Confesso que muitas vezes tive dificuldades de separar e entender a diferença entre as diversas avaliações que existem no mundo corporativo em relação à controles sobre o recurso informação. Como consultor, entendo que uma das missões é facilitar o entendimento de conceitos para todas as pessoas, principalmente aqueles que não são e nem precisam ser especialistas nos temas relacionados à proteção da informação.
Defino a seguir, o que são e o objetivo principal, das avaliações realizadas pela Gestão de Segurança da Informação, Auditoria, Conformidade (Compliance), Clima Organizacional e Controle Interno. Estas definições não possuem o rigor científico e acadêmico, que se eu fosse seguir, teríamos mais de cinco páginas de justificativas. Mas elas tem o rigor de facilitar o entendimento para todos nós que trabalhamos e utilizamos controles de informação.
Gestão de Segurança da Informação
Avalia a maturidade da gestão dos controles e macrocontroles de segurança da informação, tomando por base a Arquitetura de Segurança da Informação.
Objetivo principal: garantir que a informação está protegida e possibilita que os objetivos organizacionais sejam atingidos.
Auditoria no Ambiente da Informação
Seleciona um segmento de informação (sistema) ou seleciona um grupo de atividades/processos e avalia se os controles referentes a este escopo estão sendo executados.
Objetivo principal: garantir que as atividades são realizadas da maneira que deveriam ser realizadas.
Conformidade (Compliance)
Avalia se a organização considera e cumpre a legislação nacional/internacional, os normativos de agências reguladoras do governo, os padrões exigidos pelo mercado, as exigências contratuais e outros controles legais que a organização está subordinada.
Objetivo principal: garantir que a organização cumpra a legislação e obrigações contratuais ou similar.
Clima Organizacional
Avalia se o relacionamento entre as pessoas na organização acontece em um nível de confiança e camaradagem de maneira a facilitar a execução dos controles que a organização necessita cumprir para alcançar os objetivos corporativos.
Objetivo principal: melhorar o desempenho do trabalho humano, considerando as relações entre as pessoas da organização.
Controle Interno
Avalia se as atividades realizadas nas áreas organizacionais, consideram atividades ou processos de controles que possibilitam mais facilmente a identificação de desvios quando da execução de tarefas ou da não realização de tarefas.
Objetivo principal: eficiência operacional.