Gestão de Riscos em Segurança da Informação
A Instrução Normativa Conjunta (INC) MP/CGU no 1/2016, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal determina que:
Art. 1o Os órgãos e entidades do Poder Executivo federal deverão adotar medidas para a sistematização de práticas relacionadas à gestão de riscos, aos controles internos, e à governança. Art. 13o Os órgãos e entidades do Poder Executivo federal deverão implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos estratégicos, observadas as diretrizes estabelecidas nesta Instrução Normativa.
A Gestão de Riscos de Segurança da Informação e Comunicação (GRSIC) é um processo contínuo, bem estruturado e sistêmico cujo objetivo é assegurar uma proteção adequada para os elementos de valor da organização.
É desejável que a organização realize análises internas voltadas a estabelecer as condições iniciais apropriadas para a implementação da gestão de riscos. Para isso é necessário definir: o propósito dos investimentos em Segurança da Informação e Comunicação (SIC), o escopo de atuação da GRSIC e os papéis envolvidos no
processo.
A Universidade Federal do Ceará (UFC) define os propósitos de investimento em SIC através de sua Política de Segurança da Informação e Comunicação (P01/STI/UFC de Junho de 2013). Nela, destaca que devem ser considerados os seguintes aspectos: todo impacto associado aos ativos deve ser avaliado e, se possível, minimizado; e toda ação de segurança da informação deve ser feita com base na avaliação da criticidade dos Ativos.
Essa política define ainda que dentre as responsabilidades do Departamento de Segurança da Informação e Comunicação desta instituição desenvolver ações relacionadas à gestão de riscos. Ressalta-se que o departamento citado, foi implementado nesta universidade através da criação do setor de segurança em 2013 e posteriormente, com a oficialização da Divisão de Segurança da Informação (DSEI) em 2016 da Secretaria de Tecnologia da Informação. Com a reformulação do organograma institucional de 2020, a divisão foi incorporada à Coordenadoria de Infraestrutura e Segurança da Informação – CISI da atual Superintendência de Tecnologia da Informação.