Edison Fontes

Governança não é Gestão!

Infelizmente muitas organizações e profissionais experientes confundem os objetivos da função governança e da função gestão. Tenho encontrado em muitas organizações a função de governança (pelo menos no nome) totalmente errada, com nível hierárquico e autonomia equivocados. Quando encontro esta situação, na minha experiência, 100% a organização tem problemas de estrutura e responsabilidades. Neste caso, o processo de segurança da informação, privacidade, continuidade e confiança digital está em uma maturidade baixa, necessitando urgente de melhoria.

Para melhor compreensão vamos relembrar ou aprender os conceitos de Governança e Gestão, considerando o ecossistema da proteção da informação. Alguns dos conceitos apresentados estão baseados em definições do IBGC – Instituto Brasileiro de Governança Corporativa e as Normas ISO. Faço adaptações do texto para facilitar o entendimento.

GOVERNANÇA CORPORATIVA
Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle.

As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade. Fonte: IBGC, Documento Código das Melhores Práticas de Governança Corporativa, 4ª. Edição

A Governança Corporativa possui quatro princípios:

  1. Transparência: informar e disponibilizar informação corretamente.
  2. Equidade: tratamento justo, não discriminatório.
  3. Prestação de Contas: accountability.
  4. Continuidade Corporativa: sustentabilidade da organização.

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO
A Governança da Tecnologia da Informação tem por objetivo fornecer uma estrutura de princípios e direcionadores para orientar os dirigentes quanto às estratégias, monitoramento e uso da TI atual e futuro em suas organizações.

A Governança de Tecnologia da Informação possui seis princípios:

  1. Responsabilidade: respeito ao fornecimento e demanda de TI.
  2. Estratégia: satisfazer as demandas atuais e futuras da estratégia do negócio.
  3. Aquisição: equilíbrio apropriado entre benefícios, oportunidades, custos e riscos.
  4. Desempenho: serviços, níveis de serviços e qualidade para atender requisitos do negócio.
  5. Conformidade: cumprir a legislação e os regulamentos obrigatórios.
  6. Comportamento Humano: respeito às necessidades atuais e futuras de todas as pessoas.

GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO

A Governança da Segurança da Informação tem por objetivos:

  • Alinhar os objetivos e estratégia da segurança da informação com os objetivos corporativos e a estratégia do negócio/função.
  • Agregar valor para o Corpo Diretivo e para as partes interessadas.
  • Garantir que os riscos da informação estão adequadamente endereçados.

A Governança de Segurança da Informação possui seis princípios:

  • Estabelecer a Segurança da Informação em toda a organização.
  • Adotar uma abordagem baseada em riscos.
  • Estabelecer a direção de decisões de investimentos.
  • Assegurar a conformidade com os requisitos internos e externos referente à informação.
  • Promover um ambiente positivo de segurança.
  • Garantir que a abordagem adotada esteja adequada a sua finalidade de apoio a organização.

Considerando este resumo de definições, fica evidente que a responsabilidade da Governança de Tecnologia da Informação ou da Governança da Segurança da Informação devem obrigatoriamente ser responsabilidade de profissional com um nível hierárquico com independência e com relacionamento com o Corpo Diretivo (diretoria, conselho de administração) da organização. Além disso, evidentemente ter experiência profissional em TI e SI, suficiente para ter uma abordagem adequada e coerente com a organização.

GESTÃO DA SEGURANÇA DA INFORMAÇÃO
A Gestão da Segurança da Informação é o conjunto organizado, estruturado e monitorado de atividades que implementarão os controles de proteção necessários para o atendimento dos objetivos corporativos no que diz respeito ao tratamento da informação.

Na execução da Gestão da Segurança da Informação a organização deve definir a sua Arquitetura de Segurança da Informação considerando as necessidades e as características da organização e seu alinhamento com a Governança da Segurança da Informação. Devem ser definidos os Direcionadores Estruturais como NIST ou Normas ISO, e os Direcionadores Obrigatórios como a legislação nacional, internacional e exigências de agências reguladoras ou equivalente.

CONCLUSÃO
Evidentemente como será realizada a implementação da Governança e da Gestão vai depender do porte, características e momento da organização. Uma startup de cinco pessoas, será diferente de uma grande empresa. Mas uma startup quer ser uma grande empresa. Sendo assim é importante que ela cresça certo já considerando estes elementos.

Em resumo, a Governança é um conjunto de direcionadores e valores da organização. Gestão é o conjunto de atividades que vai permitir a organização operacionalizar seu negócio alinhada com a Governança.

Estes conceitos devem estar internalizados no Corpo Diretivo e em todos os colaboradores. Garanto que a organização alcançará os objetivos corporativos de maneira mais suave.