Governança da Segurança da Informação: Responsabilidade do Corpo Diretivo da Organização!

O Corpo Diretivo, pessoa ou grupo de pessoas que são responsáveis pelo desempenho e conformidade da organização, tem a responsabilidade de “garantir que a abordagem para a segurança da informação seja eficiente eficaz, aceitável e alinhada com os objetivos e estratégias de negócios”. É assim, de maneira explícita e sem deixar dúvidas, que a Norma NBR ISO/IEC 27014:2013 descreve a responsabilidade para o direcionamento da segurança da informação.

Entendo que na prática é necessário que a organização possua um Gestor da Segurança da Informação para propor a abordagem mais adequada para a organização. Baseado nesta proposição, o Corpo Diretivo validará ou fará as devidas alterações/ajustes e definirá oficialmente qual o rumo e qual o direcionamento do Processo Corporativo da Segurança da Informação.

Um dos pontos básicos é a posição organizacional do Gestor da Segurança da Informação. Caso este profissional não tenha a independência adequada, a organização nunca terá uma segurança efetiva. Poderá ter boas ações de segurança, mas serão ações pontuais, ações para apagar o fogo de situações críticas.

Outro ponto importante é o planejamento e a priorização das ações para a Segurança da Informação. Para tanto, o Gestor da Segurança da Informação deve propor e o Corpo Diretivo deve validar esta proposição. Evidentemente, o Gestor da Segurança da Informação deve conhecer os objetivos da organização e deve propor este planejamento baseado nestes objetivos. Porém, cabe ao Corpo Diretivo e somente a ele, a responsabilidade de aprovar este planejamento. Isto significa: cumpra-se.

A execução das ações de Segurança da Informação devem ser coordenadas pelo Gestor da Segurança da Informação, com o apoio da Gerência Executiva, que é a pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo Corpo Diretivo para a implementação de estratégias e políticas para alcançar o propósito da organização.

Na minha experiência, um dos primeiros elementos necessários para cristalizar, para corporificar a aprovação do Corpo Diretivo e pelo comprometimento da Gerência Executiva, é a elaboração (ou aprimoramento) das Políticas de Segurança da Informação. Os regulamentos gerados apresentarão o padrão de segurança que a organização obrigatoriamente deseja seguir, explicita as novas responsabilidades e declara a rigidez dos controles de segurança da informação. Isto feito, está traçado o que se quer e como se quer. Caberá, agora, a definição do ritmo de execução das atividades. Este ritmo depende de recursos de tempo, financeiros, dedicação das pessoas, pressão da legislação e pressão do mercado.

A organização que deseja ter uma boa segurança para a sua informação precisa estruturar de maneira profissional como acontecerá esta proteção. O comprometimento do Corpo Diretivo e da Gerência Executiva é fundamental, é fator crítico de sucesso. Além, evidentemente, do profissional dedicado para a Gestão da Segurança da Informação.

Como sua organização trata a segurança da informação? Abordagem profissional ou “faz de conta”?

*Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.