquisies) KS3.18 Conhecimento de metodologias e atividades de ciclo de vida (por exemplo, desenvolvimento, contratao, compras) KS3.19 Conhecimento de processos para incorporar requisitos de segurana a contratos (por exemplo, com joint ventures, provedores terceirizados, parceiros de negcios, clientes, terceiros) KS3.20 Conhecimento de mtodos e tcnicas para gerenciar riscos de terceiros (por exemplo, acordos de nvel de servio, contratos, due diligence, fornecedores, subcontratados) KS3.21 Conhecimento do projeto, do desenvolvimento e da implementao de mtricas de segurana da informao KS3.22 Conhecimento da certificao e do credenciamento da conformidade dos aplicativos de negcios e da infraestrutura s necessidades de negcios KS3.23 Mtodos de avaliao contnua da eficcia e aplicabilidade dos controles de segurana da informao (por exemplo, testes de vulnerabilidade, ferramentas de avaliao) KS3.24 Conhecimento de mtodos de acompanhamento e medio da eficcia e atualidade dos programas de conscientizao, treinamento e educao referentes segurana da informao KS3.25 Conhecimento de mtodos para manter o programa de segurana da informao (por exemplo, planejamento sucessrio, distribuio de cargos, documentao do programa) rea 4: Gesto do programa de segurana da informao KS4.1 Conhecimento da interpretao e da implementao de polticas de segurana da informao KS4.2 Conhecimento dos processos e procedimentos administrativos de segurana da informao (por exemplo, controles de acesso, gerenciamento de identidades, acesso remoto)

24

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

Apndice CDeclaraes de Conhecimento para Cada rea de Contedo de Cargos da CISM KS4.3 Conhecimento de mtodos para implementar e gerenciar o programa de segurana da informao da empresa, de comum acordo com terceiros (por exemplo, parceiros comerciais, contratados, parceiros de joint ventures, fornecedores de terceirizao) KS4.4 Conhecimento dos mtodos de gesto do programa de segurana da informao atravs de provedores de servios de segurana KS4.5 Conhecimento de clusulas contratuais relacionadas segurana da informao (por exemplo, direito auditoria, sigilo) KS4.6 Conhecimento de mtodos para definir e monitorar os requisitos de segurana em acordos de nvel de servio KS4.7 Conhecimento de mtodos e abordagens para providenciar o monitoramento contnuo das atividades de segurana na infraestrutura e dos aplicativos de negcios da empresa KS4.8 Conhecimento das mtricas de gerenciamento para justificar os investimentos no programa de segurana da informao (por exemplo, coleta de dados, avaliao peridica, indicadores-chave de desempenho) KS4.9 Conhecimento dos mtodos para testar a eficcia e a aplicabilidade dos controles de segurana da informao (por exemplo, testes de penetrao, quebra de senhas, engenharia social, ferramentas de avaliao) KS4.10 Conhecimento de atividades de gesto de mudanas e configurao KS4.11 Conhecimento das vantagens/desvantagens de usar provedores de garantia internos/externos para realizar avaliaes de segurana da informao KS4.12 Conhecimento de atividades de due diligence, avaliaes e normas correlatas para gerenciar e controlar o acesso informao KS4.13 Conhecimento de fontes externas de comunicao de vulnerabilidades para contar com informaes sobre os possveis impactos sobre a segurana da informao em aplicativos e na infraestrutura KS4.14 Conhecimento de eventos que afetam os parmetros de segurana que podem exigir reavaliaes de risco e alteraes em elementos do programa de segurana da informao KS4.15 Conhecimento das prticas de gesto de problemas de segurana da informao KS4.16 Conhecimento dos requisitos de comunicao do status da segurana dos sistemas e da infraestrutura KS4.17 Conhecimento de tcnicas gerais de gesto direta, inclusive oramento (por exemplo, estimativa, quantificao, compensaes), gesto de equipes (por exemplo, motivao, avaliao, estabelecimento de objetivos) e instalaes (por exemplo, obter e usar equipamentos) rea 5: Gesto e reao a incidentes KS5.1 Conhecimento dos componentes de um recurso de reao a incidentes KS5.2 Conhecimento do planejamento de recuperao de desastres e continuidade de negcios KS5.3 Conhecimento de prticas de gesto de incidentes de informao KS5.4 Conhecimento de testes de recuperao de desastres para infraestrutura e aplicativos essenciais de negcios KS5.5 Conhecimento de eventos que iniciam reaes a incidentes KS5.6 Conhecimento de conteno de danos

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

25

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao KS5.7 Conhecimento de processos de notificao e transferncia de alada para uma gesto eficaz de segurana KS5.8 Conhecimento da funo dos indivduos na identificao e gesto de incidentes de segurana KS5.9 Conhecimento de comunicao de crises KS5.10 Conhecimento de mtodos de identificao de recursos de negcios essenciais recuperao KS5.11 Conhecimento dos tipos e das fontes de ferramentas e equipamentos necessrios ao equipamento adequado dos grupos de resposta a incidentes KS5.12 Conhecimento dos requisitos periciais de coleta e apresentao de provas (por exemplo, admissibilidade, qualidade e integridade das provas, cadeia de custdia) KS5.13 Conhecimento empregado na documentao de incidentes e das aes subsequentes KS5.14 Conhecimento dos requisitos internos e externos de emisso de relatrios KS5.15 Conhecimento de prticas de avaliao ps-incidente e mtodos de investigao para identificar as causas e determinar as medidas corretivas KS5.16 Conhecimento de tcnicas de quantificao de danos, custos e outros impactos de negcios decorrentes de incidentes de segurana KS5.17 Conhecimento do objetivo de tempo de recuperao (RTO) e sua relao com os objetivos e processos de continuidade de negcios e contingncia

26

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

Bibliografia Captulo XX

Bibliografia
Bloom, B.; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984 Lynas, D.; J. Sherwood; Professionalism in Information Security: A Framework for Conpetency Development, 12a Conferncia Anual da COSAC, Reino Unido, 2005 Robb, D.; How IT Is Revitalizing Staff Skills, Computerworld, EUA, fevereiro de 2007 ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 ISACA, CISM Review Manual 2008, EUA, 2008 ISACA, Critical Elements of Information Security Program Success, EUA, 2005 ISACA, Information Security Career Progression Survey Results, EUA, 2008

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

27

Definio dos Requisitos do Cargo de Gesto de Segurana da Informao

Outras Publicaes
Muitas publicaes do IT Governance Institute (ITGITM) e da ISACA contm questionrios de avaliao detalhados e programas de trabalho. Para saber mais, visite www.isaca.org/bookstore ou envie um e-mail para bookstore@isaca.org.

Segurana
Cybercrime: Incident Response and Digital Forensics, 2005 Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition, 2006 Information Security Governance: Guidance for Information Security Managers, 2008 Information Security HarmonisationClassification of Global Guidance, 2005 Managing Enterprise Information Integrity: Security, Control and Audit Issues, 2004 Security Awareness: Best Practices to Serve Your Enterprise, 2005 Stepping Through the InfoSec Program, 2007

Garantia
ITAFTM: A Professional Practices Framework for IT Assurance, 2008 Stepping Through the IS Audit, 2nd Edition, 2004 Srie ERP: Security, Audit and Control Features Oracle E-Business Suite: A Technical and Risk Management Reference Guide, 2nd Edition, 2006 Security, Audit and Control Features PeopleSoft: A Technical and Risk Management Reference Guide, 2nd Edition, 2006 Security, Audit and Control Features SAPR/3: A Technical and Risk Management Reference Guide, 2nd Edition, 2005 Ambientes Especficos: Electronic and Digital Signatures: A Global Status Report, 2002 Enterprise Identity Management: Managing Secure and Controllable Access in the Extended Enterprise Environment, 2004 Linux: Security, Audit and Control Features, 2005 Managing Risk in the Wireless LAN Environment: Security, Audit and Control Features, 2005 Oracle Database Security, Audit and Control Features, 2004 OS/390z/OS: Security, Control and Audit Features, 2003 isks of Customer Relationship Management: Security, Control and Audit Features, 2003 R Security Provisioning: Managing Access in Extended Enterprises, 2002 Virtual Private NetworkNew Issues for Network Security, 2001

Governana de TI

Board Briefing on IT Governance, 2nd Edition, 2003 Identifying and Aligning Business Goals and IT Goals, 2008 IT Governance Global Status Report2008, 2008 Understanding How Business Goals Drive IT Goals, 2008

28

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

Outras Publicaes Captulo XX CobiT e Publicaes Correlatas CobIT 4.1, 2007 CobiT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition, 2007 CobiT QuickstartTM, 2nd Edition, 2007 CobiT Security BaselineTM, 2nd Edition, 2007 IT Assurance Guide: Using CobiT , 2007 IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance, 2007 IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition, 2006 IT Governance Implementation Guide: Using CobiT and Val IT, 2nd Edition, 2007 Srie CobiT Mapping: Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit, 2008 CobiT Mapping: Mapping of CMMI for Development V1.2 With CobiT 4.0, 2007 CobiT Mapping: Mapping of ISO/IEC 17799:2000 With CobiT 4.0, 2nd Edition, 2006 CobiT Mapping: Mapping of ISO/IEC 17799:2005 With CobiT 4.0, 2006 CobiT Mapping: Mapping of ITIL V3 With CobiT 4.1, 2008 CobiT Mapping: Mapping of NIST SP800-53 With CobiT 4.1, 2007 CobiT Mapping: Mapping of PMBOK With CobiT 4.0, 2006 CobiT Mapping: Mapping of PRINCE2 With CobiT 4.0, 2007 CobiT Mapping: Mapping of SEIs CMM for Software With CobiT 4.0, 2006 CobiT Mapping: Mapping of TOGAF 8.1 With CobiT 4.0, 2007 CobiT Mapping: Overview of International IT Guidance, 2nd Edition, 2006 Prticas e Competncias no Domnio da Governana de TI: Governance of Outsourcing, 2005 Information Risks: Whose Business Are They?, 2005 IT Alignment: Who Is in Charge?, 2005 Measuring and Demonstrating the Value of IT, 2005 Optimising Value Creation From IT Investments, 2005 Val TI: Enterprise Value: Governance of IT Investments, Getting Started With Value Management, 2008 Enterprise Value: Governance of IT Investments, The Business Case, 2006 Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008 Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Extract, 2008

2008 ISACA. To

d o S

o S

d I r e I T o S

r e S e r v A d o S

29

3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Telefone: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: info@isaca.org Na Internet: www.isaca.org