A tabela periódica do CISO

Segurança da informação, não é um produto ou projeto. É um programa para atingir uma estratégia, composto de muitas iniciativas, processos, projetos e produtos. 

Tive acesso a esta tabela em uma rede social e me chamou a atenção o quão útil ela pode ser para quem está desenvolvimento a estratégia de segurança da informação. Mais à esquerda, questões básicas (e que nem sempre recebem a devida importância) relacionadas ao business, incluindo alinhamento ao negócio, gestão de risco, compliance, governança e etc. Questões importantíssimas para apoiar o sucesso da estratégia. Logo depois, questões estruturais de governança de TI que darão suporte à estratégia de segurança, como gestão de ativos, patch, mudanças e contas.

Já havia falado anteriormente sobre gestão de vulnerabilidades e a dependência de um processo estruturado de gestão de ativos.

E a tabela segue para direita, evoluindo para temas mais avançados, geralmente presentes em programas de cybersecurity em estágio de maturidade mais avançado.

Em resumo: ter recursos de um programa de segurança mais maduro é legal, mas é melhor começar pelo básico primeiro.