Quando utilizamos o termo “Gestão” ou “Governança” dentro do ambiente corporativo, a primeira coisa que nos vêm à cabeça é uma pessoa ou uma equipe responsável pelas decisões, que pode mudar a realidade de uma empresa. Na transformação digital, a governança de segurança da informação ganha cada vez mais destaque, no que diz respeito à criação de diretrizes.
Isso porque os dados se tornaram um ativo valiosíssimo para as empresas — os dados internos, dos clientes, da concorrência, projetos e metodologias — e entregam um retorno satisfatório para as decisões. A governança da segurança da informação garante a integridade dessas informações.
Neste post, vamos entender o que é a governança da informação, sua importância e método de implementação. Confira!
A segurança da informação deve ser impulsionada por todos os colaboradores de uma empresa. Contudo, é importante que haja uma diretriz a ser seguida, uma estrutura de governança que seja elaborada por um gestor.
A governança da segurança da informação é uma vertente da governança corporativa. Ela tem como característica a criação de um direcionamento estratégico, assegurando que os objetivos sejam atingidos, gerenciando riscos, monitorando o êxito ou falha no programa de segurança corporativo.
Não importa se é via conselho de administração, por uma gestão executiva, comitê diretivo ou ambos, a governança da segurança da informação exige planejamento estratégico e boas decisões.
Já sabemos que a governança de segurança da informação é uma vertente da governança corporativa. Ou seja, é um conjunto de políticas, métodos, normas que unidos indicam a forma como a empresa deverá ser administrada. Independentemente do tipo de governança, todas apresentam as três atividades básicas, que são:
De acordo com o COBIT 5, que nada mais é que um documento que reúne boas práticas para a governança de TI, há uma diferença clara entre gestão e governança de TI. Enquanto na governança as atividades principais são avaliar, medir e dirigir, na gestão há o planejamento, execução e monitoramento das atividades.
Isso será feito de acordo com o direcionamento da estratégia, para que os objetivos do setor sejam atingidos, sempre de acordo com o direcionamento determinado pela governança. Dessa forma, podemos dizer que a gestão foca mais nas atividades operacionais e a governança define as diretrizes.
Veja, abaixo, como é possível implementar a governança de segurança da informação em sua empresa. Para isso, é importante que seja realizada uma mudança cultural, que vai muito além de somente adotar novas tecnologias. Confira!
Para que a governança seja eficiente, é importante que ela ultrapasse as paredes do setor de TI, sendo incorporada por todas as áreas da empresa, afinal, os ativos de TI estão em todos os lugares. Para isso, é importante que haja a definição de papéis e responsabilidades na coordenação das ações de engajamento das mais diversas áreas da empresa.
É importante que as decisões relacionadas à segurança da informação sejam tomadas com base nos riscos. Além disso, essa abordagem deverá estar integrada ao modelo corporativo de gestão de riscos. Somente assim será possível criar as bases de uma boa política, que não visa a segurança da informação de uma maneira genérica, mas que atenda às reais demandas de cada empresa.
Definir uma estratégia de investimento de segurança da informação — baseada em resultados alcançados pelo negócio —, além de fazer a identificação do investimento adequado, não são tarefas das mais fáceis para os responsáveis pelas estratégias de gerenciamento de segurança da informação.
Para que a estratégia de investimentos seja feita com base nos reais objetivos do negócio, é importante que a segurança da informação esteja integrada aos atuais processos da organização, para gastos com capital e operação. Isso deve ser assegurado pela alta administração da empresa.
A segurança da informação, além de se preocupar com ataques e demais problemas de segurança, deve estar atrelada às legislações e regulamentações pertinentes. Quando o programa de segurança tem suas decisões tomadas com base nos riscos, devem ter como primeiro passo a busca pela conformidade de acordo com as novas leis.
No Brasil, a mais nova lei que regulamenta o tratamento de dados é a Lei Geral de Proteção de Dados Pessoais (LGPD), que tenta equilibrar a autonomia do titular dos dados com as necessidades das empresas.
Um dos fatos preponderantes para que uma empresa mantenha um bom nível de segurança da informação é o comportamento humano. Sendo assim, com vista na implementação de uma política de forma satisfatória, é importante que a alta administração disponibilize programas de treinamento e conscientização relacionadas à segurança para os colaboradores.
Para que a governança de segurança da informação tenha as suas politicas melhorando de forma contínua é muito importante que seja feita uma análise periódica de desempenho, de forma critica, verificando o impacto que a governança pode ter em seu negócio.
Não adianta apenas avaliar a eficiência dos controles que foram implementados. É importante que os gestores garantam que esses princípios sejam aplicados. Por isso, é importante que essa responsabilidade seja repassada a alguém, como a um CISO — Chief Information Security Officer —, um profissional que exerce papel estratégico na articulação entre as áreas dos negócios, segurança da informação e demais partes interessadas.
A governança de segurança da informação cria as diretrizes para a execução das atividades, mais quem define quando e onde será aplicada é o gestor. Dessa maneira, é possível colocar em prática os projetos de governança de acordo com um modelo padronizado, como o COBIT e a ISO 27002.
Esse padrão é importante porque a gestão necessita de um processo contínuo, pois os resultados serão analisados e servirão de insights para a execução de novos projetos gerados pela nova governança, permitindo a melhoria contínua.
Como vimos, a governança de segurança da informação entrega as diretrizes necessárias para que o gestor tenha uma linha a seguir. Essa governança se mostra primordial em tempos de transformação digital, afinal, os dados são protagonistas para uma gestão inteligente.
Gostou do post? Então, continue com a gente e confira 4 dicas para uma boa gestão de TI em sua empresa.