A Segurança da Informação e mais especificamente a Cibersegurança é o controle que possibilita a proteção adequada para que a organização alcance seus objetivos corporativos e desenvolva o seu negócio, no que depende da informação. Mas todas as organizações estão baseadas em informação! Recentemente (infelizmente) tomamos conhecimento de incidentes que pararam ambientes de tecnologia de […]
A Segurança da Informação e mais especificamente a Cibersegurança é o controle que possibilita a proteção adequada para que a organização alcance seus objetivos corporativos e desenvolva o seu negócio, no que depende da informação. Mas todas as organizações estão baseadas em informação!
Recentemente (infelizmente) tomamos conhecimento de incidentes que pararam ambientes de tecnologia de organizações e de órgãos do governo. Neste mês, dois sites de comercio eletrônico de uma grande empresa de varejo, foram invadidos por criminosos e tiveram que sair do ar. Com cinco dias indisponíveis, a Consultoria Economatica estima uma perda de R$ 3,48 bilhões em valor de mercado. A XP Investimentos estima um prejuízo de faturamento na ordem de R$ 250 milhões.
A Cibersegurança está (ou deveria estar) na mesa do Corpo Diretivo, na pauta do Conselho de Administração. Mas este não é um assunto fácil dos executivos entenderem. Com certeza em todos os casos de problemas por erros ou ações criminosas, alguém vai levantar a questão “Como pode acontecer? Destinamos uma grande verba para TI?” Verdade, mas será que a proteção seguiu uma estrutura e os requisitos de uma efetiva governança?
Entendo que alguns aspectos e controles precisam ser melhor apresentados para o Corpo Diretivo de maneira a garantir o alinhamento da Governança da Segurança da Informação com a Governança Corporativa. Para facilitar o entendimento, garantir a governança e aprimorar a decisão sobre risco, descrevo abaixo cinco direcionadores fundamentais para garantir uma efetiva proteção do recurso informação.
1. Corpo Diretivo: responsável pela existência da Proteção da Informação.
O Programa Organizacional de Segurança da Informação e Cibersegurança deve ser patrocinado pelo Corpo Diretivo.
Exige investimento financeiro, mudança de cultura, investimento de tempo dos colaboradores, definição de diretrizes corporativas obrigatórias, conformidade com legislação, exigências com fornecedores e controles para o tratamento da informação.
2. Corpo Diretivo: precisa saber a Maturidade da Cibersegurança
É essencial que o Corpo Diretivo conheça e entenda a Maturidade dos Controles de Proteção da Informação existentes (ou não) na Cibersegurança. Somente assim será possível a definição do apetite de risco que a organização aceitará.
Para tanto a organização deve executar internamente ou com a colaboração de uma Consultoria, uma avaliação periódica dos controles de proteção da informação, tomando por base alguma das principais Estruturas de Referência tipo Normas ISO/IEC da Família 27000 e outras com mais detalhe técnico. Estas estruturas de referência teórica cobrem todas as dimensões de segurança.
Esta maturidade é consequência da análise de centenas, talvez milhares, de controles de gestão, técnicos e de comportamento. Ao ser apresentado, em linguagem não técnica, ao Corpo Diretivo, agregaremos esta apresentação da maturidade em macro controles possíveis de compreensão.
Precisamos ter sabedoria para comunicar ao Corpo Diretivo a verdade. Entendo que uma abordagem é explicitação das ameaças consideradas. Por exemplo: na proteção de invasão foi considerada a ameaça de criminosos “comerciais”. Isto é, não foi considerada um ataque tipo Guerra Cibernética de países.
3. Priorização para a implantação ou aprimoramento dos controles
Uma organização pode ter todo o dinheiro necessário para uma excelente proteção, mas não possui todo o tempo do mundo.
Desta maneira é necessário um Plano de Ação priorizando os controles a serem aprimorados ou implementados. Este plano de ação tem que ser validado pelo Corpo Diretivo.
4. Governança e Gestão da Segurança da Informação e Cibersegurança
A Governança da Segurança da Informação, alinhada com a Governança Corporativa, acontece quando o Corpo Diretivo aprova políticas e normas obrigatórias que devem garantir a existência de um Programa Organizacional de Segurança da Informação e Cibersegurança.
Estes regulamentos definem diretrizes, responsabilidades, frequência de macrocontroles e exigências de posicionamento gerencial para o Corpo Diretivo, indicando o andamento (melhora, piora) da Maturidade dos Controles de Cibersegurança).
A Gestão da Segurança da Informação e Cibersegurança exige mais do que os controles técnicos. Exige ação de gerenciamento dos procedimentos, comportamento humano, execução de tarefas, cumprimento das responsabilidades.
5. Implementação de controles exige conhecimento e experiência
Independente se o desenvolvimento, implementação e sustentabilidade da gestão e dos controles de Segurança da Informação e Cibersegurança sejam realizados internamente ou com a parceria de uma Consultoria, é fundamental que os profissionais envolvidos tenham profundo conhecimento técnico e comprovada experiência no tema. Afinal estamos tratando da sustentabilidade da informação para a realização do negócio e atendimento aos objetivos corporativos.
A Governança e Gestão da Segurança da Informação e Cibersegurança não é simples. Considera vários aspectos que variam de controles técnicos até comportamento dos colaboradores. Mas, é possível. E deve ser implementada para garantir que a organização atenda seus objetivos corporativos e operacionalize o seu negócio, no que depende da informação. Entendo que é assim que os acionistas desejam!
Edison Fontes, CISM, CISA, CRISC, Ms.
Autor do Livro Segurança da Informação: Gestão e Governança. Conformidade com a LGPD.
Expert CyberSecurity Consultant – NTT DATA Europe & LATAM
edison@pobox.com.br
