Na maioria das organizações, considerando a segurança da informação, proteção da privacidade e continuidade operacional, os controles de segurança são implementados corretamente, porém, a gestão dos controles não existe de maneira adequada, suficiente e compatível com os objetivos corporativos.
Uma informação crítica para o Corpo Diretivo é o Nível de Maturidade da Gestão dos Controles de Segurança da Informação. Isto significa mais do que a existência do controle. É necessário avaliar a gestão.
CONTROLE
É o conjunto de dispositivos, sistemas, mecanismos, procedimentos, manipulação de variáveis, regulação de comportamento, ações de monitoramento, ações de ajustes e similar que tem o objetivo de garantir que uma definição de regras de funcionamento seja executada.
GESTÃO DE CONTROLE
É um conjunto de ações que tem por objetivo garantir para o controle a sua efetividade e sustentação, permitindo desta maneira o alinhamento e atendimento aos objetivos corporativos.
Uma Gestão de Controle obrigatoriamente deve considerar os seguintes aspectos:
- Regulamentação
Um controle deve existir porque foi considerado em um regulamento (política, norma, procedimento) e foi aprovado a sua existência pela organização: corpo diretivo ou área técnica.
- Responsabilidade
Um controle deve ter um responsável pela sua existência e sua execução. Pode ser explicitamente um profissional (colaborador ou prestador de serviço) ou uma área. No caso de área deve ser explicitado que o gestor da área em exercício é o responsável.
- Efetividade
Um controle deve funcionar corretamente de acordo com o que foi definido. Isto significa que este controle deve ser testado intensamente para garantir o seu funcionamento correto.
- Garantia de execução – Monitoramento da vida do controle
Um controle deve ser supervisionado continuamente para garantir que a execução do mesmo está correta, isto é, ele não perde sua qualidade de produção de resultado.
Também deve ser identificado qualquer desvio de qualidade na execução do controle e tomadas as providências necessárias para o retorno à normalidade.
- Sustentabilidade – Continuidade ao longo do tempo.
Um controle deve ser administrado de maneira que ele exista sempre, dentro do ciclo de vida do controle, previsto e aprovado pela organização. Quem já não passou pela experiência de tomar conhecimento de um controle que existia na empresa e "sem ninguém saber" parou de funcionar e ninguém notou?
- Procedimento
Cada controle deve ser executado baseado em um procedimento, um algoritmo, uma definição ou algo similar. O profissional que vai implementar o controle precisa se basear em algo para tecnicamente desenvolver o controle
- Documentação
Todo controle deve ser documentado. Dependendo da criticidade do controle ou da sua especificação técnica complexa, o detalhamento desta documentação deve ser mais rígido e detalhado. É importante que a documentação seja suficiente para que outro profissional com o mesmo conhecimento técnico do profissional que escreveu e implementou o controle, consiga realizar a manutenção corretiva ou de melhorias.
- Teste
Todo controle deve ser testado exaustivamente de maneira compatível com a sua criticidade para a organização.
- Coerência com Gestão e Governança
Um controle deve somente existir se ele é uma consequência de uma Gestão que está alinhada com a Governança da Segurança e a Governança Corporativa de maneira a atingir e cumprir os objetivos corporativos. Um controle não deve existir motivado por si mesmo!
- Compreensão pelos profissionais e usuários
Os profissionais e usuários relacionados ao controle devem entender que o controle vale pela gestão do controle. Um controle isolado tem o seu valor mais não é completo. Não atende aos objetivos corporativos. É uma meia ponte!
CONCLUSÃO
Quando avaliamos a maturidade da organização em segurança da informação, avaliamos a maturidade da gestão dos controles deste ambiente. A efetividade da gestão é que vai permitir que a organização possa garantir que o controle poderá ser efetivo e que os objetivos corporativos poderão ser obedecidos e/ou alcançados.
Controle é o mecanismo de proteção. Gestão do controle é a sustentação, a conformidade e a efetividade para o atendimento aos objetivos corporativos.
Este tema não se encerra nos itens apresentados acima. Eles são os principais, mas a sua organização pode ter situações específicas. Não se preocupe. A vida real é assim! Se desejar, vamos conversar e aprender juntos.
Edison Fontes, CISO at NAVA – Technology for business.
