Em meu último artigo “A segurança versus o arquiteto” mencionei a importância do uso de framewoks para implantação de uma arquitetura robusta e eficiente citando alguns do principais standards conhecidos e mais usados pela comunidade de segurança. Logo que o primeiro passo para constituir um modelo de gestão de segurança e cibersegurança com o uso e a combinação de frameworks são fundamentais para preparar a organização alcancar um nível de maturidade aceitável pelo conselho.
Neste contexto gostaria de aguçar a imaginação que o assunto governança de segurança tem sido um tabu para as novas organizações talvez ainda desconhecido e um desafio para as grandes organizações, mas desejo elencar neste artigo de acordo com alguns dos melhores frameworks que há uma diferença entre o papel da governança de segurança e a gestão de segurança. A governança de segurança é um conjunto de responsabilidades e práticas exercidas que tem alguns dos princÍpios assegurar que os objetivos de segurança estejam alinhados com as necessidades de negócios provendo direção estratégica e garantir também que os controles de conformidade com políticas e regulamentações estejam sendo cumpridas possibilitando que a gestão dos riscos seja apropriada e saudável para o nível aceitável para a organização, ou seja, é exercer governo e conduzir a melhor abordagem da matéria de segurança.
Enquanto que a gestão de segurança é o pilar fundamental para suportar a arquitetura, é por meio deste processo continuo que planejamos um modelo para gerir os controles de segurança, implementamos os controles de segurança apropriados certificando que os ativos de valor estão protegidos apropriadamente e partir disso controlamos e monitoramos a eficiência do processo dentro do contexto organizacional.
Em outras palavras remete a um ciclo PDCA produto oriundo da ISO 27001 que possibilita a construção de um road map com uma visualização do modelo de gestão de segurança da informação e no caso integrado com o COBIT 5 que não só apenas tem foco e contribuir com a governança de TI, também traz a capacidade para absorver controles de segurança para medir em níveis de maturidade no contexto de pessoas, processo e tecnologia que viabiliza a construção de um modelo de gestão risco conduzindo o conselho a compreender e endereçar os riscos de segurança versus TI para o melhor nível aceitável para a empresa deixando todas as partes felizes. Entretanto, cabe o gestor de segurança endereçar os potenciais riscos e possíveis impactos nos relacionamentos com o parceiros e provedores externos de serviços que devem ser claros e devidamente documentados.
Tipicamente há alguns benefícios que a governança de segurança produz elevando para um alto nível de maturidade e contribui para o: i) Alinhamento estratégico, ii) Gerenciamento de risco eficaz, iii) Entrega de valor, iv) Optimização de recursos, v) e Medição de desempenho e vi) Integração e garantia de processo.
O primeiro (i) interconecta a visão de segurança provendo uma direção estratégica de negócio para que obtenha um suporte dos executivos para que os objetivos de segurança se cumpram e sejam atingidos.
O segundo (ii) impermeabiliza a execução de medidas apropriadas para a mitigação de riscos para redução de impactos nos ativos de valor para um nível aceitável, ou seja, gerenciar os riscos apropriadamente.
O terceiro (iii) optimiza os investimentos em soluções e medidas de segurança para cumprimento do objetivo esperado.
O quarto (iv) viabiliza o conhecimento da segurança da informação para o uso responsável de recursos organizacionais garantindo maior eficácia e eficiência da infraestrutura de segurança absorvendo a aplicação do conhecimento de práticas para construir uma arquitetura de segurança eficiente.
O quinto (v) ajuda a garantir o sucesso com monitoramento do programa de segurança da informação corporativo por meio de reporte de métricas que estejam alinhadas com os objetivos estratégicos para a alta gestão.
O sexto (vi) e último assegura total integração e participação de toda a cadeia de colaboradores, o desenvolvimento continuo do relacionamento entre eles, coordenação efetiva, responsabilidades dos mesmos que emprega todos envolvidos contribuindo para que o modus operandi da gestão de segurança tenha uma abordagem para o planejamento, distribuição, geração de métricas e gestão madura.
Em âmbito conceitual de governança de SI podemos entender que a alta gestão é responsável por definir a estratégia de negócio resultando nos objetivos organizacionais. Logo o comitê de segurança em conjunto com os executivos ajudam a definir a estratégia de segurança e gerenciamento de risco resultando então nos requerimentos de segurança que devem ser atendidos. Enquanto que o papel do CISO e comitê de segurança é assegurar que o plano de gestão de segurança, políticas, normas e procedimentos sejam implementados, monitorados e medidos viabilizando que os objetivos de segurança são efetivamente cumpridos. Como pode ver é um processo contínuo e vale ressaltar alguns dos desafios a enfrentar na estrutura organizacional de governança é saber onde posicionar na estrutura, a quem deve ser reportado, como integrar com as demais áreas e diferenciar os objetivos de governança de segurança comparados com os da auditoria.
Evidentemente que a gestão de segurança da informação para ser mais eficiente é importante que seja integrada com a governança de segurança e ressalto este ponto com convicção depois ter passado experiências reais em grandes empresas e ter aprendido com os principais mestres neste campo, podemos concluir que os principais elementos para a gestão de segurança efetiva e a governança de SI que este produto proporciona para as organizações são:
- Ter uma estratégica de segurança conectada aos objetivo de negócio e TI;
- Ter uma organização de SI e governança estruturada e efetivas;
- Ter uma estratégia de segurança que considera o valor da informação da organização efetivamente protegida;
- Ter políticas de segurança que endereçam a estratégia, controles e conformidade com regulamentações;
- Ter padrões, normas e procedimentos de segurança estuturados;
- Ter um processo de monitoração corporativo dando visibilidade da mitigação dos riscos;
- Ter um processo de avaliação de segurança continua e atualizações dos padrões e riscos;
- Ter uma metodologia de gestão de riscos de segurança da informação vigente.
Em suma, gerir e governar são processos distintos e independentes seja para atender requisitos regulatórios como a tão falada LGPD, Sox, PCI-DSS e a Resolução nº 4.658 do Banco Central que deve aprimorar a cibersergurança financeira, ou mesmo proteger um ambiente de cloud que deverá ser adaptado, além o uso de tecnologias como BYOD, IoT, Chatbot, acesso remoto, etc, temos que reconhecer que estes padrões aqui mencionados neste artigo são de grande valor para todo tipo de organização, assim como diz o sábio: “Não há um só justo na terra, que continue fazendo bem e nunca peque”, ou seja, a governança mas honesta está sujeita à imperfeição, mas isso não significa que devemos no acomodar ou procrastinar. Afinal a governança de segurança pode ser feita mesmo com uma gestão de segurança imperfeita, mas o que mais vale é vontade e energia para transformar um sonho e o projeto no papel em realidade na era da transformação digital.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
