• CIBERSEGURANÇA

Governança não é Gestão!

Por
Edison Fontes
-
0

Infelizmente muitas organizações e profissionais experientes confundem os objetivos da função governança e da função gestão. Tenho encontrado em muitas organizações a função de governança (pelo menos no nome) totalmente errada, com nível hierárquico e autonomia equivocados. Quando encontro esta situação, na minha experiência, 100% a organização tem problemas de estrutura e responsabilidades. Neste caso, o processo de segurança da informação, privacidade, continuidade e confiança digital está em uma maturidade baixa, necessitando urgente melhoria.

Para melhor compreensão vamos relembrar ou aprender os conceitos de Governança e Gestão, considerando o ecossistema da proteção da informação. Alguns dos conceitos apresentados estão baseados em definições do IBGC – Instituto Brasileiro de Governança Corporativa e as Normas ISO. Faço adaptações do texto para facilitar o entendimento.

GOVERNANÇA CORPORATIVA

Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle. 

As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade. Fonte: IBGC, Documento Código das Melhores Práticas de Governança Corporativa, 4ª. Edição

A Governança Corporativa possui quatro Princípios:

  1. Transparência: Informar e disponibilizar informação corretamente.
  2. Equidade: Tratamento justo, não discriminatório.
  3. Prestação de Contas: Accountability.
  4. Continuidade Corporativa: Sustentabilidade da organização.

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

A Governança da Tecnologia da Informação tem por objetivo fornecer uma estrutura de princípios e direcionadores para orientar os dirigentes quanto às estratégias, monitoramento e uso da TI atual e futuro em suas organizações.

A Governança de Tecnologia da Informação possui seis Princípios:

  1. Responsabilidade: Respeito ao fornecimento e demanda de TI.
  2. Estratégia: Satisfazer as demandas atuais e futuras da estratégia do negócio.
  3. Aquisição: Equilíbrio apropriado entre benefícios, oportunidades, custos e riscos.
  4. Desempenho: Serviços, níveis de serviços e qualidade para atender requisitos do negócio. 
  5. Conformidade: Cumprir a legislação e os regulamentos obrigatórios.
  6. Comportamento Humano: Respeito às necessidades atuais e futuras de todas as pessoas.

GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO

A Governança da Segurança da Informação tem por objetivos:

  1. Alinhar os objetivos e estratégia da segurança da informação com os objetivos corporativos e a estratégia do negócio/função.
  2. Agregar valor para o Corpo Diretivo e para as partes interessadas.
  3. Garantir que os riscos da informação estão adequadamente endereçados.

A Governança de Segurança da Informação possui seis Princípios:

  1. Estabelecer a Segurança da Informação em toda a organização.
  2. Adotar uma abordagem baseada em riscos.
  3. Estabelecer a direção de decisões de investimentos.
  4. Assegurar a conformidade com os requisitos internos e externos referente à informação.
  5. Promover um ambiente positivo de segurança.
  6. Garantir que abordagem adotada esteja adequada a sua finalidade de apoio a organização.

Considerando este resumo de definições, fica evidente que a responsabilidade da Governança de Tecnologia da Informação ou da Governança da Segurança da Informação devem obrigatoriamente ser responsabilidade de profissional com um nível hierárquico com independência e com relacionamento com o Corpo Diretivo (diretoria, conselho administração) da organização. Além disso, evidentemente ter experiência profissional em TI e SI suficiente para ter uma abordagem adequada e coerente com a organização.

GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A Gestão da Segurança da Informação é o conjunto organizado, estruturado e monitorado de atividades que implementarão os controles de proteção necessários para o atendimento dos objetivos corporativos no que diz respeito ao tratamento da informação. 

Na execução da Gestão da Segurança da Informação a organização deve definir a sua Arquitetura de Segurança da Informação considerando as necessidades e as características da organização e seu alinhamento com a Governança da Segurança da Informação. Devem ser definidos os Direcionadores Estruturais como NIST ou Normas ISO, e os Direcionadores Obrigatórios como a legislação nacional, internacional e exigências de agências reguladoras ou equivalente.

CONCLUSÃO

Evidentemente como será realizada a  implementação da Governança e da Gestão vai depender do porte, características e momento da organização. Uma startup de cinco pessoas, será diferente de uma grande empresa. Mas uma startup quer ser uma grande empresa. Sendo assim é importante que ela cresça certo já considerando estes elementos.

Em resumo, a Governança é um conjunto de direcionadores e valores da organização. Gestão é o conjunto de atividades que vai permitir a organização operacionalizar seu negócio alinhada com a Governança. 

Estes conceitos devem estar internalizados no Corpo Diretivo e em todos os colaboradores. Garanto que a organização alcançará os objetivos corporativos de maneira mais suave.

Edison Fontes, CISM, CISA, CRISC, Ms. 2024.

ARTIGOS RELACIONADOSMais do autor

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.