Governança de segurança da informação: o que é, como funciona e sua importância

Quando utilizamos o termo “Gestão” ou “Governança” dentro do ambiente corporativo, a primeira coisa que nos vêm à cabeça é uma pessoa ou uma equipe responsável pelas decisões, que pode mudar a realidade de uma empresa. Na transformação digital, a governança de segurança da informação ganha cada vez mais destaque, no que diz respeito à criação de diretrizes.

seguranca-da-informacao.jpg

Isso porque os dados se tornaram um ativo valiosíssimo para as empresas — os dados internos, dos clientes, da concorrência, projetos e metodologias — e entregam um retorno satisfatório para as decisões. A governança da segurança da informação garante a integridade dessas informações.

Neste post, vamos entender o que é a governança da informação, sua importância e método de implementação. Confira!

O que é a governança da segurança da informação e qual a sua importância?

A segurança da informação deve ser impulsionada por todos os colaboradores de uma empresa. Contudo, é importante que haja uma diretriz a ser seguida, uma estrutura de governança que seja elaborada por um gestor.

A governança da segurança da informação é uma vertente da governança corporativa. Ela tem como característica a criação de um direcionamento estratégico, assegurando que os objetivos sejam atingidos, gerenciando riscos, monitorando o êxito ou falha no programa de segurança corporativo.

Não importa se é via conselho de administração, por uma gestão executiva, comitê diretivo ou ambos, a governança da segurança da informação exige planejamento estratégico e boas decisões.

Entenda a importância da governança de segurança da informação

Já sabemos que a governança de segurança da informação é uma vertente da governança corporativa. Ou seja, é um conjunto de políticas, métodos, normas que unidos indicam a forma como a empresa deverá ser administrada. Independentemente do tipo de governança, todas apresentam as três atividades básicas, que são:

  • avaliar;
  • medir;
  • dirigir.

De acordo com o COBIT 5, que nada mais é que um documento que reúne boas práticas para a governança de TI, há uma diferença clara entre gestão e governança de TI. Enquanto na governança as atividades principais são avaliar, medir e dirigir, na gestão há o planejamento, execução e monitoramento das atividades.

Isso será feito de acordo com o direcionamento da estratégia, para que os objetivos do setor sejam atingidos, sempre de acordo com o direcionamento determinado pela governança. Dessa forma, podemos dizer que a gestão foca mais nas atividades operacionais e a governança define as diretrizes.

Como implementar a governança da segurança da informação em sua empresa?

Veja, abaixo, como é possível implementar a governança de segurança da informação em sua empresa. Para isso, é importante que seja realizada uma mudança cultural, que vai muito além de somente adotar novas tecnologias. Confira!

Alinhe todos os setores

Para que a governança seja eficiente, é importante que ela ultrapasse as paredes do setor de TI, sendo incorporada por todas as áreas da empresa, afinal, os ativos de TI estão em todos os lugares. Para isso, é importante que haja a definição de papéis e responsabilidades na coordenação das ações de engajamento das mais diversas áreas da empresa.

Adote uma abordagem baseada em riscos

É importante que as decisões relacionadas à segurança da informação sejam tomadas com base nos riscos. Além disso, essa abordagem deverá estar integrada ao modelo corporativo de gestão de riscos. Somente assim será possível criar as bases de uma boa política, que não visa a segurança da informação de uma maneira genérica, mas que atenda às reais demandas de cada empresa.

Defina uma estratégia de investimento em segurança da informação

Definir uma estratégia de investimento de segurança da informação — baseada em resultados alcançados pelo negócio —, além de fazer a identificação do investimento adequado, não são tarefas das mais fáceis para os responsáveis pelas estratégias de gerenciamento de segurança da informação.

Para que a estratégia de investimentos seja feita com base nos reais objetivos do negócio, é importante que a segurança da informação esteja integrada aos atuais processos da organização, para gastos com capital e operação. Isso deve ser assegurado pela alta administração da empresa.

Assegure conformidade com os requisitos internos e externos

A segurança da informação, além de se preocupar com ataques e demais problemas de segurança, deve estar atrelada às legislações e regulamentações pertinentes. Quando o programa de segurança tem suas decisões tomadas com base nos riscos, devem ter como primeiro passo a busca pela conformidade de acordo com as novas leis.

No Brasil, a mais nova lei que regulamenta o tratamento de dados é a Lei Geral de Proteção de Dados Pessoais (LGPD), que tenta equilibrar a autonomia do titular dos dados com as necessidades das empresas.

Promova um ambiente positivo

Um dos fatos preponderantes para que uma empresa mantenha um bom nível de segurança da informação é o comportamento humano. Sendo assim, com vista na implementação de uma política de forma satisfatória, é importante que a alta administração disponibilize programas de treinamento e conscientização relacionadas à segurança para os colaboradores.

Analise o seu desempenho

Para que a governança de segurança da informação tenha as suas politicas melhorando de forma contínua é muito importante que seja feita uma análise periódica de desempenho, de forma critica, verificando o impacto que a governança pode ter em seu negócio.

Não adianta apenas avaliar a eficiência dos controles que foram implementados. É importante que os gestores garantam que esses princípios sejam aplicados. Por isso, é importante que essa responsabilidade seja repassada a alguém, como a um CISO — Chief Information Security Officer —, um profissional que exerce papel estratégico na articulação entre as áreas dos negócios, segurança da informação e demais partes interessadas.

Crie as bases para a gestão da segurança da informação

A governança de segurança da informação cria as diretrizes para a execução das atividades, mais quem define quando e onde será aplicada é o gestor. Dessa maneira, é possível colocar em prática os projetos de governança de acordo com um modelo padronizado, como o COBIT e a ISO 27002.

Esse padrão é importante porque a gestão necessita de um processo contínuo, pois os resultados serão analisados e servirão de insights para a execução de novos projetos gerados pela nova governança, permitindo a melhoria contínua.

Como vimos, a governança de segurança da informação entrega as diretrizes necessárias para que o gestor tenha uma linha a seguir. Essa governança se mostra primordial em tempos de transformação digital, afinal, os dados são protagonistas para uma gestão inteligente.

Governança de segurança da informação: o que é, como funciona e sua importância

 

risco.png

Governança na medida certa evita estruturas desnecessárias

A ideia de que a governança corporativa é fundamental vem sendo difundida a cada dia, especialmente pela nova geração de empreendedores. Com a pandemia da Covid-19, tornou-se ainda mais evidente a importância de um sistema de governança sob medida para cada organização.

Governança Corporativa ⚡ Qual a diferença para a Governança de TI?

De fato, desde o início de qualquer negócio é muito importante identificar as funções e as responsabilidades dos sócios e colaboradores, bem como definir o processo de tomada de decisão. E isso já pode ser considerado um passo para a adoção de uma governança adequada.

Entre muitas vantagens, a adoção de governança corporativa por pequenas e médias empresas, bem como por startups, pode gerar economia de tempo e dinheiro, já que evita questionamentos e dúvidas sobre quem decide sobre determinado assunto ou quem é responsável por certa tarefa, reduzindo significativamente a probabilidade de divergência entre sócios, o que, muitas vezes, é causa de morte prematura do negócio.

Outro benefício evidente — e que tem levado muitos empreendedores a se preocupar com a governança desde o logo — é a promoção de confiança no investidor.

Reconhecendo a importância do tema e buscando facilitar a aplicação de determinadas práticas desde a criação e durante o desenvolvimento de novos negócios, o Instituto Brasileiro de Governança Corporativa (IBGC) divulgou, recentemente, um guia com práticas de governança corporativa para startups & scale-ups.

As startups, tão faladas na atualidade, são organizações com alto potencial econômico e inovadoras, ainda que não relacionadas ao setor de tecnologia. Aquelas startups capazes de superar as dificuldades mercadológicas, societárias, de produto, gestão ou regulamentação enfrentadas inicialmente, com um modelo de crescimento acelerado, tornam-se scale-ups.

As práticas de governança são divididas, no caderno do IBGC, em quatro grandes pilares: estratégia & sociedade; pessoas & recursos; tecnologia & propriedade intelectual; e processos & accountability. Para cada fase de desenvolvimento do negócio (ideação, validação, tração e escala), um ou outro pilar deve estar mais avançado.

Ainda que tais fases e pilares não estejam segregados de forma tão sistemática na mente do empreendedor, a aplicação das práticas de governança se torna mais fácil e intuitiva com os gráficos e checklists constantes no guia.

Na fase da ideação ou hipótese (em que o negócio não tem, necessariamente, atividade operacional, nem existência formalizada), o mais relevante, do ponto de vista de governança, é estruturar os papéis e as responsabilidades dos sócios, definindo formas de contribuição e intensidade de dedicação, remuneração e futura participação societária de cada um, bem como estabelecer mecanismos de saída. Assim, na ideação, os empreendedores devem focar nos pilares estratégia & sociedade e tecnologia & propriedade intelectual.

Na fase seguinte, de validação (também conhecida como Minimum Viable Product ou MVP, etapa de experimentação), o foco da governança deve estar em constituir a sociedade e estabelecer regras no que tange aos direitos e deveres dos sócios, e ter as primeiras reflexões sobre propósito. É também recomendável organizar práticas relacionadas a empregados-chaves, clientes e parceiros. Espera-se alcançar, durante a validação, um nível intermediário de governança nos pilares estratégia & sociedade e tecnologia & propriedade intelectual e um nível inicial nos pilares pessoas & recursos e processos & accountability.

Na etapa de tração (Product Market Fit ou PMF, em que o produto ou serviço está validado, e o crescimento da base de clientes e aumento do faturamento estão na mira), recomenda-se a definição de alçadas para a tomada de decisão, com estruturação do conselho (consultivo ou de administração) e evolução de práticas de planejamento e controles. Nesse momento, o pilar de governança estratégia & sociedade deve alcançar um nível mais avançado e os demais pilares, nível intermediário.

No último estágio, de escala (crescimento, podendo a sociedade passar a ser uma scale-up), a intenção é que todos os pilares de governança estejam desenvolvidos. A consolidação das práticas de governança certamente auxiliará o negócio a ganhar força e prosperar.

Assim, fica patente que o tema governança não deve estar limitado a grandes corporações. Também nas novas sociedades e pequenos empreendimentos, as melhores práticas são acessíveis e devem ser implementadas de acordo com a fase em que o negócio se encontra.

A governança, se adotada na medida certa, evita a criação de estruturas desnecessárias, ao mesmo tempo que gera valor, dá credibilidade ao investidor, aumenta a liquidez e reduz as chances de mortalidade da sociedade.

https://www.conjur.com.br/2020-ago-25/giovanna-gallo-governanca-evita-estruturas-desnecessarias

 

risco.png

Incêndio de grandes proporções atinge contêineres em porto na Zona Sul de Manaus

Viaturas do Corpo de Bombeiros foram enviadas ao local. Um raio teria atingido um contêiner e iniciado o incêndio no local, conforme bombeiros.

Incêndio foi registrado na tarde desta terça-feira (18). — Foto: Diego Peres/Secom

Um incêndio de grandes proporções atingiu contêineres em um porto privado, na Zona Sul de Manaus, na tarde desta terça-feira (18). Equipes do Corpo de Bombeiros foram acionadas para o local. Ninguém ficou ferido.

Conforme os bombeiros, um raio teria atingido um contêiner e iniciado o incêndio no local. Pelo menos seis contêineres já haviam sido atingidos pelo fogo, até a chegada da primeira equipe. Ainda segundo os bombeiros, 35 contêineres estão dispostos na área.

Até às 20h o fogo ainda não havia sido contido totalmente.

Duas viaturas da corporação, sendo auto-bomba tanque, foram enviadas ao local no momento. Depois, o Corpo de Bombeiros enviou outras duas, sendo um auto-tanque e um auto-tanque-plataforma. Posteriormente, outras viaturas foram enviadas, totalizando 15 no total. Ao todo, 30 bombeiros foram enviados para conter as chamas.

Incêndio foi registrado na tarde desta terça-feira (18). — Foto: Rebeca Beatriz/G1 AM

Incêndio foi registrado na tarde desta terça-feira (18). — Foto: Rebeca Beatriz/G1 AM

Nuvem de fumaça se formou com incêndio de grandes proporções em Manaus. — Foto: Rebeca Beatriz/G1 AM

Nuvem de fumaça se formou com incêndio de grandes proporções em Manaus. — Foto: Rebeca Beatriz/G1 AM

 

https://g1.globo.com/am/amazonas/noticia/2020/08/18/incendio-de-grandes-proporcoes-atinge-conteineres-em-porto-na-zona-sul-de-manaus.ghtml

Sobre liberdade e Gerência de Risco

A dúvida sobre qual o limite da interferência do Estado ou Organização Mundial na vida humana sempre incitou grandes debates desde o mundo Antigo. Porém, com a pandemia, novos conceitos foram incorporados a essa discussão. Da aceitação resignada dos infortúnios, passamos agora à tentativa de “controlar o mundo” por meio da intervenção nas vidas privadas e, até mesmo, em governos. Mas o que mudou para que não tenhamos mais a liberdade de calcular individualmente e aceitar determinado nível de risco? Por que terceirizamos decisões que deveriam ser de cunho individual?

Já sabemos que, na natureza, até os animais calculam os riscos de uma determinada ação antes de agir. Espécies como o lobo-cinzento, por exemplo, precisam saber o número certo de animais que compõem sua matilha para caçar presas específicas. São necessários de seis a oitos lobos para caçar cervos e alces mas se quiserem caçar bisões, necessitam entre nove e treze membros. Todos esses estudos foram analisados pelo neurobiólogo Andreas Nieder, da Universidade de Tuebingen na Alemanha, que concluiu: “a competência numérica está presente em quase todas as ramificações da árvore da vida dos animais”.

Se constatarmos que até os animais conseguem gerenciar os riscos de determinadas ações, com humanos não é diferente. Temos a capacidade de calcular se determinada ação é, ou não, segura de acordo com o conhecimento adquirido sobre o fato. Se possuímos clareza que risco é uma combinação entre consequência e incerteza, então é extremamente necessário saber o grau de certezas a fim de poder tomar o risco que lhe parece aceitável.

Precisamos ter em mente que o valor do produto final pode influenciar a ação para aceitar, ou não, um determinado risco. Ulrick Beck, considerado um dos grandes nomes da Sociologia neste século, afirma que o risco, além de ocupar um papel fundamental nas ordens sociais, influencia os rumos de quase tudo ao nosso redor, como a política, economia, trabalho, área ambiental, relações humanas, etc.

Ao trazer esse raciocínio para o momento que vivemos, seria correto privar a liberdade de escolha individual com o intuito de diminuir o risco de colapso hospitalar? Ou essa atitude é uma desculpa para a falta de investimento básico nos hospitais e sua consequente lotação? Qual será o momento correto para sufocar as escolhas individuais, se é que esse momento existe?

Considerando que esse risco de colapso foi tomado há muito tempo, pois não é novidade o descaso com a saúde pública no Brasil, decidiu-se mesmo assim não resolver o problema, de maneira que se conclui a aceitação desse risco faz tempo. Se políticos e organizações mundiais estão verdadeiramente comprometidos em salvar vidas, como tentam demonstrar isso? Aonde estavam eles nas últimas décadas?

Mesmo assim, principalmente na classe média, virou rotina apontar o dedo e julgar se determinado comportamento é ou não apropriado durante o isolamento imposto – já que, de alguma maneira, essa classe social ainda consegue manter-se com suas reservas financeiras. Pior ainda são funcionários públicos que, mesmo durante o colapso do país, continuam a receber salário integral sem trabalhar.

Mas e o desafortunado que, devido ao isolamento, não tem como trabalhar e manter sua família? O que fazer com os milhões de pessoas que não têm poupança ou não são funcionários públicos? Será que R$ 600 reais resolvem o problema dos mais pobres?

Como alguém pode saber o que é melhor para o outro? Sempre que terceiros decidem o que é melhor para nós, acabamos colhendo dor e sofrimento. No mês de junho deste ano, alguns meios de comunicação publicaram uma notícia que representa muito bem isso: uma mãe russa manteve a filha em cárcere privado, durante 26 anos, para lhe “proteger do mundo”.

De maneira geral, o ser humano precisa se emancipar das manipulações ocorridas diariamente por meio da lavagem cerebral provocada pelas notícias distorcidas que chegam de todas as partes e focar no que definitivamente é atribuição do Estado. Ou seja, prover tratamento adequado e de qualidade para a população. Não cabe ao Estado colocar nossas vidas em suspensão.

Ser livre para decidir qual o nível de risco aceitar requer trabalho constante para desenvolver um pensamento crítico sério, negando tudo que for desnecessário, manipulado e irresponsável. Caso contrário, se tornará uma ferramenta a serviço de terceiros. A demagogia e transferência de foco no enfrentamento do problema é o principal fator de ameaça à uma sociedade livre.

As perguntas que ficam são: será prudente abrir mão da sua liberdade e transferir para outras pessoas decisões que deveriam ser suas? Existe alguém melhor do que você para decidir isso? O que poderá acontecer quando um líder de apetites distorcidos quiser se aproveitar desse controle das liberdades que passivamente entregamos?

Como diz o economista e filósofo Thomas Sowell: “É difícil imaginar uma maneira mais estúpida ou mais perigosa de tomar decisões do que colocá-las nas mãos de pessoas que não pagam preço por estarem erradas.”

*Antoine Abed é presidente-fundador do Instituto Dignidade e autor da obra Ensaio Sobre a Crise da Felicidade

https://politica.estadao.com.br/blogs/fausto-macedo/sobre-liberdade-e-gerencia-de-risco/