A Governança Corporativa tem por "… finalidade preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade" (IBGC) e a Governança da Segurança da informação tem como finalidade "… alinhar os objetivos e estratégia da segurança da informação com os objetivos e estratégia do negócio" (ISO 27014). Sendo assim a comunicação da gestão da segurança da informação com o corpo diretivo (conselho, corpo diretivo, executivos) é obrigatória. Mas como fazer que esta comunicação seja efetiva?
Muito se questiona o texto utilizado nesta comunicação. Concordo, mas entendo que além das palavras e termos utilizados é necessário que a comunicação tenha conteúdo válido e profissional. O Conselho de Administração precisa receber informação robusta, de credibilidade e simples, para que possa tomar decisões, para que possa definir direcionadores. Recomendo a seguir etapas que devem ser consideradas para facilitar e dar credibilidade a esta comunicação da segurança da informação com o Conselho de Administração. São de responsabilidade do Gestor da Segurança da Informação.
- Identifique os produtos e serviços da organização
Inicialmente é necessário conhecer a missão, visão e valores da empresa e principalmente quais são os produtos ou serviços que possibilitam a sustentabilidade do negócio da organização.
Para estes produtos e/ou serviços avalie com os executivos qual o controle direcionador de proteção da informação mais importante: disponibilidade, credibilidade, reputação, confidencialidade, conformidade legal, verdade, integridade ou outra.
- Identifique os Ambientes de Informação
Ambiente de informação indica onde é tratada a informação: tecnologia interna (centralizada, descentralizada), tecnologia de terceiros, prestadores de serviço (fornecedores), órgãos governamentais, tratamento transnacional e outras situações.
Relacione os ambientes de informação com os produtos e/ou serviços utilizados no negócio da organização e identifique a dependência do negócio da organização nestes ambientes.
- Identifique os Direcionadores Obrigatórios
Considere a legislação nacional e internacional, os normativos de agências reguladoras (ou similar), exigências contratuais e exigências de mercado que a organização é obrigada a seguir sob pena de impactos negativos.
Considere os Direcionadores Estruturais que são as referências que devem ser consideradas para a avaliação de maturidade. Muitas vezes Direcionadores Obrigatórios exigem determinados Direcionadores Estruturais.
- Avalie a Maturidade dos Controles de Segurança da Informação
Considere um ou mais Direcionador Estrutural (ISO, NIST, outro) e avalie a efetividade (eficácia e eficiência ao longo do tempo) de todos os controles de segurança da informação com ênfase na gestão dos mesmos. Considere um padrão de mercado tipo CMMI (Capability Maturity Model Integration – 5 níveis) ou um padrão próprio da organização, desde que com critérios bem definidos. Utilize cores verde, amarelo e vermelho, considerando o vermelho: controle não adequado, podendo ser explorado facilmente por situações ou por criminosos.
- Defina uma recomendação de Plano de Ação
Considerando a avaliação realizada da efetividade dos controles, elabore uma Gestão de Riscos considerando o Impacto Negativo de ameaças explorando a fragilidade dos controles, considerando os ambientes de informação e a criticidade da informação para o negócio.
O principal objetivo do plano de ação é a definição da prioridade, que deve vir acompanhada do tempo de duração e recursos necessários para a implementação de maneira a posicionar a organização em um patamar de proteção adequado.
A recomendação do plano de ação é uma consequência da Análise e Gestão de Riscos realizadas. O Conselho de Administração ou similar, definirá se concorda (ou não) com a mitigação dos riscos apresentados, podendo decidir por uma abordagem mais ou menos agressiva. Os Conselheiros precisam entender o relacionamento da fragilidade de um macrocontrole de segurança com a "preservação e otimização do valor da organização".
Conclusão
O Gestor da Segurança da Informação precisa ter a sabedoria e experiencia para apresentar todos estes elementos de maneira harmoniosa, com dados confiáveis para que o Conselho de Administração defina o apetite de risco pelo uso da informação.
Edison Fontes, CyberSecurity & Privacy Head and Advisor.
