Infelizmente muitas organizações e profissionais experientes confundem os objetivos da função governança e da função gestão. Tenho encontrado em muitas organizações a função de governança (pelo menos no nome) totalmente errada, com nível hierárquico e autonomia equivocados. Quando encontro esta situação, na minha experiência, 100% a organização tem problemas de estrutura e responsabilidades. Neste caso, o processo de segurança da informação, privacidade, continuidade e confiança digital está em uma maturidade baixa, necessitando urgente melhoria.
Para melhor compreensão vamos relembrar ou aprender os conceitos de Governança e Gestão, considerando o ecossistema da proteção da informação. Alguns dos conceitos apresentados estão baseados em definições do IBGC – Instituto Brasileiro de Governança Corporativa e as Normas ISO. Faço adaptações do texto para facilitar o entendimento.
GOVERNANÇA CORPORATIVA
Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle.
As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade. Fonte: IBGC, Documento Código das Melhores Práticas de Governança Corporativa, 4ª. Edição
A Governança Corporativa possui quatro Princípios:
- Transparência: Informar e disponibilizar informação corretamente.
- Equidade: Tratamento justo, não discriminatório.
- Prestação de Contas: Accountability.
- Continuidade Corporativa: Sustentabilidade da organização.
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO
A Governança da Tecnologia da Informação tem por objetivo fornecer uma estrutura de princípios e direcionadores para orientar os dirigentes quanto às estratégias, monitoramento e uso da TI atual e futuro em suas organizações.
A Governança de Tecnologia da Informação possui seis Princípios:
- Responsabilidade: Respeito ao fornecimento e demanda de TI.
- Estratégia: Satisfazer as demandas atuais e futuras da estratégia do negócio.
- Aquisição: Equilíbrio apropriado entre benefícios, oportunidades, custos e riscos.
- Desempenho: Serviços, níveis de serviços e qualidade para atender requisitos do negócio.
- Conformidade: Cumprir a legislação e os regulamentos obrigatórios.
- Comportamento Humano: Respeito às necessidades atuais e futuras de todas as pessoas.
GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO
A Governança da Segurança da Informação tem por objetivos:
- Alinhar os objetivos e estratégia da segurança da informação com os objetivos corporativos e a estratégia do negócio/função.
- Agregar valor para o Corpo Diretivo e para as partes interessadas.
- Garantir que os riscos da informação estão adequadamente endereçados.
A Governança de Segurança da Informação possui seis Princípios:
- Estabelecer a Segurança da Informação em toda a organização.
- Adotar uma abordagem baseada em riscos.
- Estabelecer a direção de decisões de investimentos.
- Assegurar a conformidade com os requisitos internos e externos referente à informação.
- Promover um ambiente positivo de segurança.
- Garantir que abordagem adotada esteja adequada a sua finalidade de apoio a organização.
Considerando este resumo de definições, fica evidente que a responsabilidade da Governança de Tecnologia da Informação ou da Governança da Segurança da Informação devem obrigatoriamente ser responsabilidade de profissional com um nível hierárquico com independência e com relacionamento com o Corpo Diretivo (diretoria, conselho administração) da organização. Além disso, evidentemente ter experiência profissional em TI e SI suficiente para ter uma abordagem adequada e coerente com a organização.
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
A Gestão da Segurança da Informação é o conjunto organizado, estruturado e monitorado de atividades que implementarão os controles de proteção necessários para o atendimento dos objetivos corporativos no que diz respeito ao tratamento da informação.
Na execução da Gestão da Segurança da Informação a organização deve definir a sua Arquitetura de Segurança da Informação considerando as necessidades e as características da organização e seu alinhamento com a Governança da Segurança da Informação. Devem ser definidos os Direcionadores Estruturais como NIST ou Normas ISO, e os Direcionadores Obrigatórios como a legislação nacional, internacional e exigências de agências reguladoras ou equivalente.
CONCLUSÃO
Evidentemente como será realizada a implementação da Governança e da Gestão vai depender do porte, características e momento da organização. Uma startup de cinco pessoas, será diferente de uma grande empresa. Mas uma startup quer ser uma grande empresa. Sendo assim é importante que ela cresça certo já considerando estes elementos.
Em resumo, a Governança é um conjunto de direcionadores e valores da organização. Gestão é o conjunto de atividades que vai permitir a organização operacionalizar seu negócio alinhada com a Governança.
Estes conceitos devem estar internalizados no Corpo Diretivo e em todos os colaboradores. Garanto que a organização alcançará os objetivos corporativos de maneira mais suave.
Edison Fontes, CISM, CISA, CRISC, Ms. 2024.