Infelizmente muitas organizações e profissionais experientes confundem os objetivos da função governança e da função gestão. Tenho encontrado em muitas organizações a função de governança (pelo menos no nome) totalmente errada, com nível hierárquico e autonomia equivocados. Quando encontro esta situação, na minha experiência, 100% a organização tem problemas de estrutura e responsabilidades. Neste caso, o processo de segurança da informação, privacidade, continuidade e confiança digital está em uma maturidade baixa, necessitando urgente melhoria.

Para melhor compreensão vamos relembrar ou aprender os conceitos de Governança e Gestão, considerando o ecossistema da proteção da informação. Alguns dos conceitos apresentados estão baseados em definições do IBGC – Instituto Brasileiro de Governança Corporativa e as Normas ISO. Faço adaptações do texto para facilitar o entendimento.

2024

GOVERNANÇA CORPORATIVA

Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle. 

As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade. Fonte: IBGC, Documento Código das Melhores Práticas de Governança Corporativa, 4ª. Edição

A Governança Corporativa possui quatro Princípios:

  1. Transparência: Informar e disponibilizar informação corretamente.
  2. Equidade: Tratamento justo, não discriminatório.
  3. Prestação de Contas: Accountability.
  4. Continuidade Corporativa: Sustentabilidade da organização.

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

A Governança da Tecnologia da Informação tem por objetivo fornecer uma estrutura de princípios e direcionadores para orientar os dirigentes quanto às estratégias, monitoramento e uso da TI atual e futuro em suas organizações.

A Governança de Tecnologia da Informação possui seis Princípios:

  1. Responsabilidade: Respeito ao fornecimento e demanda de TI.
  2. Estratégia: Satisfazer as demandas atuais e futuras da estratégia do negócio.
  3. Aquisição: Equilíbrio apropriado entre benefícios, oportunidades, custos e riscos.
  4. Desempenho: Serviços, níveis de serviços e qualidade para atender requisitos do negócio. 
  5. Conformidade: Cumprir a legislação e os regulamentos obrigatórios.
  6. Comportamento Humano: Respeito às necessidades atuais e futuras de todas as pessoas.

GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO

A Governança da Segurança da Informação tem por objetivos:

  1. Alinhar os objetivos e estratégia da segurança da informação com os objetivos corporativos e a estratégia do negócio/função.
  2. Agregar valor para o Corpo Diretivo e para as partes interessadas.
  3. Garantir que os riscos da informação estão adequadamente endereçados.

A Governança de Segurança da Informação possui seis Princípios:

  1. Estabelecer a Segurança da Informação em toda a organização.
  2. Adotar uma abordagem baseada em riscos.
  3. Estabelecer a direção de decisões de investimentos.
  4. Assegurar a conformidade com os requisitos internos e externos referente à informação.
  5. Promover um ambiente positivo de segurança.
  6. Garantir que abordagem adotada esteja adequada a sua finalidade de apoio a organização.

Considerando este resumo de definições, fica evidente que a responsabilidade da Governança de Tecnologia da Informação ou da Governança da Segurança da Informação devem obrigatoriamente ser responsabilidade de profissional com um nível hierárquico com independência e com relacionamento com o Corpo Diretivo (diretoria, conselho administração) da organização. Além disso, evidentemente ter experiência profissional em TI e SI suficiente para ter uma abordagem adequada e coerente com a organização.

GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A Gestão da Segurança da Informação é o conjunto organizado, estruturado e monitorado de atividades que implementarão os controles de proteção necessários para o atendimento dos objetivos corporativos no que diz respeito ao tratamento da informação. 

Na execução da Gestão da Segurança da Informação a organização deve definir a sua Arquitetura de Segurança da Informação considerando as necessidades e as características da organização e seu alinhamento com a Governança da Segurança da Informação. Devem ser definidos os Direcionadores Estruturais como NIST ou Normas ISO, e os Direcionadores Obrigatórios como a legislação nacional, internacional e exigências de agências reguladoras ou equivalente.

CONCLUSÃO

Evidentemente como será realizada a  implementação da Governança e da Gestão vai depender do porte, características e momento da organização. Uma startup de cinco pessoas, será diferente de uma grande empresa. Mas uma startup quer ser uma grande empresa. Sendo assim é importante que ela cresça certo já considerando estes elementos.

Em resumo, a Governança é um conjunto de direcionadores e valores da organização. Gestão é o conjunto de atividades que vai permitir a organização operacionalizar seu negócio alinhada com a Governança. 

Estes conceitos devem estar internalizados no Corpo Diretivo e em todos os colaboradores. Garanto que a organização alcançará os objetivos corporativos de maneira mais suave.

Edison Fontes, CISM, CISA, CRISC, Ms. 2024.

Disponível originalmente no TI Inside. Publicado na CompliancePME em 16 de maio de 2024