GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO
1. Gestão ou Governança? Qual a diferença?
De acordo com a norma ABNT NBR ISO/IEC 27001:2006 a gestão da segurança da informação visa estabelecer, implementar, operar, monitorar, analisar criticamente a decisão estratégica de uma organização. É influenciado por objetivos.
Visa ainda a melhoria contínua da segurança da informação e representa as várias atividades diárias que são necessárias para um programa de segurança eficaz e ativo.
A governança da segurança da informação tem a missão de descentralizar a gestão da segurança da informação de forma eficiente e transparente, atrelado ao negócio fim da organização e considera os objetivos estratégicos e tendências atuais do mercado.
A organização precisa gerenciar todas as suas atividades fins, visando o uso de seus recursos e habilitar assim, as entradas e saídas incorporadas ao seu processo. A concretização dessas atividades de gestão são considerados abordagem de processo.
Segundo a Norma ABNT NBR ISO/IEC 27001:2006 a aplicação desses processos para a gestão da segurança da informação apresenta as seguintes vertentes junto aos usuários e sua importância:
a) Entendimento dos requisitos de segurança da informação de uma organização e sua necessidade em estabelecer uma política e objetivos para a segurança da informação;
b) Implementação e operação de controles para gerenciar riscos de segurança da informação de uma organização no contexto dos riscos do negócio global da empresa;
60
c) Monitoração e análise crítica do desempenho e eficácia da SGSI e melhoria contínua baseada em medições objetivas.
A Gestão está voltada para um maior gerenciamento das atividades em que as atividades fins e objetivos sejam traduzidos em primícias chaves para as metas dentro da organização. Os gestores visam garantir que as metas e anseios dos clientes, sejam colocados em práticas pelo setor operacional gerando assim valor agregado e resultado de ganho ou perda para a organização. Na gestão, deve-se ter uma meta estratégica bem definida, na qual irá proporcionar um vínculo fim com a área operacional que irá traduzir na geração de lucro e maior representatividade da empresa no mercado na qual está inserida.
Na gestão é adotado o PDCA (Plan-do-Check-Act) que é implementado em seus processos.
Figura 1 – Modelo PDCA aplicado aos processos de Gestão da segurança da informação
Fonte: ABNT NBR ISO/IEC 27001:2006
Plan (Planejar) – Estabelece os objetivos e práticas do GSI, em que traz evidencia para a análise gerencial dos riscos e melhoria da SI.
61
Check (checar) – Monitora e analisa a GSI. Traz resultados que são avaliados e analisados pela direção envolvida.
Act (Agir) – Mantém e melhora a GSI e está inserida na busca de melhores prática junto à GSI da organização.
2 – Objetivo da Gestão
Segundo a ABNT NBR ISO/IEC 27001:2006 a gestão da segurança da informação é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança as partes interessadas. Convém que o negócio seja interpretado de modo que as atividades sejam essênciais aos objetivos da existência da organização.
O sistema de gestão inclui a estrutura organizacional, políticas, planejamento, boas práticas, recursos e processos nele inseridos. Estabelece ainda uma estrutura de gerenciamento controlando a implementação da segurança da informação dentro da empresa e envolve todos os colaboradores nela inseridos, podendo ainda contar com agentes externos que auxiliem e cooperem para a melhor adequação da segurança.
3 – Responsabilidades da Gestão da segurança da informação
Segundo a ABNT NBR ISO/IEC 27001:2006 a organização deve definir o escopo e os limites da gestão nos termos e características do negócio, sua localização, ativos e tecnologia, incluindo detalhes e justificativas dentro do escopo.
A definição da política da gestão inclui características do negócio e estabelece um direcionamento global dos princípios e ações voltadas a segurança em que esteja alinhada ao contexto estratégico da alta administração e visa gerir os riscos e sua manutenção dentro da organização. Estabelece ainda critérios em relação os riscos a serem avaliados e tenha aprovação unanime da alta administração.
Dentro das métricas da gestão estão inseridos em seu contexto: a implementação de conscientização e treinamento, gerenciamento das operações e recurso da gestão da segurança da informação, a aplicação de controles capazes de permitir e controlar a detecção de eventos visando assim, os incidentes de segurança da informação. A realização das análises críticas inclui as políticas e objetivos da gestão em que os resultados e incidentes da informação, são resultados claros da eficácia e medição certa de todas as partes inseridas nesse elo organizacional.
62
Dentro da gestão deve haver um maior comprometimento da direção superior, em que a política de gestão e sua garantia visa estabelecer as metas direcionados junto ao plano estratégico da organização, e estabelecer os papéis e responsabilidades da segurança da informação. Os recursos são essenciais para implementação e operacionalização da melhoria continua da gestão e sua eficácia.
A política interna da segurança da informação segundo ABNT NBR ISO\IEC 17799:2005 estabelece que ela deve ser aprovada pela direção, publicada e comunicados a todos os funcionários e partes externas envolvidos. Deve ser analisada criticamente a intervalos e planejados de acordo com a continua adequação a eficácia.
As atribuições das atividades e responsabilidades na segurança da informação, visa a conformidade atrelada a política interna da segurança, em que convém que as responsabilidades sejam definidas e obedecidas. Cada local será exigida uma proteção específica de segurança atrelada aos vários colaboradores existentes da organização. Pessoas com tarefas e atividades definidas, de acordo com a segurança da informação, podem descentralizar tarefas a outros usuários, sendo necessário uma maior verificação junto as atividades executadas para melhor monitoramento fim dentro da organização.
4 – Governança da Segurança da Informação
De acordo com IT Governance Institute (2005):
A governança de TI é de responsabilidade da alta administração (incluindo diretores e executivos), na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias da empresa.
Outra definição é dada por Weill & Ross (2004):
Consiste em uma ferramenta para a especificação dos direitos de decisão e responsabilidade, visando encorajar comportamentos desejáveis no uso da TI.
Para a ISSO/IEC 38.500 (ABNT 2009) a governança é o
Sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização.
Quando ela tem alto impacto nas atividades e planos diretos, dizemos que a TI é estratégica e voltada para o negócio fim da organização. Deve-se ter um claro direcionamento do que esperar das iniciativas e ações da segurança
63
Segundo o Cobit 5 ela projeta em atender as atuais necessidades dos dirigentes de negócio alinhado aos atuais pensamentos de gestão e governança em TI. Ela é de responsabilidade de toda organização e não só da TI.
Ela é motivada pelos seguintes fatores de acordo com a figura abaixo:
Figura 2 – Fatores motivadores da Governança em TI
Fonte: Fernandes e Abreu, 2012
5 – Objetivos da Governança da Segurança da informação
O objetivo da governança é criar meios eficientes de gerenciamento (alinhamento estratégico) em que o foco estar em garantir que as ações implantadas sejam alinhadas aos interesses dos envolvidos e a busca de maiores resultados, alinhados a estratégia fim da organização.
Cria valor e realiza os objetivos esperados, otimizando os riscos e recursos. Atrelada ao negócio fim da organização e continuidade do negócio (Gestão de riscos e de recursos). Visa medir os processos e foca nos objetivos do negócio em que a otimização dos investimentos trará valor junto às metas organizacionais (gestão desempenho e valor final).
64
6 – Benefícios da Governança da Segurança da Informação
Aumenta o relacionamento com o cliente final (fornecedores e parceiros), reduzindo assim o vazamento de informações precisas, redução do custo operacional e melhor análise dos processos inseridos dentro da organização e maior transparência e proteção à imagem da organização.
Por fim a governança visa alinhar os objetivos estratégicos da alta administração agregando valor ao negócio proposto pela mesma e focando sempre em futuras solicitações resultantes de seu posicionamento frente aos mercados.
65 7 – Referências.
ABNT.NBR ISO/IEC 27001:2006, Tecnologia da Informação – Técnicas de segurança – Sistema de gestão de segurança da informação – Requisitos – Rio de Janeiro: Associação Brasileira de Normas técnicas, 2006 34p.
ITGI (IT Governance Institute). Cobit Quickstart, 2nd edition, Rolling Meadows, IL, 2007 (2007a).
ISACA. COBIT 5 for Information Security. ISACA, 2012.
WEILL, Peter.; Ross W. Jeanne. IT Governance: How top performers manage IT decision rights for superiors resutls. Boston, Harvard Business Scholl Press, 2004. ABNT.NBR ISO/IEC 38500:2009: Governança corporativa de tecnologia da informação. Rio de Janeiro, Associação Brasileira de Normas técnicas, 2005.
Fernandes, Aguinaldo Aragon – Implantando a governança de TI: estratégia à gestão dos processos e serviços/ Vladimir Ferraz de Abreu – 3º ed. – Rio de Janeiro: Brasport, 2012.
Sobre o autor
Hallisson Ricardo S. Ribeiro.
Administrador de Empresas, Pós Graduando em
Governança em TI. Atua a mais 07 anos com suporte da tecnologia da informação.
67