O Programa Organizacional de Segurança da Informação e Cibersegurança para ser efetivo, precisa ter como respaldo estruturas teóricas, estruturas práticas e estruturas que possibilitem a sustentação durante a vida da organização. Também é importante uma boa definição de responsabilidades. Corporativas. Às vezes ocorre que a organização, por não ter uma maturidade de governança e de […]
O Programa Organizacional de Segurança da Informação e Cibersegurança para ser efetivo, precisa ter como respaldo estruturas teóricas, estruturas práticas e estruturas que possibilitem a sustentação durante a vida da organização. Também é importante uma boa definição de responsabilidades. Corporativas. Às vezes ocorre que a organização, por não ter uma maturidade de governança e de gestão, coloque todas as responsabilidades corporativas na Segurança da Informação e na Cibersegurança.
Muito se fala de Governança, mas na realidade, muitas vezes pouco sabemos sobre este tema. E principalmente não sabemos como acontece na prática. Neste artigo apresentamos de maneira resumida e objetiva as definições, os princípios e algumas situações práticas.
GOVERNANÇA CORPORATIVA
É o conjunto de controles pelo qual as organizações são direcionadas, dirigidas e monitoradas, alinhando interesses dos Proprietários, Conselho de Administração, Diretoria e órgãos de controle, com a finalidade de preservar e otimizar o valor da organização.
A Governança Corporativa possui quatro princípios:
1. Transparência: disponibilizar corretamente para as partes interessadas informações que sejam do interesse das mesmas, independente de obrigação legal.
2. Equidade: tratamento justo, não discriminatório de todos os sócios e demais partes interessadas.
3. Prestação de Contas: os agentes de governança devem prestar contas de sua atuação e são responsáveis pelas consequências de seus atos e omissões.
4. Responsabilidade Corporativa: garantia da sustentabilidade da organização, considerando a ordem social e ambiental na definição dos negócios e operações.
GOVERNANÇA DA TECNOLOGIA DA INFORMAÇÃO
É o conjunto de controles que tem como objetivos
– Fornecer uma estrutura de princípios para os dirigentes usarem na avaliação, gerenciamento e monitoramento do uso da tecnologia da informação nas suas organizações.
– Informar e orientar os dirigentes quanto ao uso da TI em suas organizações.
– Disponibilizar um conjunto de informações para uma avaliação objetiva da Governança Corporativa de TI.
A Governança da Tecnologia da Informação possui seis princípios:
1. Respeitar a necessidade, fornecimento e demanda de TI.
2. Satisfazer as demandas atuais e futuras da estratégia de negócio da organização.
3. Quando da aquisição de recursos, ter equilíbrio apropriado entre benefícios, oportunidades, custos e riscos.
4. Garantir serviços, níveis de serviços e qualidade necessários para atender requisitos do negócio, dentro de um desempenho adequado e seguro.
5. Cumprir e legislação e os regulamentos obrigatórios.
6. Respeitar as necessidades atuais e futuras de todas as pessoas no processo, mantendo a coerência com a cultura da organização e objetivos corporativos.
GOVERNANÇA DE ADMINISTRAÇÃO DE DADOS
É o conjunto de controles que define padrões para estruturar a forma como os dados são coletados, armazenados, processados e descartados. Também ajuda a definir o controle de acesso, segregação de funções, gestores de informação, transparência no uso e demais controles que garantam que os dados possam ser protegidos, disponibilizados e íntegros.
A Governança de Administração de Dados possui três princípios
1. Garantir a qualidade dos dados, realizando avaliação, gestão, monitoramento e melhoria do uso dos dados.
2. Entender as necessidades de informações da empresa e definir modelo de dados corporativos.
3. Controlar o funcionamento da estrutura de dados definida.
GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO E CIBERSEGURANÇA
É o conjunto de controles que tem como objetivos
– Alinhar os objetivos e estratégia da segurança da informação com os objetivos e estratégia do negócio (alinhamento estratégico).
– Agregar valor para o Corpo Diretivo e para as partes interessadas.
– Garantir que os riscos da informação estão adequadamente endereçados.
A Governança da Segurança da Informação e Cibersegurança possui seis princípios:
1. Estabelecer a Segurança da Informação em toda a organização.
2. Adotar uma abordagem baseada em riscos.
3. Estabelecer a direção de decisões de investimentos.
4. Assegurar a conformidade com os requisitos internos e externos referente informação.
5. Promover um ambiente positivo de segurança
6. Garantir que abordagem adotada esteja adequada a sua finalidade de apoio a organização
A existência de políticas de segurança da informação e da Cibersegurança, aprovadas pelo Corpo Diretivo (Diretoria, Conselho de Administração, similar) é um exemplo de conformidade da Governança de Segurança da Informação e Cibersegurança com a Governança Corporativa. As Políticas atendem aos princípios de Transparência, Equidade e Responsabilidade Corporativa.
Para uma Gestão de Segurança da Informação e Cibersegurança, é necessária uma harmoniosa existência com a Governança de Tecnologia da Informação, Governança de Administração de Dados e evidentemente da Governança Corporativa. Na figura inicial apresento uma abordagem estruturada para este relacionamento.
Os conceitos aqui apresentados estão adaptados pelo autor, baseados na sua experiência profissional e nas estruturas de referência:
– Código de Melhores Práticas de Governança Corporativa, IBGC.
– Papéis e responsabilidades do Conselho na Gestão de Riscos Cibernéticos, IBGC.
– NBR ISO/IEC 27014, ABNT.
– NBR ISO/IEC 38500, ABNT.
– DMBok – Data Management Book of Knowledge, DAMA International.
Edison Fontes, CIMS, CISA, CRIS, Ms.
Autor do Livro Segurança da Informação: gestão e Governança. Conformidade com a LGPD.
Expert CyberSecurity Consultant – NTT DATA Europe & LATAM
edison@pobox.com.br
