Tempo de leitura: 3 minutos
Sem tempo para ler? Ouça este post ou baixe para ouvir mais tarde!
Já falamos aqui no blog que os ataques cibernéticos estão entre as principais preocupações dos empresários nos dia de hoje. E eles são apenas uma parte, quando pensamos em governança da segurança da informação. Esse é um assunto recorrente nas empresas e precisa de foco para ser gerenciado com responsabilidade e eficiência.
Para falar sobre esse tema, vamos fazer uma série de 4 posts, que abordam a Governança da Segurança da Informação. Vamos falar sobre os resultados desejados para Governança de Segurança da Informação, conforme a norma ABNT NBR ISO/IEC 27014:2013, que será abordada já neste primeiro post.
Para começar, vamos falar sobre a Governança da Segurança da Informação. Antes de chegarmos a esse conceito, é importante primeiro relembrar outros termos fundamentais para entender o que é a governança e qual o papel dela na sua empresa.
Talvez você já tenha ouvido falar em Governança Corporativa, que é uma expressão bastante comum no mundo empresarial.
A Governança Corporativa
A Governança Corporativa é um conjunto de políticas, normas, métodos ou procedimentos que, juntos, mostram como aquela empresa deve ser administrada. Com a Governança Corporativa, a organização consegue transmitir mais confiança aos seus acionistas e ao mercado em geral.
Já a Governança de TI (Tecnologia da Informação) é esse mesmo conjunto de regras, metodologias e práticas, mas aplicado ao cenário da tecnologia da empresa.
Seja qual for o tipo de governança, ela tem três atividades básicas:
- Avaliar;
- Medir;
- Dirigir.
Mas, é bom destacar, que de acordo com o COBIT 5, um documento de boas práticas para a Governança da Tecnologia da Informação criado pela ISACA (Information Systems Audit and Control Association) ou Associação de Auditoria e Controle de Sistemas de Informação, há uma diferença bastante clara entre governança e gestão.
Enquanto na governança as atividades são avaliar, medir e dirigir; a gestão de TI engloba planejar, construir, executar e monitorar as atividades alinhadas de acordo com o direcionamento estratégico determinado pela governança para se atingir os objetivos gerais da organização. Ou seja, a gestão envolve atividades mais operacionais, enquanto a governança controla a gestão em si.
Você também pode se interessar por este conteúdo:
E-book | Gestão Proativa de TI
Norma Técnica
A importância do tema é tão grande, que a Associação Brasileira de Normas Técnicas (ABNT) estabeleceu uma norma específica a respeito, a ABNT NBR ISO/IEC 27014/2013 – Tecnologia da Informação – Técnicas de Segurança – Governança de Segurança da Informação, elaborada pelo Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21).
A norma trata dos resultados desejados para uma governança eficaz e eficiente de Segurança da informação, que são:
- Visibilidade da alta direção sobre a situação da Segurança da Informação;
- Uma abordagem ágil para a tomada de decisões sobre os riscos da informação;
- Investimentos eficientes e eficazes em Segurança da Informação;
- Conformidade com requisitos externos (legais, regulamentares ou contratuais).
Com a implantação da Governança da Segurança da Informação, a empresa consegue alinhar as estratégias da segurança de tecnologia aos objetivos da organização como um todo. Deste modo, a área de TI agrega valor ao negócio, garantindo procedimentos seguros, para que a empresa evite danos.
Empresa é beneficiada
A Governança da Segurança da Informação está diretamente entrelaçada com a Governança Corporativa e pode ser fundamental para a imagem e até mesmo para o progresso da empresa.
Existem situações de segurança que expõem a organização a graves riscos, como por exemplo, uma falha de segurança da informação que pode levar números sigilosos a concorrentes. Ou a ocorrência de algum desastre, seja ele natural ou provocado, que destrói dados essenciais e pode gerar até o fechamento do empreendimento.
Por isso, podemos dizer, que não há como garantir Governança Corporativa sem ter Governança de Segurança da Informação. E não há como garantir a continuidade do negócio da organização sem que Governança de Segurança da Informação seja feita do modo adequado.
Para atingir os resultados esperados para Governança de segurança da informação conforme a norma ISO 27014, é importante que a empresa conheça suas vulnerabilidades, a quais riscos está exposta, e como deve fazer para gerenciar esses riscos. E isso é assunto para os próximos posts da série sobre Governança da Segurança da Informação. Continue acompanhando e compartilhe em suas redes sociais!
