Importância da governança da segurança da informação

O conceito de Governança da Segurança da Informação

890 309 Microservice

Já falamos aqui no blog que os ataques cibernéticos estão entre as principais preocupações dos empresários nos dia de hoje. E eles são apenas uma parte, quando pensamos em governança da segurança da informação. Esse é um assunto recorrente nas empresas e precisa de foco para ser gerenciado com responsabilidade e eficiência.

Para falar sobre esse tema, vamos fazer uma série de 4 posts, que abordam a Governança da Segurança da Informação. Vamos falar sobre os resultados desejados para Governança de Segurança da Informação, conforme a norma ABNT NBR ISO/IEC 27014:2013, que será abordada já neste primeiro post.

Para começar, vamos falar sobre a Governança da Segurança da Informação. Antes de chegarmos a esse conceito, é importante primeiro relembrar outros termos fundamentais para entender o que é a governança e qual o papel dela na sua empresa.

Talvez você já tenha ouvido falar em Governança Corporativa, que é uma expressão bastante comum no mundo empresarial.

A Governança Corporativa

A Governança Corporativa é um conjunto de políticas, normas, métodos ou procedimentos que, juntos, mostram como aquela empresa deve ser administrada. Com a Governança Corporativa, a organização consegue transmitir mais confiança aos seus acionistas e ao mercado em geral.

Já a Governança de TI (Tecnologia da Informação) é esse mesmo conjunto de regras, metodologias e práticas, mas aplicado ao cenário da tecnologia da empresa.

Seja qual for o tipo de governança, ela tem três atividades básicas:

– avaliar,

– medir e

– dirigir.

Mas, é bom destacar, que de acordo com o COBIT 5, um documento de boas práticas para a Governança da Tecnologia da Informação criado pela ISACA (Information Systems Audit and Control Association) ou Associação de Auditoria e Controle de Sistemas de Informação, há uma diferença bastante clara entre governança e gestão.

Enquanto na governança as atividades são avaliar, medir e dirigir; a gestão de TI engloba planejar, construir, executar e monitorar as atividades alinhadas de acordo com o direcionamento estratégico determinado pela governança para se atingir os objetivos gerais da organização.  Ou seja, a gestão envolve atividades mais operacionais, enquanto a governança controla a gestão em si.

Norma Técnica

A importância do tema é tão grande, que a Associação Brasileira de Normas Técnicas (ABNT) estabeleceu uma norma específica a respeito, a ABNT NBR ISO/IEC 27014/2013 – Tecnologia da Informação – Técnicas de Segurança – Governança de Segurança da Informação, elaborada pelo Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21).

A norma  trata dos resultados desejados para uma governança eficaz e eficiente de Segurança da informação, que são:

– Visibilidade da alta direção sobre a situação da Segurança da Informação;

– Uma abordagem ágil para a tomada de decisões sobre os riscos da informação;

– Investimentos eficientes e eficazes em Segurança da Informação;

– Conformidade com requisitos externos (legais, regulamentares ou contratuais).

Com a implantação da Governança da Segurança da Informação, a empresa consegue alinhar as estratégias da segurança de tecnologia aos objetivos da organização como um todo. Deste modo, a área de TI agrega valor ao negócio, garantindo procedimentos seguros, para que a empresa evite danos.

Empresa é beneficiada

A Governança da Segurança da Informação está diretamente entrelaçada com a Governança Corporativa e pode ser fundamental para a imagem e até mesmo para o progresso da empresa.

Existem situações de segurança que expõem a organização a graves riscos, como por exemplo, uma falha de segurança da informação que pode levar números sigilosos a concorrentes. Ou a ocorrência de algum desastre, seja ele natural ou provocado, que destrói dados essenciais e pode gerar até o fechamento do empreendimento.

Por isso, podemos dizer, que não há como garantir Governança Corporativa sem ter Governança de Segurança da Informação. E não há como garantir  a continuidade do negócio da organização sem que Governança de Segurança da Informação seja feita do modo adequado.

Para atingir os resultados esperados para Governança de segurança da informação conforme a norma ISO 27014, é importante que a empresa conheça suas vulnerabilidades, a quais riscos está exposta, e como deve fazer para gerenciar esses riscos. E isso é assunto para os próximos posts da série sobre Governança da Segurança da Informação. Continue acompanhando e compartilhe em suas redes sociais!

SP (11) 4063-8108 | RJ (21) 4063-3343 | MG (31) 4063-7161 | PR (41) 4063-7161 | SC (47) 3322-2343 | RS (51) 4063-7161 | PE (81) 4062-9072